ИИ в информационной безопасности: 7 практических сценариев

Проблема перегрузки SOC не нова, но за последние два-три года она перешла из категории «неудобство» в категорию «системный риск». Несколько факторов сошлись одновременно.

Во-первых, количество источников событий выросло кратно. Если пять лет назад SIEM собирал логи с периметра, AD и нескольких серверов, то сегодня в контур попадают облачные сервисы, контейнерные среды, endpoint-агенты, сетевые сенсоры, DLP-системы, средства контроля привилегированного доступа и десятки других источников. Каждый из них генерирует поток событий, а корреляционные правила, написанные вручную, не успевают за изменениями в инфраструктуре.

Во-вторых, злоумышленники адаптируются быстрее, чем обновляются сигнатуры. Фишинговые кампании стали точечными, lateral movement — медленным и малозаметным, а социальная инженерия использует контекст, который невозможно отловить статическим правилом.

В-третьих, рынок кадров не успевает за спросом. Найти опытного аналитика SOC, который умеет работать с конкретной SIEM-платформой, понимает сетевую инфраструктуру заказчика и способен принимать решения под давлением — задача, на которую уходят месяцы. А удерживать таких специалистов, когда рутинная нагрузка на них растёт каждый квартал, ещё сложнее.

ИИ не решает все эти проблемы разом. Но он позволяет перераспределить нагрузку: забрать у аналитика монотонную, повторяющуюся работу и дать ему возможность заниматься задачами, где нужны опыт, контекст и суждение.

ML-модель обучается на исторических данных: какие алерты приводили к реальным инцидентам, какие закрывались как false positive, какие требовали эскалации. На вход модель получает не только параметры самого алерта, но и контекст — информацию об активе (его критичность, владелец, сегмент сети), данные из threat intelligence-фидов, историю предыдущих алертов по этому источнику.

На выходе — скорректированный приоритет и обогащённая карточка алерта, в которой аналитик сразу видит, почему модель оценила событие как значимое. В типовом сценарии внедрения это позволяет сократить объём ручной обработки алертов первой линией и быстрее выводить критичные события на вторую-третью линию.

Модель классификации получает набор признаков инцидента: тип алерта, источник, затронутые хосты, учётные записи, время, последовательность событий. На основе обучения на размеченном корпусе предыдущих инцидентов она предлагает: категорию (malware, unauthorized access, data exfiltration, policy violation и т. д.), рекомендуемый playbook, предварительную оценку severity и список первоочередных действий.

В типовом сценарии автоматический triage покрывает значительную долю стандартных категорий инцидентов. Для нестандартных кейсов модель помечает инцидент как требующий ручной классификации — и это важная часть дизайна системы.

ML-модель строит поведенческий профиль для каждой сущности: пользователя, хоста, сервисной учётной записи. Профиль включает типичные паттерны: время активности, набор используемых ресурсов, объёмы передаваемых данных, географию подключений, последовательность действий. Отклонения от профиля формируют risk score — чем больше отклонений, чем они необычнее, тем выше балл.

Типовой сценарий: учётная запись сотрудника, которая обычно работает с тремя корпоративными системами в рабочее время, вдруг начинает обращаться к файловым хранилищам других департаментов поздно вечером. Каждое отдельное действие формально разрешено, но совокупность сигнализирует об аномалии.

Офицер ИБ, который ежедневно разбирает сотни таких событий, неизбежно теряет внимательность — и пропускает реальную утечку среди шума.

ML-модель анализирует событие DLP в контексте: не только содержимое перехваченного объекта, но и поведение отправителя (его типичные паттерны работы с данными), характер получателя (внутренний, внешний, новый, доверенный), историю аналогичных событий и их исходы. На основе совокупности признаков модель оценивает вероятность реального нарушения и ранжирует события.

В практике рынка это позволяет существенно сократить количество событий, которые требуют ручного разбора офицером ИБ, фокусируя его внимание на действительно подозрительных случаях.

LLM-модель, имеющая доступ к документации по инфраструктуре, существующим playbook'ам, базе знаний SOC и истории инцидентов, может генерировать черновики playbook'ов для новых типов инцидентов. Модель анализирует: какие шаги предпринимались в аналогичных случаях, какие действия были эффективны, какие источники данных использовались, какие эскалации производились.

Кроме того, LLM может анализировать существующие playbook'и и предлагать оптимизации: убрать избыточные шаги, добавить недостающие проверки, привести формулировки к единому стандарту, выявить пробелы в покрытии.

Это типовой сценарий, который набирает популярность в зрелых SOC, где есть достаточный объём документированных процедур.

Комбинация ML-классификатора и LLM-анализа позволяет оценить письмо с нескольких сторон. ML-модель анализирует технические признаки: заголовки, SPF/DKIM/DMARC, репутацию отправителя, URL-паттерны, характеристики вложений. LLM анализирует содержание: выявляет манипулятивные паттерны (urgency, authority, fear), проверяет логическую связность контекста, сравнивает стиль с предыдущими письмами предполагаемого отправителя.

В типовом сценарии при обработке писем, пересланных сотрудниками как подозрительные, такой анализ позволяет быстро дать заключение: фишинг с высокой вероятностью, легитимное письмо, требует ручного разбора. Это значительно ускоряет обработку обращений и снижает нагрузку на аналитиков.

LLM-ассистент, интегрированный в рабочую среду аналитика, помогает на нескольких этапах. На этапе сбора — суммаризирует большие объёмы логов, выделяя аномалии и значимые события. На этапе анализа — помогает формулировать гипотезы: «учитывая цепочку событий A → B → C, наиболее вероятный сценарий — компрометация через подрядчика». На этапе документирования — генерирует черновик отчёта об инциденте по заданной структуре, с хронологией, списком затронутых активов и рекомендациями.

Это условный пример внедрения, но направление активно развивается: ряд вендоров SIEM/SOAR уже включают LLM-ассистентов в свои платформы.

ИИ полезен там, где есть большой объём однотипных задач, где важна скорость первичной обработки и где ошибка модели может быть быстро скорректирована человеком. Приоритизация алертов, triage, поведенческий анализ, суммаризация — всё это задачи, где ИИ даёт реальный выигрыш.

Переоценивают ИИ там, где требуется глубокое понимание контекста, стратегическое мышление и ответственность за последствия. Принятие решений о реагировании на инциденты высокой критичности, формирование политик безопасности, оценка бизнес-рисков, коммуникация с руководством и регуляторами — всё это остаётся задачей человека.

Несколько типичных заблуждений, которые стоит оставить за рамками ожиданий.