ИИ в кибербезопасности встраивается в разные процессы, но его роль почти везде одна: автоматизация и повышение эффективности защиты. Чем глубже он проникает в средства защиты информации (СЗИ), тем больше вопросов к его работе. Как компании используют ИИ и что он даёт на практике — дальше в статье.
- 1. Введение
- 2. Что такое искусственный интеллект
- 3. Обзор мирового рынка ИИ
- 4. Обзор российского рынка ИИ
- 5. Как выбрать и внедрить ИИ-решение для обеспечения кибербезопасности
- 6. Выводы
Введение
Как устроен рынок искусственного интеллекта (ИИ):
- Оценки объёма российского рынка ИИ сильно расходятся из-за разных подходов: от 520 млрд рублей до 1,45 млрд долларов и выше. Россия занимает чуть более 1 % мирового рынка ИИ, но растёт быстрее него (20–38 %).
- Популярные языковые модели в информационной безопасности (ИБ): GigaChat, Alice AI.
- Рассматриваемые в обзоре ИИ-помощники: BI.ZONE Cubi, Innostage TDIR, Kaspersky KIRA, MaxPatrol BAD, RuSIEM Analytics.
- Некоторые вендоры интегрируют ИИ прямо в свои продукты, не выделяя его в отдельный модуль.
- Помимо аналитики угроз и инцидентов, ИИ применяется в облачной инфраструктуре и инструментах наблюдаемости.
- Развиваются платформы, которые позволяют организациям как использовать готовые модели, так и создавать собственные ИИ-решения.
Сигнатурный анализ и системы обнаружения на основе заранее заданных правил постепенно теряют прежний уровень эффективности в современных инфраструктурах. Речь не о том, что эти подходы стали неправильными или устарели сами по себе: они по-прежнему корректно решают класс задач с известными шаблонами атак. Ограничение возникает в другом: в условиях роста сложности инфраструктур и адаптивности атакующих их становится недостаточно для покрытия реального ландшафта угроз.
Характер атак сейчас другой. Это видно по тому, что разведка, закрепление, эскалация, перемещение внутри инфраструктуры и маскировка активности всё чаще выглядят как набор легитимных действий. Количество таких событий растёт быстрее, чем возможность их ручной верификации.
Меняется объём данных, с которыми приходится работать системам безопасности. Даже в средних инфраструктурах ежедневно формируются терабайты логов, сетевой телеметрии и событий доступа. Эти данные сами по себе не являются проблемой, но их ценность раскрывается только при сопоставлении между собой. В результате основная сложность смещается от обнаружения отдельных признаков к выявлению связей между множеством разнородных сигналов.
И здесь искусственный интеллект (ИИ) начинает занимать отдельную прикладную роль в информационной безопасности (ИБ). Не как альтернатива существующим механизмам обнаружения, а как инструмент, который закрывает ограничения классической модели защиты, накопившиеся по мере усложнения инфраструктур и изменения характера атак.
Что такое искусственный интеллект
В международных и российских источниках используются разные определения, а сам понятийный аппарат остаётся неоднородным и зависит от контекста: научного, технологического, отраслевого или нормативного. В результате под искусственным интеллектом могут одновременно подразумеваться математические модели, системы анализа данных, генеративные нейросети или полноценные программные платформы.
В России базовые определения в этой области закреплены в Национальной стратегии развития искусственного интеллекта на период до 2030 года. Согласно документу, ИИ определяется как комплекс технологических решений, позволяющий имитировать когнитивные функции человека, включая поиск решений без заранее заданного алгоритма, и получать результаты, сопоставимые с результатами интеллектуальной деятельности человека или превосходящие их. В нормативном определении речь идёт не только о нейросетях. Это могут быть:
- информационно-коммуникационная инфраструктура;
- программное обеспечение;
- процессы и сервисы по обработке данных и поиску решений.
В области кибербезопасности неоднородность терминологии проявляется особенно заметно. Под ИИ в ИБ могут пониматься как классические механизмы машинного обучения для поиска аномалий и поведенческого анализа, так и генеративные модели, встроенные в процессы расследования инцидентов, обработки событий и анализа угроз.
Отличия ML, Data Science, LLM
Machine Learning (ML) и Data Science, наука о данных, часто используются рядом, хотя они описывают разные уровни работы с информацией. Data Science — это область, связанная со сбором, обработкой, анализом и представлением данных, включая работу с большими данными (Big Data, BD). Она объединяет статистические методы, аналитику, обработку данных, построение моделей, а также инфраструктуру хранения и обработки информации.
В ИБ Data Science применяется при анализе телеметрии, исследовании атак, подготовке данных для обучения моделей и построении аналитических систем. Machine Learning является одним из инструментов Data Science. Его задача — выявление закономерностей и построение моделей, способных работать с новыми данными без заранее заданного набора правил для каждого сценария.
Ситуация изменилась с распространением больших языковых моделей (Large Language Models, LLM) и генеративных нейросетей. В отличие от классических моделей машинного обучения, они работают со статистическими зависимостями и с текстовым контекстом, журналами событий, описаниями инцидентов, запросами на естественном языке. Это позволило использовать ИИ не только для поиска отклонений, но и для интерпретации событий, анализа цепочек атак и автоматизации отдельных этапов расследования.
Классификация ИИ-решений в ИБ
Единой формализованной классификации ИИ-решений в информационной безопасности на уровне отрасли не закреплено. Однако по результатам анализа существующих практик внедрения можно заметить, что они различаются прежде всего по степени интеграции в инфраструктуру безопасности и характеру выполняемых функций. Исходя из этого, можно выделить следующие группы:
- Нейросетевые модели и сервисы. Они работают отдельно от инфраструктуры безопасности. Используются через API или как отдельный сервис и могут быть основой для других решений, помощников или встроенных модулей.
- ИИ-модули и ИИ-помощники. Разрабатываются как встроенная часть систем безопасности (SIEM, SOAR, EDR, облачные консоли) или как отдельное решение, подключаемое к инфраструктуре.
Рассмотрим некоторые из них.
Обзор мирового рынка ИИ
Мировой рынок искусственного интеллекта в 2024 году оценивался в 16,5 млрд долларов, а при среднегодовом темпе роста 12,2 % он может увеличиться до 45,6 млрд долларов к 2033 году, пишет в своём отчёте Verified Market Reports. В других аналитических отчётах приводятся разные оценки текущего и прогнозного объёма рынка, однако во всех случаях сохраняется единый тренд: устойчивый рост сегмента и расширение применения искусственного интеллекта в кибербезопасности.
Рисунок 1. Оценка мирового рынка ИИ по версии Verified Market Reports
Среди драйверов роста выделяются уже известные факторы: усложнение киберугроз, ужесточение регуляторных требований и расширение практик автоматизации процессов информационной безопасности.
Наряду с традиционными факторами роста усиливается влияние новых технологических и экономических драйверов. Развитие искусственного интеллекта и машинного обучения расширяет возможности ИИ в кибербезопасности, обеспечивая более точное выявление угроз, снижение количества ложных срабатываний и переход к автономному принятию решений. Это повышает привлекательность таких решений для систем защиты информации.
Экономическая эффективность также становится значимым фактором: несмотря на высокие первоначальные затраты, ИИ-решения в долгосрочной перспективе снижают издержки за счёт автоматизации и ускорения реагирования на инциденты, а также уменьшения ущерба.
В большинстве аналитических отчётов по рынку ИИ в кибербезопасности чаще всего фигурируют такие компании, как CrowdStrike, Palo Alto Networks, Microsoft, Cisco Systems и IBM Corporation. Они рассматриваются как ключевые игроки рынка благодаря активному внедрению технологий машинного обучения и генеративного ИИ в платформы мониторинга, обнаружения и реагирования на ИБ-инциденты.
Ещё один значимый технологический слой — универсальные большие языковые модели, изначально созданные вне домена ИБ. Несмотря на общий характер применения, они активно используются для решения задач информационной безопасности. Популярны OpenAI ChatGPT, Anthropic Claude, Google Gemini и другие LLM-системы.
Обзор российского рынка ИИ
Оценки объёма российского рынка существенно различаются в зависимости от применяемой методологии. В одних источниках он оценивается в 1,45 млрд долларов (около 117,7 млрд рублей) с ростом 38 % год к году, в других — в 520 млрд рублей с приростом порядка 20 %. При этом встречаются и более высокие оценки.
Россия занимает чуть более 1 % мирового рынка ИИ, однако темпы роста отечественного рынка значительно опережают глобальные тренды, составляя 20–38 %.
Драйверы роста рынка:
- Государственная поддержка. Национальная стратегия развития ИИ до 2030 года и др.
- Спрос на автоматизацию, увеличение числа компаний, внедряющих ИИ.
- Развитие отечественных языковых моделей, адаптированных под русскоязычную среду (Alice AI, GigaChat и др.).
К барьерам относится дефицит квалифицированных кадров, при котором большинство компаний сталкиваются с трудностями при найме специалистов по искусственному интеллекту. Сохраняется зависимость от импортных компонентов, прежде всего графических процессоров, используемых для обучения моделей. Отдельной особенностью рынка остаётся формирование регуляторной среды: единая система правового регулирования ИИ пока находится в стадии становления.
Согласно исследованию «Искусственный интеллект в России — 2025: тренды и перспективы», активнее всего ИИ применяется в ИТ- и технологическом секторах, телекоммуникациях и медиа, электронной коммерции, банковской и страховой сферах. В этих отраслях компании уже перешли от пилотных проектов к системному использованию ИИ в бизнес-процессах. Большинство используют готовые решения внешних поставщиков, преимущественно в облачной или гибридной модели. В сегменте генеративного ИИ чаще всего применяются open source-модели, которые донастраиваются под собственные задачи.
В России ИИ решает следующие задачи кибербезопасности:
- автоматизация рутинных процессов;
- классификация и описание ИБ-инцидентов;
- поиск уязвимостей и анализ защищённости;
- детекция сгенерированного контента.
Подробнее об этом рассказали здесь.
Охватить в этом обзоре все решения невозможно: технологии ИИ сегодня так или иначе интегрируются практически во все современные системы защиты информации. Поэтому в материале мы сосредоточимся на отдельных примерах. Отметим, что такой выбор не является исчерпывающим: за рамками обзора остаётся много сильных и перспективных команд. Наша цель — не составить полный список, а на понятных примерах разобрать, как ИИ уже работает в продуктах и сервисах отдельных игроков.
Языковые модели
Начнём с языковых моделей, поскольку именно они часто формируют основу инструментов в сфере информационной безопасности и используются как базовый слой для построения прикладных решений.
GigaChat
GigaChat — мультимодальная нейросетевая модель. Включена в реестр отечественного ПО (№ 20407 от 14.12.2023). Автоматизирует рабочие процессы, расширяет функциональность существующих решений и снижает объём рутинных операций. GigaChat API — интерфейс для интеграции GigaChat в продукты и сервисы.
Один из примеров использования нейросетевой модели в ИБ — усиление системы мониторинга и корреляции событий по информационной безопасности Security Capsule SIEM за счёт интеграции с GigaChat. Интеграция позволила сократить время реагирования на ИБ-инциденты до 70 %, повысить точность анализа событий — до 30 %. Операционные расходы компаний-пользователей снизились на 40 %, а эффективность команд компаний-заказчиков повысилась на 50 %.
Рисунок 2. Пример получения справки от ИИ по зарегистрированному ИБ-инциденту SC SIEM
Плюсы:
- Все данные хранятся на серверах в РФ.
- Готов поддерживать высокую интенсивность взаимодействия.
- Поддерживает 2 модели распространения: on-premise и SaaS. Может использоваться для интеграции функций нейросети во внутренние корпоративные системы, сервисы и облачную инфраструктуру компании.
Минусы:
- Сгенерированный контент создаётся с использованием технологий ИИ и может совпадать с материалами, созданными другими пользователями или охраняемыми интеллектуальной собственностью третьих лиц. Пользователь должен самостоятельно оценить возможность коммерческого использования такого контента.
- Из коробки модель не имеет доступа к интернету и формирует ответы на основании данных, на которых была обучена. Поэтому для поддержания актуальности знаний понадобится переобучать или дообучать модель.
Когда брать: подходит для разработки чат-ботов, выявляющих признаки фишинговых атак, анализирующих подозрительные ссылки и сообщения, предупреждающих пользователей о потенциальных угрозах. Также может использоваться для анализа данных с целью обнаружения аномалий в поведении пользователей и систем, которые могут указывать на кибератаку, и др.
Больше информации о GigaChat — на сайте компании.
Alice AI
Alice AI — семейство больших языковых моделей «Яндекса», доступных в разделе Model Gallery на платформе Yandex AI Studio. Модели предназначены для решения самых разных задач: от работы с документами до генерации суммаризации, формирования рекомендаций и автоматизации этапов реагирования. Возможности моделей можно расширить с помощью агентских инструментов, например, для генерации ответов по базам знаний или интернету. Реализовано дообучение моделей по методу LoRA (Low-Rank Adaptation).
Недавно вендор внедрил в свой SOC мультиагентную систему. Благодаря ИИ-помощникам на базе технологий Yandex AI Studio удалось автоматизировать 39 % рутинных задач.
Рисунок 3. Языковые модели Yandex в Yandex AI Studio
Плюсы:
- Унифицированные интерфейсы для работы с генеративными моделями: Responses API, Realtime API и другие инструменты, совместимые со стандартами OpenAI.
- Данные разных пользователей логически изолированы во всех компонентах платформы и не используются в других сценариях.
- Широкий набор моделей для разных сценариев — как облачных, так и open source.
- Yandex AI Studio поддерживает 2 модели распространения: SaaS и on-premise.
Минусы:
- Имеются технические ограничения, обусловленные особенностями архитектуры Yandex Cloud. Например, срок хранения результатов текстовых асинхронных запросов на сервере — 3 суток и др.
- Данные по умолчанию логируются в обезличенном виде для дальнейшей обработки командой обучения. Однако логирование можно отключить при работе через API.
Когда брать: подходит для поиска по базам знаний и генерации результатов на основе найденной информации (RAG-сценарий), анализа документов, построения отчётов, аналитики, извлечения информации, автоматизации заполнения полей, форм и CRM-баз. Может использоваться для создания человеко-ориентированных ИИ-ассистентов для ИБ-подразделений.
Больше информации об Alice AI — на сайте.
ИИ- и ML-помощники
ИИ- и ML-помощники повышают эффективность работы специалистов ИБ за счёт автоматизации анализа больших объёмов данных, выявления подозрительных событий и формирования рекомендаций по реагированию на ИБ-инциденты. Такие инструменты ускоряют обработку журналов и телеметрии, снижают нагрузку на аналитиков SOC, упрощают приоритизацию угроз и поиск взаимосвязей между событиями.
Интеллектуальные модули также используются для подготовки сводок по ИБ-инцидентам, поддержки расследований, анализа уязвимостей и формирования рекомендаций по снижению рисков и усилению мер защиты.
BI.ZONE Cubi
ИИ-ассистент для автономной кибербезопасности с агентным функционалом BI.ZONE Cubi сейчас внедрён в ряд продуктов и сервисов BI.ZONE, среди которых BI.ZONE TDR, BI.ZONE EDR, BI.ZONE Threat Intelligence, BI.ZONE Digital Risk Protection и BI.ZONE GRC. Вендор сообщает, что уже около 50% алертов и ИБ-инцидентов в их SOC обрабатываются автоматически с использованием ML/ИИ. В планах вендора — внедрить его во все свои продукты и сервисы.
ИИ-ассистент стоит подключать, если необходимо, например, решать следующие задачи:
- составление кратких пересказов и выжимок из текста (суммаризация);
- генерация текстов и новых данных: объяснений, диалогов, кода, рекомендаций по действиям;
- классификация текста, выделение сущностей, присвоение меток и категорий;
- автоматизация процессов с использованием агентного подхода (Agentic AI).
BI.ZONE Cubi ускоряет анализ информации, находит закономерности и автоматизирует рутинные действия. В результате время реагирования на киберинциденты сокращается до 40 %.
Рисунок 4. BI.ZONE Cubi в BI.ZONE Threat Intelligence
Плюсы:
- Упрощение сложных задач за счёт быстрых персонализированных ответов на запросы пользователей.
- Помощь новым пользователям в освоении продуктов, а опытным — в более оперативной и эффективной работе с ними.
- Непрерывное обучение на уникальных данных портала BI.ZONE Threat Intelligence.
- Контролируемая автономность и адаптация к различным задачам.
Минусы:
- ИИ-ассистент работает только внутри продуктов и сервисов BI.ZONE.
- Внедрение системы не отменяет роли человека: критические решения остаются за экспертами.
Когда брать: чтобы ускорить работу специалистов в кибербезопасности и снизить порог входа при работе с продуктами BI.ZONE. ИИ-ассистент ускорит анализ информации, найдёт закономерности и автоматизирует рутинные действия. Благодаря ему работа с данными станет более понятной и эффективной.
Больше информации о BI.ZONE Cubi — на сайте вендора.
Innostage TDIR
Innostage TDIR — продукт, созданный на основе искусственного интеллекта, который усиливает любые SIEM и SOAR-системы за счёт снижения количества ложноположительных срабатываний и исторической корреляции. Innostage TDIR — это единое решение, состоящее из двух неотделяемых модулей.
Модуль «Аналитическая шина» обеспечивает интеграцию с внешними системами, консолидирует и обогащает контекст инцидента, интегрируется с системами класса SOAR и SIEM. Интеллектуальный модуль (ранее Innostage Carmina AI) — виртуальный помощник аналитика центра мониторинга безопасности (Security Operations Center, SOC) на базе больших языковых моделей и машинного обучения. Отвечает за аналитику, формирование предварительных вердиктов, обогащение данных по инциденту из внешних и внутренних источников и работу ИИ-чата. Включён в реестр отечественного ПО (№ 30878 от 26.11.2025).
Основные функции ИИ-агента Innostage TDIR:
- Автоматическое обогащение данных по инциденту сведениями из внутренних и внешних источников с помощью мультиагентной системы.
- Автоматический ретроспективный анализ с формированием перечня частично или полностью совпадающих инцидентов.
- Автоматическое вынесение вердикта по инциденту с аргументацией (False Positive, True Positive, эскалация).
- Автоматическое формирование отчёта по инциденту, включая рекомендации по реагированию.
- Выработка контекстно-зависимых рекомендаций на основе исторических данных компании (архив инцидентов), отраслевой экспертизы (Threat Intelligence, TI-фиды) и опыта специалистов SOC.
Рисунок 5. Интерфейс Innostage TDIR. Интеграция с различными SIEM
Плюсы:
- Снижение количества ложноположительных срабатываний (False Positive), что позволяет высвобождать ресурсы аналитика центра мониторинга безопасности (Security Operations Center, SOC) для более важных, нерутинных задач.
- Повышение скорости реагирования на реальные инциденты, что позволяет снижать затраты на операционную деятельность.
- Автоматизация ряда процессов и задач аналитика SOC, что ведёт к снижению утомляемости и текучести кадров.
- Стандартизация анализа и расследования инцидентов, сохранение экспертизы в контуре компании.
Минусы:
- Независимо от степени зрелости инструментального контура, центром принятия решений остаётся аналитик SOC. Он обобщает информацию, полученную от SIEM и SOAR, и инициирует дальнейшие процедуры реагирования.
- Внедрение решения может занимать от 1 до 3 месяцев в зависимости от сложности инфраструктуры заказчика и требований к интеграции.
Когда брать: когда необходимо организовать и автоматизировать анализ, реагирование и расследование ИБ-инцидентов. Обеспечит быструю адаптацию новых сотрудников.
Больше информации об Innostage TDIR — на сайте вендора.
Kaspersky Investigation and Response Assistant (KIRA)
ИИ-ассистент аналитика KIRA использует генеративные нейросетевые модели, включая GigaChat от «Сбера», и поддерживает работу с любыми LLM, выбранными заказчиком, в том числе развёрнутыми в контуре клиента.
Он предоставляет ИБ-специалистам подробный автоматически сгенерированный анализ события с кратким содержанием и оценкой степени риска. Это помогает приоритизировать алерты и быстро принимать решения по реагированию, снижает нагрузку на сотрудников и сокращает вероятность ошибок.
Рассмотрим работу KIRA на примере. Допустим, на одном из компьютеров через командную строку запускается PowerShell со множеством обфусцированных параметров, что усложняет работу аналитика. Ассистент позволяет автоматически деобфусцировать командную строку и быстро проанализировать, к чему приведёт выполнение данной команды. В результате аналитик получает краткую и структурированную сводку по ИБ-инциденту, позволяющую быстрее принимать обоснованные решения по реагированию.
Рисунок 6. Результаты анализа KIRA
Плюсы:
- Ускорение цикла принятия решений.
- Уменьшение зависимости от высокой экспертизы сотрудников.
- Повышение точности ранжирования алертов.
Минусы:
- Интегрировано только с продуктами «Лаборатории Касперского».
- При использовании внешних больших языковых моделей (Large Language Models, LLM) может потребоваться дополнительный контроль обработки данных в соответствии с политиками ИБ компании.
Когда брать: когда необходимо упростить работу с защитной системой, ускорить обработку инцидентов, снизить требования к уровню подготовки аналитиков 1-го уровня, что особенно важно в условиях дефицита высококвалифицированных кадров.
Больше информации о KIRA — на сайте вендора.
MaxPatrol BAD
MaxPatrol BAD — это ML-модуль поведенческого анализа в MaxPatrol SIEM, предназначенный для выявления сложных, скрытых и нетипичных атак за счёт технологий машинного обучения. Он выступает в роли second opinion внутри MaxPatrol SIEM: модуль независимо анализирует поток событий и обогащает сработки правил корреляции оценкой риска, что позволяет акцентировать внимание аналитика на наиболее критичных событиях и снизить среднее время до подтверждения инцидента (Mean Time to Acknowledge, MTTA). Расширенный поведенческим анализом контекст по корреляции позволяет снизить среднее время расследования инцидента (Mean Time to Investigate, MTTI).
Однако возможности модуля не ограничиваются обогащением. MaxPatrol BAD использует ML-модели для поиска поведенческих аномалий и нетипичной активности, работает как автономный сенсор независимо от правил корреляции. Именно это позволяет обнаружить:
- сложные целенаправленные атаки, в том числе с использованием техник обхода правил корреляции;
- новые тактики, техники и процедуры, ещё не покрытые детектами;
- постэксплуатацию ранее неизвестной уязвимости.
Модуль направляет в MaxPatrol SIEM собственные события, по которым исходя из оценки риска могут формироваться инциденты, отправляемые напрямую аналитику центра мониторинга безопасности. Тем самым вы повышаете полноту обнаружения (Recall) и сводите среднее время обнаружения инцидента (Mean Time to Detect, MTTD) к минимально возможному значению.
Арсенал используемых ML-моделей более подробно разобрали здесь.
Рисунок 7. Интерфейс карточки события с расширенным контекстом от MaxPatrol BAD
Плюсы:
- Отображение расширенного контекста, полученного в результате анализа, в едином окне.
- Работа без ручной настройки. Установка модуля занимает менее 1 часа. Автономные механизмы обучения начинают работать сразу, а первые релевантные результаты появляются через 1–2 недели (наиболее релевантные — через месяц).
- Более 90 ML-моделей, проверенных в реальных инфраструктурах.
- Поддержка 14 популярных систем, включая Windows, Unix-подобные операционные системы (ОС) и прикладное ПО.
- Возможно горизонтальное масштабирование.
Минусы:
- Можно использовать только как дополнение к системе мониторинга событий ИБ и управления ИБ-инцидентами MaxPatrol SIEM.
- Качество и глубина детектирования напрямую зависят от полноты и качества поступающих данных из инфраструктуры.
Когда брать: для решения ИБ-задач в различных сферах, так как система адаптирует логику обнаружения и обучается на данных инфраструктуры заказчика.
Больше информации о MaxPatrol BAD — на официальной странице решения.
RuSIEM Analytics
Модуль дополняет SIEM технологиями ML и DL для обнаружения угроз и поведенческих аномалий. Работает полностью автономно. Обучается на собственных данных и оценивает веса симптомов в разрезе объектов: хостов, пользователей, сервисов и т. д. Позволяет отслеживать действия пользователей, управлять активами, выявлять уязвимости и обеспечивать соответствие стандартам безопасности в рамках единого окна.
RuSIEM Analytics собирает информацию об оборудовании, пользователях и дисковом пространстве. Наполнение активов происходит как активными, так и пассивными методами. Далее модуль анализирует накопленные данные, формирует модель ожидаемого поведения сущностей и пользователей. На её основе определяются легитимные действия и выявляются отклонения, а также формируются уведомления об обнаружении аномалий.
Модуль позволяет создавать триггеры для выявления подозрительных и потенциально нелегитимных действий, которые сложно обнаружить с помощью классических правил корреляции.
Рисунок 8. Отслеживание аутентификации при помощи RuSIEM Analytics
Плюсы:
- Гибкая настройка аналитики. Создание baseline-правил под любые параметры.
- Фиксация и визуализация всех действий.
- Регулярно обновляемая база уязвимостей с возможностью поиска по CVE, CVSS и ключевым словам. Данные берутся из БДУ ФСТЭК, NIST и cwe.mitre.org.
- Возможность попробовать триальную версию модуля.
- Лицензирование без привязки к числу источников.
Минусы:
- Создан для коммерческой версии RuSIEM.
- Для корректной работы Baseline рекомендуется накопленная выборка за период от 3 недель.
Когда брать: когда требуется централизованное управление ИТ-активами и уязвимостями, а также анализ больших объёмов разрозненных данных. Подходит для выявления аномалий в поведении пользователей, включая нелегитимные действия, которые не обнаруживаются стандартными правилами корреляции. Позволяет повышать точность обнаружения скрытых и нетипичных угроз.
Больше информации о RuSIEM Analytics — на сайте вендора.
Другие варианты
Многие вендоры интегрируют ИИ прямо в свои продукты, не выделяя его в отдельный модуль. Например, ИИ-агенты в продуктах Security Vision рассчитывают скоринг false positive, ищут похожие ИБ-инциденты, подсказывают, какие действия выполнялись на разных фазах при расследовании аналогичных инцидентов ранее. Fraud Protection от Эфшесть/F6 с помощью алгоритмов машинного обучения анализирует активность пользователя, выявляя аномалии.
Помимо аналитики ИБ-инцидентов и обнаружения угроз, искусственный интеллект применяется на уровне облачной инфраструктуры. Здесь ИИ-ассистенты используются как часть инструментов управления и наблюдаемости.
Например, в Cloud.ru есть Giga-помощник, который интегрирован в управление облачными сервисами. Он применяется для настройки мониторинга и алертинга виртуальных машин и контейнерных сред, автоматизации базовой конфигурации наблюдаемости, а также работы с метриками, логами и аудит-событиями. На платформе для управления облачной безопасностью Yandex Security Deck ИИ-ассистент анализирует оповещения систем ИБ и даёт рекомендации по повышению уровня защиты инфраструктуры. В случае ИБ-инцидента он помогает понять, насколько тот критичен и какие действия необходимо предпринять.
Отдельное направление развития — предоставление инфраструктуры для работы с генеративными моделями. Облачные провайдеры, например Selectel, VK Tech, MTS AI и др., предоставляют сервисы для развёртывания, обучения и эксплуатации LLM-моделей. Такие платформы позволяют организациям как использовать готовые модели, так и разворачивать собственные решения.
Как выбрать и внедрить ИИ-решение для обеспечения кибербезопасности
Выбор языковой модели. Необходимо предварительно ознакомиться с возможностями моделей и их ограничениями в прикладных сценариях. Уделить внимание поддерживаемым языкам, поскольку это напрямую влияет на качество обработки данных, работы с документацией и корректность результатов в целевых задачах. Важно учитывать способы интеграции модели в существующую инфраструктуру, включая варианты подключения к API, возможность работы в изолированном контуре и совместимость с корпоративными системами и средствами защиты информации (СЗИ).
Выбор между cloud (SaaS) и on-premise определяется требованиями к контролю данных, уровню изоляции инфраструктуры и политиками информационной безопасности организации.
Выбор ИИ-помощника. Схема выбора ИИ-помощника аналогична выбору языковой модели и определяется его возможностями в прикладных задачах. Оцениваются функции анализа событий ИБ, работы с ИБ-инцидентами, суммаризации данных и автоматизации рутинных операций, поддерживаемые языки и качество обработки технической информации. Важный критерий — интеграция: работа только в рамках экосистемы разработчика или возможность подключения к внешним СЗИ.
Схема внедрения ИИ-решения
Внедрение искусственного интеллекта в ИБ должно начинаться не с выбора модели или платформы, а с постановки конкретной задачи. Необходимо определить измеримую цель: сократить время обработки ИБ-инцидентов, автоматизировать часть работы центра мониторинга безопасности (Security Operations Center, SOC), ускорить анализ журналов событий или снизить количество ручных операций при расследовании ИБ-инцидентов. Для каждой задачи сразу фиксируются показатели эффективности, по которым позже оценивается результат внедрения.
Рисунок 9. Пошаговая схема внедрения ИИ в ИБ (сгенерировано нейросетью)
Следующий этап — аудит текущих процессов. Необходимо определить, какие операции занимают больше всего времени и выполняются вручную. Это может быть анализ журналов событий, обработка ИБ-инцидентов, разбор оповещений системы мониторинга, подготовка отчётов или первичная классификация угроз. На таких задачах ИИ обычно показывает наиболее быстрый возврат инвестиций (ROI).
Второй этап — подготовка инфраструктуры и данных. ИИ-системы напрямую зависят от качества и полноты информации, с которой работают. Для внедрения необходимы централизованный сбор событий по безопасности, единые источники данных, актуальная база ИБ-инцидентов, сценарии реагирования и накопленная база знаний. Если данные разрознены или процессы не цифровизированы, эффективность ИИ-решений будет низкой.
Выбор платформы — 4-й шаг. Для базовых задач могут использоваться готовые веб-интерфейсы и облачные ИИ-сервисы. Если требуется интеграция с внутренними системами безопасности, системами управления событиями и информацией безопасности (SIEM), системами управления заявками, корпоративными порталами или внутренними сервисами, необходим доступ к программному интерфейсу приложения (API).
Отдельное внимание уделяется подготовке данных для обучения и настройки моделей. Для задач кибербезопасности это могут быть типовые сценарии ИБ-инцидентов, правила обработки событий, шаблоны отчётов, примеры классификации угроз, исторические журналы событий и внутренняя документация. Чем точнее подготовлен контекст инфраструктуры, тем стабильнее работает ИИ-система.
После настройки ИИ-система интегрируется со средствами защиты. Чаще всего используются интеграции с SIEM-системами, сервисами обработки заявок, корпоративной почтой, внутренними порталами, чатами и средствами автоматизации процессов. Для автоматизации обмена данными применяются REST-интерфейсы и специализированные инструменты интеграции.
Первые несколько недель после внедрения требуют обязательного контроля со стороны специалистов ИБ. Необходимо анализировать ошибочные ответы, корректировать промпты, обновлять базу знаний и контролировать качество обработки событий.
Если пилотный проект показывает результат, решение масштабируется на другие процессы информационной безопасности.
Важный этап — адаптации моделей под собственную инфраструктуру. Универсальные open source-решения редко показывают высокий результат без настройки. По статистике, 86 % компаний дообучают модели на собственных данных и сценариях использования. Для ИБ это особенно важно, поскольку каждая инфраструктура имеет собственную архитектуру, набор систем защиты и характерные типы ИБ-инцидентов.
Выводы
ИИ перестал быть экспериментальной технологией и стал одним из стандартных инструментов обработки данных и поддержки принятия решений в кибербезопасности. Но внедрение ИИ по-прежнему не отменяет роли эксперта: критически важные выводы и ответственность остаются за специалистами.
Эффективность ИИ-решений определяется 2 факторами: качеством данных и временем накопления опыта. Ни одна модель не демонстрирует устойчивую точность сразу после внедрения: без полноценных журналов событий, исторической телеметрии, сценариев реагирования и базы ИБ-инцидентов ИИ неизбежно генерирует большое количество ложных срабатываний и некачественные рекомендации.
Отдельная особенность российского рынка — выраженная экосистемность ИИ-решений. Большинство продуктов эффективно функционируют только в рамках собственной платформы вендора и ограниченно интегрируются со сторонними средствами защиты. Это формирует технологическую зависимость от поставщика, снижает гибкость архитектуры и фактически замедляет построение единых контуров безопасности в гетерогенных средах.
В перспективе 2–3 лет ключевое конкурентное разделение будет не между продуктами с ИИ и без него, а между зрелыми и незрелыми реализациями ИИ. Побеждать будут не те, кто внедрил искусственный интеллект, а те, кто смог построить систему постоянного обучения моделей на собственных данных и интегрировать её в процессы ИБ.
