Журнал "Information Security/ Информационная безопасность" #5, 2025

Александр Шульман, "Актив Интернет Продакшн" Большинство систем на рынке реаги- рует на последствия атак, а не на их зарождение и развитие. Мы работаем на разрушение Kill Chain: анализируем динамику скоринга и контекст событий, выявляя звенья цепочки до фактического инцидента. Такой подход делает реаги- рование проактивным – фокус смеща- ется с устранения последствий на оста- новку развития атаки на ранних этапах. Роман Овчинников, Security Vision Именно к этой идее мы и пришли, реализовав ее в некоторых модулях, таких как SOAR, TIP и др. с машинным обучением на нашей платформе. Мы уже давно используем ML для снижения уровня False Positive, поиска сходств и закономерностей в инцидентах, пре- доставления рекомендаций для эффек- тивного реагирования на основе ранее решенных инцидентов. Логическим про- должением стало прогнозирование инци- дентов и тенденций с помощью средств предиктивной аналитики: используя встроенные знания о различных атаках и дообучаясь на живом трафике в реаль- ной инфраструктуре заказчиков, наши ML-модели позволяют не только выявлять аномалии и искать скрытые киберугрозы, но и прогнозировать раз- витие новых атак и вероятные действия злоумышленников, что является ключом для проактивного реагирования и пред- отвращения инцидентов. Напомню также, что в прошлом году продукты на платформе Security Vision по результа- там экспертной проверки были признаны решениями, использующими технологии ИИ, что отмечено в реестре российского ПО. Максим Ежов, R-Vision Если рассматривать классический SOAR, то ожидать, что он все сделает самостоятельно, будет одним в поле воином, утопично. Но при использовании очень высокофункциональных сопут- ствующих продуктов, таких как SIEM, UEBA, TIP, SGRC, NTA, EDR, – это воз- можно при грамотно выстроенных про- цессах, которые должны быть фунда- ментом любой автоматизации. Андрей Жданухин, "Газинформсервис" Идея абсолютно реальна в связи с существующим спросом на такой функ- ционал, все развивается именно в эту сторону. В какой-то мере даже ИИ- помощники SOC, которых проще всего приземлять на решения SOAR, идут в сто- рону механизма прогнозирования атак и построения всевозможных векторов продвижения злоумышленников. С пред- отвращением инцидентов ситуация будет развиваться аналогично первым внедре- ниям IPS, где именно качественные результаты обнаружения предшествую- щих IDS смогли помочь довериться авто- матизированному предотвращению. Максим Ежов, R-Vision На том уровне функциональности ИИ, которая есть сейчас, да и в обозримом будущем, полностью автономная работа представляется невозможной. Безусловно SOAR будут вбирать в себя новые техно- логии, но это должны быть выверенные и осознанные действия, чтобы не превра- щать решение в черный ящик. За само- обучением любой системы должен стоять эксперт, который понимает контекст, конт- ролирует результаты и направляет раз- витие, чтобы она не становилась залож- ником собственных алгоритмов. Роман Овчинников, Security Vision Уже сейчас благодаря ИИ пользова- тели SOAR с помощью чат-ботов полу- чают рекомендации по реагированию (как специфические в рамках истории решенных инцидентов, так и общие на основании лучших мировых практик), создают новые плейбуки, анализируют информацию, готовят отчеты. ИИ помо- гает в триаже, контекстуализации и приоритизации инцидентов, сборе допол- нительной информации, обработке TI- данных. В недалеком будущем, вероятно, большинство действий по реагированию будут выполняться SOAR автономно, а вмешательство аналитика потребуется для подтверждения критичных операций или в случаях, когда требуется живое взаимодействие с пользователями. Андрей Жданухин, "Газинформсервис" Как и с любой другой технологией, на данный момент невозможно полностью отдать ИИ генерацию рабочего контента, в частности сценарии реагирования. Особенно, когда дело касается инфор- мационной безопасности. Полная авто- матизация опасна без должного контро- ля. Но гибридная автоматизация в синер- гии с оператором ИИ не только целесо- образна, но и видится следующим эта- пом в развитии SOAR-систем и анали- тиков ИБ вместе с ними. Анастасия Федоренко, R-Vision Использование ИИ-агентов сейчас в тренде, но доверять им автономную работу пока не видится возможным. В целом, идея жизнеспособная – ИИ- помощник будет анализировать весь контекст кибератаки, предлагать реко- мендуемые сценарии реагирования и восстановления объекта. На его базе также можно, например, реализовать обучение новых аналитиков. Но вернемся к этому вопросу, когда будет решена проблема зрелости ИИ-помощников. Александр Шульман, "Актив Интернет Продакшн" Полная автоматизация опасна – это вопрос не только технологий, но и ответ- ственности. Если процессами ИБ управ- ляет ИИ, возникает вопрос: кто управ- ляет ИИ? Мы в своем решении исполь- зуем идею Copilot, как в программиро- вании: ИИ предлагает сценарии на осно- ве базы знаний и оценивает риски по данным сети, но финальное решение остается за человеком. Так сохраняется контроль и снижается влияние челове- ческого фактора. l Может ли SOAR стать само- обучающейся системой, где ИИ генерирует сцена- рии реагирования на осно- ве контекста инцидентов? Или полная автоматизация нежизнеспособна или даже опасна? Реалистично ли ожидать от SOAR проактивных дей- ствий, включающих про- гнозирование атак и пред- отвращение инцидентов? Или эта идея утопична? 28 • СПЕЦПРОЕКТ Рисунок: Гротек Ваше мнение и вопросы присылайте по адресу is@groteck.ru