ИИ в кибербезопасности

Сегодня хайп по поводу ИИ еще на подъеме, а маркетинговые ожидания крайне высоки. В принципе большинство серьезных экспертов по ИИ согласны с тем, что хайп пройдет и года через два-три ИИ в массовом сознании будет чем-то обыденным. И это вовсе не потому, что эксперты так проницательны. Отнюдь. Пока ИТ-компании по всему миру переименовывают функции своих продуктов в AI-Driven или AI-Powered, эксперты со стажем понимают, что ровно в таком же состоянии в 2014 году была Big Data. Я помню, как эксперты на всевозможных форумах объясняли, что Big Data и глубокий анализ угроз спасет нас от всего. Потом стало понятно, что качество данных куда важнее количества. А еще был Threat Intelligence, помните? В 2016 году мы с коллегами серьезно сравнивали документацию вендоров и пытались понять, кто же решит все наши проблемы. Threat Intelligence называли не иначе как «новая нефть», но уже к 2018 году рынок перенасытился, сигнатуры в решениях устаревают в момент появления, а сам ИT просто стал частью XDR и SOC. А еще помните, была такая пандемия SARS-CoV-2, когда все сидели на удаленке, а эксперты на голубом глазу объясняли, что только Zero Trust поможет сделать удаленку по-настоящему безопасной? Каюсь, я был в их числе, потому что никто не знал, что Zero Trust превратится в маркетинговую мантру, за которой по факту стоит дорогостоящая перестройка вообще всей инфраструктуры, куча подводных камней и неочевидный результат.

Но вернемся к ИИ. Он стал обязательным пунктом программы — будь то презентация о будущем кибербезопасности или новый программный продукт. Без маркетинговой обертки с ИИ это просто не продается. Никто не даст вашему стартапу денег, если что-то не будет сделано с помощью ИИ. Но сегодняшний ИИ решает прикладные, базовые задачи, которые раньше делали скрипты. Раньше для коррекции событий мы писали скрипт, а теперь это делает ИИ. Да, это эффективно, но не более. Вообще идея, что алгоритм заменит аналитика — крайне опасный миф. Это на бумаге ИИ становится правой рукой аналитика SOC, к примеру, GSOC компании «Газинформсервис», который видит то, чего не видит человеческий глаз. На практике модель может заметить аномалию в трафике, но однозначно сказать — это вирус, обновление ПО и криво написанный код, он пока не может.

Сегодня умные SOC — это не самостоятельные ИИ, которые думают за всех, а комбинация ручных правил, статистических моделей и скриптов. Машинное обучение помогает решать задачи, но не решает их само. Настоящая аналитика — это удел человека. И это мы даже не касаемся вопроса расследования причин и мотивов атаки, а также выбора стратегии реагирования.

Еще один субтренд — предсказательная аналитика. Вендоры обещают с помощью ИИ предсказывать, где предстоит инцидент. Но делается это обычно на основе исторических данных, а данные эти устаревают стремительно. Атаки нового типа или их комбинации полностью ломают мозг такому ИИ. Присказка про генералов, которые готовятся к прошлой войне, начинает играть новыми красками. Реальных доказательств того, что ИИ способен предотвратить инцидент, прежде чем он произойдет, пока нет. Карты таро и хрустальные шары имеют сходную прогностическую способность.

Еще один тонкий момент — аномалия не равна атаке. Да, ИИ умеет смотреть в логи и фильтровать фишинговые письма. И справляется с этим хорошо. Но попробуйте отправить большой объем данных. ИИ не поймет: вы сейчас утечку организовали или такой большой отчет отправили? Это отклонение от нормы, но что за этим стоит. Умные решения требуют постоянной донастройки и проверки, без обучения на свежих данных и постоянного допиливания аналитиками автоматизация теряет всякий смысл.

Ну и мое самое любимое — война ИИ. Красивая картинка, где злой ИИ атакует системы по всему миру, а добрый ИИ ему противостоит. Но в реальности злоумышленники применяют ИИ для генерации фишинговых писем, дипфейков и автоматизации простых атак. Это просто инструмент повышения эффективности. А защитники с помощью ИИ ускоряют решение рутины. Конечно, модели упрощают поиск индикаторов компрометации или помогают писать правила корреляции. Это полезно и круто, но на революцию не тянет.

В итоге нельзя отрицать, что в ряде задач ИИ действительно приносит ощутимую пользу. Тут и спорить не о чем. Но будущее, скорее всего, в том, что ИИ будет незаметно присутствовать в EDR-, SIEM- и SOC-платформах, помогая сортировать информационный шум. Уже сегодня ИИ эффективно автоматизирует 15–20% рутинных функций, например в SOC. Ждать от него осознанного понимания природы угроз и способности принимать ответственные решения — преждевременно. Но не все так плохо. Быть может, предназначение ИИ — не мыслить, а освобождать время для человеческого мышления.

Перед компанией «Газинформсервис» сегодня открываются широкие перспективы, связанные с решением ряда стратегически важных задач. Эти вызовы определяют вектор развития компании и ее вклад в обеспечение цифровой безопасности в современных условиях — развития ИИ.

Если рассматривать продуктовое направление, то безусловным приоритетом является дальнейшее совершенствование и расширение портфеля флагманских решений. Особое внимание уделяется разработке и адаптации передовых технологий для работы в гибридных и облачных средах. Это направление становится ключевым, поскольку именно там сосредоточена большая часть современных корпоративных данных и критически важных инфраструктур. Параллельно компания активно инвестирует в создание интеллектуальных систем анализа безопасности. Цель этих систем — не просто мониторинг, а превентивное выявление и противодействие сложным целевым атакам (APT), которые представляют собой наиболее изощренные и опасные угрозы для любой организации. Такие системы должны обладать способностью к глубокому обучению и адаптации, чтобы оставаться эффективными против постоянно эволюционирующих методов злоумышленников.