Автоматизация в ИБ перестала быть вопросом будущего — она уже меняет процессы в компаниях каждый день. Но где проходит грань между пользой от ИИ и риском потерять контроль? Эксперты рынка попытались разобраться, что можно автоматизировать уже сейчас, а что пока остаётся за человеком.
- 1. Введение
- 2. Какие процессы в ИБ сейчас автоматизируются?
- 3. LLM в расследовании инцидентов
- 4. Что можно сейчас автоматизировать самому
- 5. Блиц: как внешние консультанты могут поддержать внедрение автоматизации?
- 6. Прогнозы: как изменится автоматизация в ближайшие 3–5 лет
- 7. Выводы
Введение
Вопрос автоматизации в информационной безопасности (ИБ) сегодня стоит как никогда остро. С одной стороны, объём данных и количество инцидентов растут с каждым годом, а ручная обработка десятков тысяч событий становится попросту невозможной. С другой — компании всё ещё опасаются доверять машинам финальные решения, особенно когда речь идёт о критических атаках и потенциальных потерях.
Где проходит разумная граница между задачами человека и искусственного интеллекта? Что уже сейчас можно и нужно автоматизировать своими силами, а для чего по-прежнему требуется живая экспертиза и ответственность специалиста? Эти и другие вопросы стали ключевыми в эфире AM Live, где встретились ведущие эксперты рынка информационной безопасности.
Рисунок 1. Эксперты в студии AM Live
Участники эфира:
- Алексей Павлов, директор по развитию и сопровождению продуктов During Attack, Positive Technologies.
- Евгения Лагутина, старший менеджер отдела развития продуктов единой корпоративной платформы, «Лаборатория Касперского».
- Александр Кузнецов, руководитель отдела комплексных технических решений, ГК «Солар».
- Максим Ефремов, заместитель генерального директора по информационной безопасности, «ИТ-экспертиза».
- Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки, RED Security.
- Фёдор Боков, инженер отдела развития, Security Vision.
- Давид Ордян, генеральный директор, «Метаскан».
Ведущий и модератор эфира — Лев Палей, директор по информационной безопасности, WMX.
Какие процессы в ИБ сейчас автоматизируются?
Давид Ордян считает, что в области сканеров уязвимостей — будь то внешний или внутренний периметр — автоматизация уже давно стала правдой жизни. Проверять вручную десятки тысяч ресурсов невозможно, поэтому инструменты поиска уязвимостей давно автоматизируются, а процессы строятся в пайплайны.
Алексей Павлов рассказал, что любой процесс, который можно сделать эффективнее и менее затратно, неизбежно приживается. Например, когда патчим не всё подряд, а самое очевидное с точки зрения цепочки атаки. То же самое с инцидентами: на текущем этапе аналитики хотят видеть полный контекст по инциденту, чтобы не искать информацию вручную. Сейчас все стараются автоматизировать рутинные задачи, но шагнуть дальше — например, к автоматическим вердиктам — пока не удалось.
Евгения Лагутина напомнила о регуляторах, чьи требования вынуждают идти в автоматизацию. Например, требования стандарта безопасности данных индустрии платёжных карт (Payment Card Industry Data Security Standard, PCI DSS) обязывают долго хранить данные и доказывать отсутствие определённых событий или доступа в конкретный сегмент. Именно отсюда пошла автоматизация хранения и управления логами в системах управления информацией и событиями безопасности (Security Information and Event Management, SIEM) и системах лог-менеджмента.
Евгения Лагутина, старший менеджер отдела развития продуктов единой корпоративной платформы, «Лаборатория Касперского»
Фёдор Боков уверен, что в этом году компании стали больше доверять автоматизации при формировании вердикта по инцидентам. Модели машинного обучения (Machine Learning, ML) обучаются на контексте конкретной компании, и заказчики всё чаще понимают, что это необходимо для их бизнеса, поэтому доверие к ИИ растёт.
Лев Палей считает, что рост доверия к машинному обучению во многом связан с массовыми сокращениями и нехваткой специалистов, способных принимать вердикты. Но доверять ML по-прежнему нельзя.
Лев Палей, директор по информационной безопасности, WMX
Какие задачи не надо автоматизировать?
Давид Ордян считает, что здесь важно понятие ответственности. Любые модели и ИИ-инструменты — это всё ещё не точка принятия решения. Они могут собрать информацию, сделать обобщения, сгенерировать код или текст, но остаётся вопрос: кто несёт ответственность за решение ML-системы.
Владимир Зуев рассказал, что ИБ всегда связано с общением между командами ИБ, топ-менеджментом, ИТ-подразделением и пользователями. Автоматизировать это нужно аккуратно, а отсутствие эмпатии, свойственное моделям, может негативно сказываться на восприятии самих сотрудников ИБ внутри организации.
Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки, RED Security
Александр Кузнецов уверен, что никаких барьеров для автоматизации нет. Даже консалтинговые компании, которые зарабатывают в основном на аналитике и коммуникации с клиентом, уже сейчас, возможно, будут вытеснены специальными цифровыми решениями и ИИ-системами, нацеленными на консалтинг. Не стоит создавать искусственных ограничений, а нужно постепенно двигаться к решению разных задач.
В первом опросе зрители ответили, какие процессы ИБ автоматизированы в их компании:
- Только некоторые неинвазивные операции — 57 %.
- Большинство простых рутинных операций — 26 %.
- Автоматизировано всё — 17 %.
- Против автоматизации — 0 %.
Рисунок 2. Какие процессы ИБ автоматизированы в вашей компании?
LLM в расследовании инцидентов
Алексей Павлов рассказал, что LLM эффективны для быстрой проверки гипотез. Например, чтобы понять, вызовет ли новый детект множество ложных срабатываний, или быстро собрать прототип пайплайна. Однако в промышленную эксплуатацию такие решения внедрять не стоит.
Расследовать 200 инцидентов в день через LLM неэффективно — дешевле нанять младших специалистов, а отсев ложных срабатываний можно поручить более дешёвым моделям. Серьёзные же инциденты, выстроившиеся в цепочку атак, имеет смысл прогонять через LLM: она сильна в построении гипотез и способна достроить пропущенные шаги.
Алексей Павлов, директор по развитию и сопровождению продуктов During Attack, Positive Technologies
Владимир Зуев добавил, что на текущий момент ИИ не внедрён массово в пайплайн и не используется каждый день. LLM умеет строить гипотезы о пропущенных шагах атаки. Однако в их тестах некоторые модели ошибались: в рамках тестирования процессов обратной разработки, видя непонятный файл, LLM сама додумывала код и выдавала гипотезы о том, что он делает (чего на самом деле он не делал).
Нужно чётко понимать границы и задачи, которые перед ней ставятся. Существует глобальный вопрос об общей компетенции специалистов: необходимо отдавать себе отчёт и нести ответственность.
Во втором опросе зрители поделились, что больше всего мешает автоматизации процессов ИБ в их компании:
- Высокая стоимость автоматизации — 39 %.
- Страх возникновения ошибок и потери контроля — 22 %.
- Недостаток экспертизы для внедрения автоматизации — 21 %.
- Не понимают, какие процессы можно автоматизировать — 12 %.
- Отсутствие необходимых инструментов — 6 %.
Рисунок 3. Что больше всего мешает автоматизации процессов ИБ в вашей компании?
Что можно сейчас автоматизировать самому
Алексей Павлов рассказал, что можно автоматизировать самостоятельно, разделив задачи на несколько уровней сложности.
Простые задачи — это объяснение процессов и командных строк (Command Line, CMDline). Такие функции есть во многих продуктах, и их можно реализовать с использованием открытых моделей. При этом стоит помнить о безопасности: не загружать полноценные CMDline в открытые модели без обезличивания и удаления учётных данных.
Если данные крупной компании попадут в большую языковую модель, к ним будет пристальное внимание. Поэтому лучше развернуть локально такие модели, как Qwen или Llama. Это самое простое, что можно делать через копирование и вставку или настроить автоматизацию с помощью системы тикетов или системы оркестрации, автоматизации и реагирования на инциденты безопасности (Security Orchestration, Automation and Response, SOAR).
Задачи среднего уровня сложности — это объяснение срабатываний детектов. Если нет желания отправлять каждое срабатывание во внешнюю большую языковую модель и нет возможности развернуть модель внутри организации, можно создать карточки-шаблоны. Для этого нужно взять сценарий срабатывания, загрузить его в любую доступную систему, получить расшифровку и превратить её в шаблон. Затем прикрепить этот шаблон к системе тикетов или SOAR.
Выполнив эту операцию разово для каждого типа инцидента, вы получите карточки сценариев: как расследовать, в какой последовательности, какие действия важно сообщить. Лучше привлечь вендора, так как он понимает, какую логику заложил в тот или иной детект, тогда как большая языковая модель может ошибаться. Даже через техническую поддержку вендор обязан в этом помочь.
Сложные задачи, которые самостоятельно реализовать максимально трудно — это создание полноценного ML-детекта на основе аномалий. Для этого требуются ML-инженер, MLOps-специалисты, а также соответствующее оборудование.
Самый сложный уровень — полная автоматизация первой и второй линий поддержки или создание copilot (виртуального помощника). Когда есть вердикт от искусственного интеллекта, последовательность инцидента, подтянутые события, то есть полный контекст по инциденту, это как раз то, что должна делать первая линия. Автоматизировать такой процесс без помощи вендора смогут лишь единицы компаний в России.
Александр Кузнецов добавил, что серьёзной проблемой является инвентаризация активов: в разных средствах защиты содержатся разные данные. В рамках реализации проектов, когда необходимо получить данные об инфраструктуре, они сканируют её самостоятельно своими средствами, забирают информацию из различных источников, а затем сводят данные с помощью скриптов. В планах — подключить к этому процессу машинное обучение, чтобы быстро получать актуальный срез инфраструктуры, опираясь не на слова, а на реальные данные.
Александр Кузнецов, руководитель отдела комплексных технических решений, ГК «Солар»
В третьем опросе зрители поделились, какой эффект автоматизация уже дала их компании:
- Разгрузила специалистов от рутины — 38 %.
- Значительно ускорила реагирование — 24 %.
- Автоматизация ещё не внедрена — 19 %.
- Снизила количество ошибок — 11 %.
- Улучшила контроль и прозрачность процессов — 8 %.
- Не дала эффекта — 0 %.
- Другое — 0 %.
Рисунок 4. Какой эффект автоматизация уже дала вашей компании?
Блиц: как внешние консультанты могут поддержать внедрение автоматизации?
Алексей Павлов: «Внешние консультанты могут использовать автоматизацию на этапе обследования. Когда у заказчика огромная инфраструктура, есть паспорта информационных систем и прочее, и он готов ими поделиться, информацию можно передать консультантам. Они загрузят её в локальную систему и получат саммари по инфраструктуре, чтобы понять, где находятся критические сегменты.
Автоматизация помогает и при внедрении: любой новый продукт, когда он внедряется, требует помощи в сегментации сети на старте настройки. Внешнему центру мониторинга безопасности, если предоставить политику информационной безопасности, будет существенно проще и быстрее начать подстраиваться под задачи заказчика».
Евгения Лагутина: «При внедрении любого продукта в области информационной безопасности всегда требовалась помощь внешних консультантов, если мы хотим качественно внедрить, настроить и использовать продукт. И раньше, когда внедряли SIEM, настраивали в нём корреляционную логику и белые списки, точно так же привлекали внешнего партнёра, у которого есть большой опыт, срез по множеству компаний и общее видение того, что полезно, а что бесполезно. В большей степени здесь важен не инструментарий, а экспертиза, которой обладает консультант на основании своей практики».
Александр Кузнецов: «В нашей практике большую роль играют интеграционные модели данных: из каких систем какие данные, в каких форматах, как они взаимодействуют. Проработка интеграций — один из самых сложных моментов. Интеграция — это двустороннее движение».
Максим Ефремов: «Нужно начать с самопроверки: посмотреть внутрь себя и самостоятельно проанализировать, как функционируют процессы в компании, что из этих процессов целесообразно автоматизировать, и только после этого приглашать консультантов, показывать, что именно вы хотите автоматизировать и что с чем интегрировать».
Максим Ефремов, заместитель генерального директора по информационной безопасности, «ИТ-Экспертиза»
Владимир Зуев: «Внешний интегратор обладает экспертизой, и он может подсветить заказчику те вещи, о которых тот мог не подумать. Контекст, скорость — внешний консультант на основе опыта покажет, куда смотреть и как делать».
Фёдор Боков: «Обучение за счёт вендора или интегратора. Техническая поддержка не может решить всех вопросов заказчика и подстроиться под все процессы, которые он хочет автоматизировать внутри компании. Заказчику нужно понимать, как владеть продуктом, какие возможности есть у любого продукта, и грамотно и эффективно с ним взаимодействовать».
Давид Ордян: «Сейчас формируется новый сегмент рынка — компании, которые будут внедрять общий искусственный интеллект (Artificial General Intelligence, AGI), нейросети, большие языковые модели. Есть проблема с инфраструктурным уровнем: сейчас в России только две компании, которые создают нейронные сети».
Давид Ордян, генеральный директор, «Метаскан»
Прогнозы: как изменится автоматизация в ближайшие 3–5 лет
Давид Ордян: «Люди, которые экспертно погружаются в тему, смогут эффективно использовать искусственный интеллект, создавать продукты и строить бизнес. Те же, кто не разобрался и позволил подменить свои знания внешним инструментом, скорее всего, эта прослойка будет увеличиваться, но они будут терять в возможностях в своей жизни. В бизнесе ИИ — это преимущество, нужно спешить, иначе вы окажетесь неконкурентоспособными на рынке, где все уже внедрили искусственный интеллект».
Фёдор Боков: «Хотелось бы, чтобы решение оставалось за человеком, но с более обогащёнными и структурированными данными, которые мы отдаём эксперту, разбирающемуся в своём деле и умеющему взаимодействовать с ИИ. В перспективе 3–5 лет мало что изменится. Это будут инструменты, которые помогают аналитику, но не выполняют полностью все функции за человека».
Фёдор Боков, инженер отдела развития, Security Vision
Владимир Зуев: «За ближайшие три-пять лет у общества сформируется чёткое понимание того, что такое искусственный интеллект, где его применять, а где не стоит. Хочется, чтобы спал хайп, и ИИ стал полноценным и эффективным инструментом, который породит значимый класс новых решений, представляющих реальную инструментальную ценность».
Максим Ефремов: «Как и любая промышленная революция, искусственный интеллект увеличит скорость во всех отношениях. Первыми, кто пострадал от ИИ, стали люди творческих профессий — они и начали использовать его гораздо шире, чем представители других профессий. Сам ИИ выдаёт результаты лучше, чем один-два года назад. Кто-то будет использовать ИИ и станет умнее, а кто-то не станет и тоже найдёт свою нишу в обществе. Человечество приспособится».
Александр Кузнецов: «В обеспечении информационной безопасности организаций, скорее всего, будет один-два специалиста, управляющих командой не из людей, а из ИИ-агентов. При этом значительно вырастет число специалистов у провайдеров, которые будут предоставлять инфраструктуру, модели, шлюзы к различным решениям, осуществлять интеграции и консалтинг. Будет расти рынок специалистов, которые создают условия для оптимизации внутри организаций».
Евгения Лагутина: «Чтобы произошло что-то значительное и кардинально поменялось, нам не хватает технологической части моделей, которые доступны в России. Всем мировым гигантам для достижения текущего уровня потребовалось много лет и большой объём инвестиций. Нам нужно ещё развивать свои модели, и три-пять лет будет недостаточно. Большого прорыва мы не получим, ИИ продолжит ошибаться и галлюцинировать. Кроме того, нужно думать о безопасности искусственного интеллекта».
Алексей Павлов: «Мир деглобализуется, и рано или поздно у нас появятся жёсткие рамки по использованию зарубежных ИИ. Компаниям стоит экспериментировать с искусственным интеллектом, проверять качество вендоров: кто-то использует западные ИИ, кто-то — локальную Llama. Старайтесь разумно подходить к выбору вендоров и моделей. Не ожидайте чудес, но и не останавливайте эксперименты, даже если был неудачный опыт».
Финальный опрос показал, планируют ли зрители развивать автоматизацию после эфира:
- Будут усиливать текущие решения — 57 %.
- Планируют запуск нового проекта — 26 %.
- Возможно, но пока это не приоритет — 17 %.
Рисунок 5. Планируете ли вы развивать автоматизацию после эфира?
Выводы
Автоматизация в информационной безопасности уже стала повседневной реальностью, но большинство компаний, согласно опросу, пока автоматизировали лишь отдельные неинвазивные операции. Главные барьеры — высокая стоимость, страх ошибок и нехватка экспертизы, хотя против самой автоматизации никто не выступает.
Эксперты сошлись на том, что наибольший эффект автоматизация даёт в масштабных рутинных процессах: сканировании уязвимостей, сборе логов, обогащении контекста инцидентов. Большие языковые модели эффективны для быстрой проверки гипотез и помощи аналитикам, но не для принятия финальных решений — ответственность за вердикт остаётся за человеком.
Начать автоматизацию можно с малого: локальных моделей для объяснения командных строк или карточек-шаблонов для типовых срабатываний. Сложные задачи вроде полноценных copilot сегодня под силу лишь единицам компаний в России.
В ближайшие три–пять лет ИИ станет удобным инструментом для эксперта. Главное изменение — это спад хайпа и появление чётких границ применимости технологий. Рынок движется от экспериментов к системным решениям, где человек остаётся ответственным, а машина берёт на себя рутину и скорость.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
