Журнал "Information Security/ Информационная безопасность" #4, 2024

работу в промышленной инфраструк- туре, это крайне востребовано для кли- ентов нашего SOC. Мы также используем нашу плат- форму расширенной аналитики Ankey ASAP. У нас на нее очень большие планы! Ankey ASAP использует машин- ное обучение и нейросети, чтобы обна- руживать атаки и размечать цепочки атак, помогая операторам SOC рабо- тать с другими инструментами. Это такой зонтик, который объединяет всю аналитику из источников. У нас есть также модуль для анализа действий внутреннего нарушителя, построенный на поведенческой аналитике. – В прошлом году вы говорили, что SIEM скоро исчезнет как класс. Вы по-прежнему так счи- таете? – SIEM – это часть системы управле- ния информационной безопасностью (СУИБ). В широком смысле СУИБ, в отличие от SIEM, никуда не денется. А SIEM-решения уже сейчас съедают ИБ-метапродукты и скоро поглотят их окончательно. Дело в том, что классическая работа SIEM – это сбор, предобработка, кор- реляция событий и выявление инци- дентов, но уже на протяжении несколь- ких лет в этот список с зарубежных рынков привносится новая функцио- нальность. В SIEM существуют агенты для сбора конечных точек, на них же появляется функция реализации контр- мер (response). Часть вендоров пред- лагает на рынке такие агенты как отдельные EDR-решения. С другой сто- роны, реализуется расширенная ана- литика и развиваются технологии UEBA, появляются машинное обучение, нейросети, встраиваются большие язы- ковые модели (LLM). А финальным компонентом этой системы становится оператор SOC, причем не просто как пользователь, а как эксперт. Так из триады "человек, устройство и система" рождаются мета- продукты "человек внутри системы", в которых растворена функциональность SIEM. – Станет ли ИИ фактором, объ- единяющим разные классы решений в одну сверхумную мно- гофункциональную нейросеть, которая сможет управлять без- опасностью? – Хороший вопрос. Я долгое время занималась телекоммуникациями, когда работала в предыдущих проектах. Приведу пример 6G, где человек оби- тает в виртуальной реальности, а вокруг него датчики, сенсоры и т.п. Прогресс ведет нас к этому, и такая инфраструктура со встроенным искус- ственным интеллектом будет частью нашей жизни. Но информационная без- опасность – как была, так и останется. Перед ней еще более остро встанут вопросы легализации, стандартизации использования новых технологий. И в связи с этим информационной без- опасности из прикладной науки еще предстоит перейти в фундаментальную научную дисциплину. Сейчас активно развиваются боль- шие языковые модели, мы видим попытки интегрировать их в ИБ-про- дукты. Но на текущем технологическом цикле и доступных в нашей стране ресурсах мне видится более перспек- тивным другой подход, когда исполь- зуется не одна большая ресурсоемкая языковая модель, а много специализи- рованных маленьких. Каждая их них должна концентрироваться на своем аспекте работы в интересах информа- ционной безопасности, а все вместе они смогут взять на себя полный спектр ИБ-процессов и функций. – Вы вносите свой вклад в поставку аналитических дан- ных, ценность которых на рос- сийском рынке достаточно высока. С какими болезненными запросами заказчиков приходит- ся сталкиваться? – Есть аналитика, которую давно уже делают исследователи на россий- ском ИБ-рынке: от "Лаборатории Кас- перского", от Positive Technologies, 16 • В ФОКУСЕ Фото: Андрей Василенко