Журнал "Системы Безопасности" № 6‘2025

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , И И , И Н Т Е Р Н Е Т В Е Щ Е Й 123 4. Модуль принятия решений на основе резуль- татов анализа автоматически применяет поли- тики: блокирует передачу данных, помещает письмо в карантин, требует дополнительную аутентификацию или уведомляет службу без- опасности. Практические сценарии применения Защита электронной почты ИИ-система может анализировать каждое пись- мо в режиме реального времени. Проверяются вложения (включая содержимое архивов и зашифрованных файлов), тело письма, список получателей. Например, если сотрудник компа- нии отправляет письмо с документом и в теле письма или в самом документе указана аббре- виатура NDA на внешний почтовый адрес, пись- мо автоматически блокируется, а инцидент регистрируется. Такая система понимает контекст: то же письмо, отправленное внутри компании (на адрес с тем же доменом), будет пропущено. Анализируется история коммуникаций, проверяется, входит ли получатель в белый список, и т.д. Контроль облачных сервисов Сотрудники активно используют облачные хра- нилища – от корпоративных до личных. ИИ мониторит все загрузки, анализируя содержи- мое файлов. Когда разработчик пытается загрузить исходный код в личное облако перед увольнением, систе- ма блокирует операцию, регистрирует инци- дент и уведомляет ИБ- или ИТ-отдел. Контро- лируется также активность в корпоративных SaaS-приложениях: массовый экспорт данных из CRM, необычные API-запросы, изменение прав доступа и т.д. Защита от утечек через физические носители USB-накопители до сих пор остаются популяр- ным каналом утечек. ИИ-система идентифици- рует тип копируемых данных, применяя дина- мические политики: разрешить копирование публичных документов, запретить – конфиден- циальных, потребовать согласование руководи- теля для ограниченных. Все операции логируются с сохранением метаданных и, при необходимости, теневых копий файлов. Это позволяет провести рас- следование инцидента и восстановить цепоч- ку событий. Мониторинг печати и скриншотов Распечатка документов и создание снимков экрана – менее очевидные, но реальные каналы утечек. Системы на базе компьютерного зрения распознают конфиденциальную информацию на изображениях, применяя OCR и анализ содержимого. Цифровые водяные знаки с уникальными идентификаторами позволяют отследить источник утечки, если документ все же попадет во внешнюю среду. Знаки могут быть видимыми или скрытыми, содержать инфор- мацию о пользователе, дате и времени созда- ния копии. Интеграция с инфраструктурой безопасности Современные DLP-системы на базе ИИ интегри- руются с SIEM (Security Information and Event Management) и добавляют в события контекст и коррелирующие признаки других инцидентов безопасности. Если SIEM зафиксировал подо- зрительную активность в сети, а DLP обнаружил попытку массового скачивания файлов тем же пользователем, совокупность факторов указы- вает на целенаправленную атаку. Данные из источников Threat Intelligence помо- гают идентифицировать известные индикаторы компрометации: IP-адреса командных серве- ров, домены фишинговых кампаний, хеши вре- доносных файлов. API для интеграции с SOAR-платформами (Secu- rity Orchestration, Automation and Response) поз- воляют автоматизировать реагирование на инциденты: заблокировать учетную запись, изо- лировать рабочую станцию, создать тикет для расследования. Единая консоль управления предоставляет спе- циалистам SOC целостную картину инцидентов, позволяя быстро принимать решения и коорди- нировать действия. Преимущества ИИ-подхода К преимуществам ИИ-подхода можно выделить следующие: 1. Адаптивность к новым угрозам. ML-модели обучаются на новых данных, выявляя ранее неизвестные паттерны атак без необходимости обновления правил вручную. Система эволю- ционирует вместе с ландшафтом угроз. 2. Снижение ложных срабатываний на 70–80%. Контекстный анализ и понимание нормального поведения резко сокращают количество ложных алертов, позволяя аналитикам фокусироваться на реальных угрозах. 3. Выявление сложных многоэтапных атак. ИИ обнаруживает APT (Advanced Persistent Threats), когда злоумышленник месяцами собирает дан- ные небольшими порциями, не вызывая подо- зрений у традиционных систем. 4. Автоматизация рутинных операций. До 60–70% инцидентов обрабатываются автоматически, освобождая время специалистов для сложных расследований и стратегических задач. Вызовы и ограничения Технические вызовы включают высокие требо- вания к вычислительным ресурсам. Необходи- мы качественные обучающие данные: модели требуют разметки корпоративной информации. Проблема "черного ящика" (сложность объясне- ния, почему ИИ принял конкретное решение) создает трудности при расследовании инциден- тов и может вызывать недоверие пользователей. Организационные вызовы связаны с балансом между безопасностью и приватностью. Тоталь- ный мониторинг действий сотрудников может восприниматься как нарушение личных границ, требуется прозрачная политика и согласие пер- сонала. Обучение персонала, как технических специа- листов, так и конечных пользователей, требует времени и инвестиций. Сотрудники должны понимать, зачем внедряется система, как она работает, что от них требуется. Дорожная карта внедрения Рассмотрим, как может выглядеть дорожная карта внедрения на примере решения для контроля и защиты конфиденциальных дан- ных на основе технологий искусственного интеллекта. Система обеспечивает выявление рисков утечек в текстовом контенте, монито- ринг действий пользователей и предоставле- ние рекомендаций по обезличиванию инфор- мации. Этап 1. Подготовка и пилотное внедрение (1–2 месяца) 1. Аудит существующих бизнес-процессов и классификация данных. 2. Определение ключевых рисков и критиче- ских точек возможных утечек информации. 3. Формирование тестовой группы пользовате- лей из разных подразделений. 4. Запуск пилотного проекта на ограниченном контуре для оценки эффективности системы. Этап 2. Настройка и адаптация моделей ИИ (2–3 месяца) 1. Предоставление корпоративных данных для обучения моделей: примеров документов, типовых коммуникаций, политик безопасности. 2. Настройка классификаторов информации согласно специфике бизнеса. 3. Интеграция с существующими системами: ЭДО, почтовыми клиентами, мессенджерами. 4. Валидация точности работы моделей перед полноценным развертыванием. Этап 3. Поэтапное развертывание в режиме мониторинга (1 месяц) 1. Развертывание системы на всей целевой инфраструктуре в режиме наблюдения. 2. Фиксирование статистики работы системы и реакции пользователей. 3. Корректировка политики безопасности на основе собранных данных. 4. Дополнительное обучение моделей для устранения ложных срабатываний. Этап 4. Эксплуатация и развитие системы 1. Активация режима полной защиты с функци- ей блокировки потенциальных инцидентов. 2. Организация процесса регулярного обновле- ния моделей на основе новых данных. 3. Периодический аудит эффективности работы системы. 4. Корректировка настройки в соответствии с изменениями бизнес-процессов и нормативных требований. Будущее ИИ в предотвращении утечек Индустрия движется к нескольким ключевым трендам: 1. Федеративное обучение позволит обучать модели на данных на конечных устройствах, без передачи их в централизованное хранилище, что критично для соблюдения требований без- опасности. 2. Интеграция с архитектурой Zero Trust создаст комплексную систему, где каждый запрос к дан- ным проверяется с учетом контекста: кто запра- шивает, откуда, когда, зачем, какие данные, куда передаются. www.secuteck.ru декабрь 2025 – январь 2026