ИИ проверил 30% инцидентов в информационной безопасности

Об этом рассказал директор департамента мониторинга, реагирования и исследования киберугроз ООО "Бизон" (Bi-Zone) Теймур Хеирхабаров на пресс-конференции, посвященной исследованию российского ландшафта киберугроз Threat Zone 2025. Он сообщил, что за 2024 г. компания отметила снижение "подозрений на инциденты" на 41% при росте количества киберинцидентов (+63%, более 13 тыс. за 2024 г.) и клиентов компании. По его словам, это происходит потому, что более 30% подозрений на инцидент обрабатываются автоматически без участия человека.

"Анализ на подозрения на инцидент - большая работа, и когда мы говорим об услугах мониторинга, это составляет большую часть себестоимости услуги. И логично предположить, что любой центр мониторинга, коммерческий или внутренний, стремится минимизировать эту работу, и мы вкладываем в нее огромные усилия", - сказал он.

Теймур Хеирхабаров отметил, что на 2025 г. у компании в планах нарастить этот показатель до 45%. Однако, по его словам, этот рост будет сложным. Отвечая на вопросы корреспондента ComNews, он заметил, что в анализе участвует совокупность средств автоматизации, в которые входят различные технологии, включающие машинное обучение, оpen source, большие языковые модели (Large Language Model - LLM), которые работают на закрытой ферме серверов, принадлежащих компании.

"У нас есть процесс перепроверки, но он не подразумевает, что мы перепроверяем всю работу средств автоматизации. В противном случае в ней не было бы смысла. Часть подозрений на инциденты, которые классифицируются моделью, подмешиваются в данные для аналитиков. А они, не зная, какие алерты классифицированы моделью, выносят решение. Это делается, чтобы модель непрерывно обучалась. Модель сообщила, что этот конкретный случай - ложное срабатывание, аналитик его закрыл как неложный или подтвердил ответ модели. Это непрерывный процесс, который постоянно используется на практике и дает обратную связь. Помимо этого, мы используем процессы постанализа. Мы берем репрезентативную, с точки зрения математической статистики, выборку и перепроверяем ее людьми. Но не с целью следить за моделью, а с целью узнать, корректно ли работают аналитики. Если туда попадает то, что было сделано моделью, то в случае ошибки дается обратная связь модели, - рассказал Теймур Хеирхабаров.

Технический руководитель центра мониторинга и реагирования на кибератаки RED Security SOC ООО "Прикладная техника" (RED Security) Ильназ Гатауллин рассказал, что в арсенале компании есть различные средства автоматизации для обработки инцидентов, инструменты на базе искусственного интеллекта входят в их число.

"Они применяются для обогащения карточек инцидентов, а также облегчения и ускорения работы дежурной смены. В частности, таким образом автоматизирован поиск информации в SIEM-системе на базе предзаготовленных запросов. Также мы используем LLM, которая позволяет дежурной смене аналитиков получить более детальную, развернутую информацию по командной строке, то есть при необходимости дает справку об утилитах или процессах, фигурирующих в техническом описании инцидента", - отметил он.

Ильназ Гатауллин отметил, что компания отправляет результаты заказчику только после проверки специалистом центра управления кибербезопасности (SOC). По его мнению, ИИ может быть помощником и "вторым пилотом", так как ответственность за результат несет аналитик SOC.

"У нас процент обработки инцидентов человеком остается тем же, но автоматизация помогает нам сократить время, которое тратится на эту задачу, и снизить рутинную нагрузку на аналитиков, чтобы утомляемость от выполнения большого количества однообразных действий не мешала им решать действительно сложные кейсы", - сказал он.

"В Kaspersky MDR (Manage Detection and Response) уже более пяти лет используются технологии машинного обучения. Технология автоаналитика обрабатывает ежедневно от 30% до 40% подозрений на инциденты кибербезопасности, что позволило, например, за 2023 г. обработать автоматически 117 тыс. событий. Также в нашем MDR есть скоринг инцидентов, который позволяет приоритизировать их в очереди обработки аналитиков, и технологии детектирования аномалий в телеметрии клиентов", - рассказал старший исследователь данных АО "Лаборатория Касперского" Дмитрий Аникин.

По его словам, компания использует в продуктах языковые модели. Такие как ИИ-помощник KIRA (Kaspersky Investigation and Response Assistant), который помогает пользователям анализировать события безопасности и OSINT IOC (Open Source Information - информация из открытых источников; Indicator of compromise - индикатор компрометации) в Kaspersky Threat Intelligence Portal. Он помогает пользователям получить краткую фактологическую выжимку о произошедшей атаке, собранную из различных отчетов и статей. Компания разрабатывает их на внутренней LLM-инфраструктуре на базе вычислительного кластера в коллаборации с ПАО "Сбербанк".

"MDR-автоаналитик не хуже людей обрабатывает типовые события, а вот у LLM-решений, как и у автоаналитика, цель не заменить специалиста, а помочь ему и сделать работу быстрее, проще и надежнее", - заметил Дмитрий Аникин.

По словам руководителя SOC ООО "Юзергейт" (UserGate) Дмитрия Шулинина, сотрудники компании используют "все самые современные технологии автоматизации, включая машинное обучение и ИИ". В будущем компания запустит модели для отслеживания аномалий в журналах событий для SOC и встроит модели в продукт SIEM. Он отметил, что для аналитической работы компания использует базу готовых моделей, доработанных под необходимые задачи, а модели, которые пойдут в продукты, создают разработчики UserGate.

"Разработка собственных технологий - это очень длительный и ресурсоемкий процесс. Он оправдан тогда, когда в нем есть целесообразность. Так, в основе наших NGFW-решений (New Generation Firewall) лежит операционная система нашей разработки - UGOS, поскольку только код, написанный с нуля, может обеспечить полный контроль над устройством, безопасность передаваемых данных, а также возможность внесения оперативных изменений в случае необходимости. Например, при обнаружении ошибок или для оптимизации работы софта и железа с целью получения максимальной производительности устройства. Наши решения показывают около 1-2% ложных срабатываний. Мы считаем этот результат весьма успешным. Именно поэтому мы вплотную подошли к тому, чтобы встраивать их в существующие решения", - заключил Дмитрий Шулинин.