Годами мы слышали пугающий прогноз о том, что ИИ отнимет рабочие места у людей. Он отнимет, и это уже происходит, но это не означает, что он не создаст новые рабочие места и не породит спрос на новые навыки — как и любая другая тенденция на рынке труда, обусловленная технологическим прогрессом.
Возьмем, к примеру, операции по обеспечению безопасности. Исторически центры операций по безопасности (SOC) строились на основе трехуровневой модели аналитиков. Аналитики Уровня 1 были младшим персоналом, получавшим оплату за мониторинг активности и первичную обработку оповещений. Их работа часто описывалась как «глаза у стекла», поскольку они пытались обнаружить сигналы в общем шуме. Аналитики Уровня 2 специализировались на расследовании оповещений (их было много), которые казались подозрительными команде Уровня 1. Когда что-то было действительно подозрительным или вредоносным, они предпринимали действия по устранению или работали с ИТ-командами и другими специалистами над реагированием на инциденты. Наконец, аналитики Уровня 3 были самыми старшими и, как правило, сосредоточивались на поиске угроз и инженерии. Помимо поиска угроз, эти гуру проводили глубокие криминалистические расследования, тонкую настройку средств контроля и инженерию обнаружения.
Перенесемся в 2026 год: AI-SOC (или агентный SOC, автономный SOC, человеко-дополненный AI-SOC и т. д.) не просто появился, но и быстро развивается. По последним данным, более 120 поставщиков заявляют о своем участии в этом сегменте рынка.
На сегодняшний день возможности AI-SOC сосредоточены на автономной первичной обработке оповещений и базовых расследованиях. Когда что-то выглядит подозрительно — подозрительный вход в систему, оповещение EDR и т. д. — агенты вызывают разрозненные инструменты для обогащения оповещения, создания временной шкалы активности, формирования оценки достоверности и даже предложения шагов по устранению. По-моему, это похоже на эффективного аналитика Уровня 1.
В ближайшем будущем AI-SOC возьмут на себя задачи аналитиков Уровня 2 с автоматизированным устранением последствий. Кроме того, рои агентов будут иметь специализированные роли для обнаружения, расследований, устранения последствий и даже настройки систем. Некоторые поставщики также предлагают агентов для поиска угроз и постоянного управления состоянием защищенности.
Еще предстоит много инноваций, разработок и реальных испытаний, но ясно, что агенты будут выполнять все больше тяжелой работы. Так что же остается людям? Вот несколько ролей, где навыки ИТ-специалистов по кибербезопасности будут востребованы и пользоваться высоким спросом.
Инженер по данным безопасности
Агенты ИИ могут приносить пользу только при условии постоянного доступа к нужным данным. Это требует выхода за рамки базовых парсеров SIEM и коннекторов API. Инженеры по данным безопасности должны знать все тонкости работы со всеми данными: разведывательные данные об угрозах, управление идентификацией и доступом (IAM), облачные журналы, телеметрия конечных точек/сети/приложений, бизнес-контекст, шаблоны доступа третьих сторон и так далее.
Все эти данные должны вписываться в унифицированные уровни данных, поддерживающие мультимодальный прием. Это требует управления массивными конвейерами данных для обеспечения контекстно-богатого, нормализованного и высокоточного логирования из множества активов, облачных инфраструктур, SaaS-приложений и поставщиков идентификационных данных.
В идеале инженеры по данным безопасности преобразуют сегодняшний беспорядок форматов данных и API в связные уровни данных с использованием таких стандартов, как Open Cybersecurity Schema Framework (OCSF).
Оркестраторы агентов безопасности ИИ
По мере того как решения на основе агентов будут распространяться в виде роев, кто-то должен будет выступать в роли дирижера оркестра. Это включает в себя понимание того, как объединять мультиагентные системы, определяя при этом границы и рамки, устанавливая постоянство памяти и решая, какие агенты могут выполнять автономные действия, а какие действия по-прежнему требуют участия человека.
Помимо технических навыков работы с агентами, оркестраторы агентов безопасности ИИ должны обладать глубоким пониманием бизнес-ориентированных приложений и рабочих процессов ИИ, а также того, как все это связано с последними разведывательными данными об угрозах.
Тренеры моделей ИИ
Вместо принципа «настроил и забыл» модели ИИ для операций по обеспечению безопасности требуют постоянного обновления и специфического контекста для каждой отдельной организации на основе угроз, отрасли и бизнес-процессов.
Тренеры моделей ИИ должны освоить генерацию с дополненным поиском (RAG) для обновления моделей локальными разведывательными данными об угрозах, картами критичности активов, новыми идентификаторами и изменениями в архитектуре внутренней сети. Тренеры также должны быть экспертами в тонкой настройке наборов данных для обеспечения точных и оптимальных результатов.
Охотники за угрозами с поддержкой ИИ
С появлением агентов ИИ поиск угроз превращается из спорадической активности в непрерывную деятельность. Это означает выход за рамки триггеров обновления разведывательных данных о киберугрозах (CTI), таких как новые индикаторы компрометации (IoC), и сосредоточение внимания на поведенческих знаниях противника в рамках целых кампаний и TTP (в рамках фреймворка MITRE ATT&CK).
В ближайшем будущем агенты будут выполнять базовую работу, в то время как охотники за угрозами с поддержкой ИИ будут использовать свой опыт для разработки высокосложных, креативных и комплексных сценариев атак, которые стандартная логика обнаружения, вероятно, пропустит. Затем охотники используют ИИ для мгновенного написания сложных запросов к огромным наборам данных. Цель? Искать намерения противника — эксфильтрацию конфиденциальных данных, шифрование данных и т. д., — а не очевидные методы работы противника, такие как хеши файлов или IoC.
Опытные в ИИ специалисты по Red Teaming/тестированию на проникновение
По мере того как ИИ проникает в корпоративные системы, SaaS-приложения и сторонние сервисы, организациям потребуется новое поколение специалистов по Red Team для обнаружения слабостей и пробелов в корпоративной инфраструктуре и приложениях ИИ в рамках всей цепочки поставок программного обеспечения.
Для достижения этой цели специалисты по Red Team и тестированию на проникновение, разбирающиеся в ИИ, должны обладать набором навыков и знаний для обхода новых типов средств защиты безопасности, основанных на ИИ. Выйдя за рамки средств контроля безопасности, роли Red Teaming и тестирования на проникновение переходят к атаке на внутренние развертывания ИИ предприятия — тестированию на такие вещи, как отравление данных, уязвимости внедрения промптов и несанкционированный доступ к базовым хранилищам данных, используемым для создания и тонкой настройки различных моделей ИИ.
Как говорится: «ИИ не отнимет вашу работу, но это сделает тот, кто знает, как использовать ИИ в своих интересах». Специалисты по кибербезопасности, которые следуют этой логике, инвестируют в свои навыки и ищут работу, подобную описанным выше, будут процветать профессионально, добиваться экономического успеха и быть чрезвычайно ценными для своих организаций.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jon Oltsik
