Искусственный интеллект стремительно меняет подходы команд безопасности к обнаружению и поиску киберугроз, помогая анализировать огромные объемы данных о безопасности, выявлять тонкие признаки вредоносной активности и обнаруживать потенциальные атаки быстрее, чем это могут сделать традиционные инструменты или аналитики-люди.
По прогнозам аналитической фирмы Gartner, к 2028 году 50% платформ для обнаружения угроз, расследования и реагирования (TDIR) — включая такие технологии, как EDR, XDR, SIEM и SOAR — будут включать возможности агентного ИИ, по сравнению с менее чем 10% в 2024 году. Фирма утверждает, что ИИ может помочь организациям укрепить обнаружение угроз, реагирование на инциденты и сдерживание, а также помочь командам безопасности преодолеть постоянную нехватку кадров и снизить зависимость от дефицитных специалистов по кибербезопасности.
Вопрос масштаба
По мнению экспертов по безопасности, значительная часть влияния ИИ на обнаружение угроз связана с его способностью обрабатывать телеметрию в масштабах, которые человеческим командам было бы сложно, если не невозможно, контролировать.
Современные ИТ-среды могут генерировать миллиарды журналов и событий ежедневно в конечных точках, сетях, облачных сервисах и системах идентификации. Модели машинного обучения могут сопоставлять эти сигналы практически в реальном времени и выявлять поведенческие аномалии — такие как необычные шаблоны входа в систему, подозрительное боковое перемещение или попытки эксфильтрации данных, — которые в противном случае могли бы остаться незамеченными в общем шуме.
Многие корпоративные команды безопасности ожидают, что такие возможности значительно усилят их потенциал обнаружения. В опросе 2025 года, проведенном Anvilogic в сотрудничестве с Институтом SANS, 45% респондентов заявили, что их организации уже интегрировали ИИ в свои рабочие процессы обнаружения угроз; 88% полагали, что ИИ будет играть важную роль в инженерии обнаружения в течение следующих трех лет.
Организации уже используют ИИ для автоматизации многих рутинных задач, традиционно выполняемых аналитиками первого и второго уровней, говорит Мартин Сордилла, старший архитектор по технологиям и безопасности в Accenture. Большая часть этой работы включает просмотр журналов, сортировку оповещений, выявление индикаторов компрометации, сопоставление событий и обращение к владельцам систем во время расследований. ИИ может значительно ускорить эти процессы — автоматизируя такие задачи, как сортировка оповещений, документирование, сбор доказательств и отслеживание цепочки владения, добавляет он.
Организации уже наблюдают повышение эффективности примерно на 40–50% для задач SOC низшего уровня, что позволяет аналитикам-людям сосредоточиться на более сложных расследованиях и мероприятиях по реагированию, говорит Сордилла.
Снижение усталости от оповещений
В процессе сортировки оповещений агенты ИИ снижают усталость от них, кластеризуя шаблоны оповещений и обеспечивая приоритизацию на основе риска, добавляет Дипто Чакраварти, технический директор Black Duck.
Например, агенты обработки естественного языка могут обобщать оповещения об угрозах в масштабе и сопоставлять их с фидами разведывательных данных об угрозах, такими как CVE.org и Каталог CISA KEV, говорит он.
«Общий рабочий процесс реагирования на инциденты является одним из бенефициаров агентных ИИ, где мы видим ценность автоматизированных сценариев для распространенных инцидентов», — отмечает он.
Агенты ИИ также играют роль в обогащении разведывательных данных об угрозах в масштабе путем приема и сопоставления данных из множества источников и, следовательно, обогащения этих оповещений контекстом с добавленной стоимостью, таким как данные CVE.
«Сегодня агенты ИИ могут эффективно ускорять получение выводов из организованных и нормализованных наборов данных», позволяя аналитикам задавать вопросы на естественном языке, говорит Николь Букала, генеральный директор Databee. Они устраняют необходимость в специализированных запросах, аналитических панелях или ручном анализе, которые обычно требуются для этой задачи.
Вместо того чтобы заваливать аналитиков тысячами предупреждений с низкой степенью достоверности, платформы обнаружения на базе ИИ могут оценивать и сопоставлять оповещения, группировать связанные действия в инциденты с более высокой точностью и отфильтровывать рутинное или безвредное поведение. В результате, по словам поставщиков и аналитиков, происходит снижение усталости от оповещений и смещение рабочих процессов аналитиков от ручной сортировки к более глубокому расследованию и реагированию.
«ИИ помогает SOC избежать „театра активности“, превращая необработанный шум в более быстрые и более уверенные решения, подкрепленные доказательствами», — говорит Крейг Джонс, директор по безопасности Ontinue.
Выгорание сотрудников SOC — реальная проблема, отмечает Джонс. Основными движущими силами этого в отрасли являются объем оповещений, фрагментация и неоднозначность, и эти факторы существуют для любой команды, работающей в масштабе. Аналитики, по его словам, часто тратят слишком много времени на обработку большого количества оповещений с низким уровнем сигнала, а затем вынуждены переключать контекст между несколькими инструментами, чтобы собрать основы расследования.
Более быстрое сдерживание угроз
Настоящая победа с ИИ заключается не в обработке большего количества оповещений или закрытии большего числа заявок; а в более быстром сдерживании реальных угроз с меньшим количеством ошибок, говорит Джонс.
«Когда ИИ используется для сопоставления слабых сигналов в связные инциденты, автоматического обогащения расследований и рекомендации безопасных следующих шагов в рамках четких ограничений, вы перестаете измерять усилия и начинаете доказывать результаты», — объясняет он.
Эксперты по безопасности ожидают, что ИИ изменит навыки, необходимые командам безопасности. Вместо устранения рабочих мест он поможет командам безопасности автоматизировать рутинные задачи и перенаправить роли в сторону инженерии и системного проектирования, говорит Сордилла из Accenture. Традиционная роль аналитика SOC, в значительной степени ориентированная на ручной просмотр журналов, вероятно, трансформируется в роли инженеров по безопасности, сосредоточенных на построении устойчивых систем, конвейеров автоматизации и защитных механизмов с поддержкой ИИ.
Ранние данные показывают, что организации, внедрившие ИИ для инженерии обнаружения, наблюдают некоторые измеримые выгоды. В исследовании Google, охватившем 3466 старших руководителей, почти семь из десяти (67%) ранних пользователей агентного ИИ сообщили о положительном влиянии на их позицию безопасности. Из этой группы 85% описали, как ИИ улучшил их способность выявлять угрозы. Ранние пользователи ИИ, отметила Google, видят количественные преимущества не только с точки зрения эффективности, но и с точки зрения результативности.
В то же время эксперты предупреждают, что обнаружение на основе ИИ не является панацеей. Противники все чаще экспериментируют с ИИ сами — используя его для создания более убедительных фишинговых кампаний, автоматизации разведки или модификации вредоносного ПО для обхода сигнатурных защит. Эта динамика подталкивает защитников рассматривать ИИ не просто как еще один инструмент безопасности, а как часть более широкой эволюции операций безопасности, где человеческий опыт, разведывательные данные об угрозах и машинное обучение должны работать сообща.
«Кибератаки были индустриализированы со скоростью машин», — говорит Рам Варадараджан, генеральный директор Acalvio. «Мы должны отвечать тем же».
Это означает внедрение оборонительного ИИ, способного выполнять технические задачи с большим объемом, такие как сортировка фишинговых писем, анализ огромных сетевых журналов на предмет поведенческих аномалий, развертывание систем кибердезинформации с учетом ИИ и автономная карантинизация скомпрометированных конечных точек для предотвращения бокового перемещения, говорит он.
«Когда нападающий использует ИИ со скоростью машины, ни один человек никогда не сможет угнаться, а эти сложные атаки с использованием ИИ будут запускаться в масштабе», — отмечает он.
Правильное внедрение ИИ
Ключ к получению максимальной пользы от ИИ в обнаружении угроз — это обеспечение участия людей. Любое обнаружение угрозы или последующее действие по ее устранению, основанное на этих выводах, особенно то, которое влечет за собой нетривиальные последствия для бизнес-операций, должно оставаться под человеческим контролем, как минимум, говорит Букала из Databee.
«Человек в цикле — это мантра», — говорит она. «Полная автоматизация может повлечь за собой значительный бизнес-риск, если погрешность в решениях, принятых машиной, не будет близка к нулю».
Хотя ИИ демонстрирует многообещающие результаты в обнаружении угроз, он все еще нуждается в доработке. Лучшая практика для организаций — наладить процесс, включающий человеческую проверку, и привлечь людей, обладающих необходимой внимательностью к деталям и контекстом для выборочной проверки сводных результатов и решений ИИ, отмечает Букала.
ИИ, добавляет Сордилла из Accenture, не заменяет базовую гигиену безопасности. Если в организации уже существуют слабые практики безопасности, ИИ может просто ускорить существующие проблемы. Поэтому компаниям следует сначала убедиться, что у них есть надежное управление, четкие стандарты безопасности и зрелые процессы — например, те, которые изложены в рамках NIST и Международной организации по стандартизации — прежде чем внедрять ИИ в свои программы безопасности.
«ИИ — это мультипликатор силы», — говорит Сордилла. «Если ваша компания движется в неверном направлении, вы пойдете ко дну быстрее», неправильно развернув ИИ, предостерегает он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jaikumar Vijayan
