В Security Vision SOAR появились ИИ-ассистент и ML-отчёты

Екатерина Быстрова 15 Декабря 2025 - 19:39

Средства управления информационной безопасностью

SOAR (Security Orchestration, Automation and Response)

...

В Security Vision SOAR появились ИИ-ассистент и ML-отчёты

Security Vision выпустила обновление платформы SOAR, добавив в неё несколько заметных функций — локальный ИИ-ассистент, ML-скоринг инцидентов и автоматические ML-отчёты по итогам расследований. Обновление ориентировано на повседневную работу SOC и обработку инцидентов без выхода за контур заказчика.

Security Vision SOAR используется для управления и автоматизации реагирования на инциденты информационной безопасности на всех этапах их жизненного цикла — от выявления и анализа до восстановления и постинцидентной работы.

В основе платформы лежит объектно-ориентированный подход: каждый элемент инцидента — будь то хост, учётная запись, процесс или артефакт — рассматривается как отдельный объект со своей историей, связями и возможными действиями.

Сценарии реагирования в системе динамические: плейбуки автоматически подстраиваются под развитие инцидента, появление новых данных и техник атак. Дополнительно платформа выстраивает цепочку Kill Chain, показывая, как развивалась атака и какие шаги предпринимал злоумышленник.

Система также предлагает рекомендации по дальнейшим действиям, опираясь на контекст инцидента, накопленный опыт SOC и ML-модели, включая оценку вероятности ложного срабатывания.

В новом релизе появился локальный ИИ-ассистент в формате чат-бота. Он работает полностью внутри инфраструктуры заказчика и не обращается к внешним сервисам. Ассистент учитывает контекст конкретного инцидента — его стадию, связанные объекты, историю действий и похожие кейсы — и помогает аналитикам разбираться в событиях, расшифровывать логи, понимать техники атак или формировать команды для диагностики. Модель может дообучаться прямо в SOC на результатах обработки инцидентов и аналитических бюллетенях, при этом все данные остаются внутри контура.

Ещё одно нововведение — ML-скоринг критичности инцидентов. Модель автоматически оценивает приоритет события на основе его масштаба и значимости затронутых активов, что упрощает триаж и помогает быстрее понять, какие инциденты требуют внимания в первую очередь.

Также в платформе появился ML-summary — автоматическое резюме по итогам расследования. При закрытии инцидента система формирует краткий отчёт в едином формате: что произошло, какие действия были выполнены, к какому результату они привели и удалось ли атакующему чего-то добиться. Такое резюме сохраняется в карточке инцидента и отчётности, упрощая передачу дел между сменами и снижая потерю контекста.

В целом обновление направлено на то, чтобы упростить и ускорить рутинную работу SOC: быстрее разбираться в инцидентах, снижать нагрузку на аналитиков и сохранять знания внутри команды без необходимости вручную оформлять каждый шаг расследования.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 18:10

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Фишеры научились обходить одноразовые коды через iMessage и RCS

Фишинговые атаки выходят на новый уровень: мошенники всё чаще уходят от обычных СМС и переносят свои схемы в RCS и Apple iMessage — туда, где сообщения выглядят солиднее, доставляются через интернет и хуже фильтруются операторами.

По данным Google Threat Intelligence Group, быстро растущая китайскоязычная экосистема фишинга активно использует RCS и iMessage, чтобы обходить защиту на уровне телеком-операторов.

В отличие от классических СМС, эти каналы работают через дата-сети и используют сквозное шифрование, поэтому операторам сложнее анализировать и блокировать вредоносные сообщения.

Для жертвы всё выглядит вполне прилично: сообщение с красивым оформлением, медиа, уведомлениями о прочтении и иногда даже брендированными элементами. Выглядит всё как нормальная коммуникация от банка, магазина, платёжного сервиса или цифрового кошелька.

Главное отличие новых схем — атака идёт в режиме реального времени. Пользователь вводит логин и пароль на фишинговой странице, данные сразу улетают в панель злоумышленника. Последний тут же инициирует настоящий запрос одноразового кода, а жертву просят ввести OTP на той же поддельной странице.

Злоумышленники всё чаще охотятся не просто за паролями, а за сессионными токенами и возможностью добавить украденную банковскую карту в свой цифровой кошелёк. После этого данные превращаются в токенизированный платёжный инструмент, которым можно пользоваться для бесконтактных платежей и крупных операций.

Google отмечает, что такие PhaaS-платформы уже превратились в зрелую криминальную инфраструктуру. Их рекламируют в Telegram, а вместе с фишингом предлагают домены, VPS, украденные данные и даже услуги по отмыванию денег.

Отдельный неприятный штрих — локализация. Например, платформа YY Lai Yu предлагает сотни шаблонов под разные страны, бренды и сценарии. Для Японии используют приманки с бонусными баллами, субсидиями на коммунальные услуги, PayPay и Rakuten. Мошенники больше не переводят шаблон через онлайн-переводчик на коленке, а реально подстраиваются под привычки конкретной аудитории.

В дело уже подключили и ИИ. Платформы вроде Darcula умеют автоматически клонировать сайты, подтягивая HTML, CSS и JavaScript с оригинальных страниц. Получаются уникальные фишинговые копии, которые сложнее ловить по сигнатурам. А чтобы защитники не расслаблялись, многие страницы добавляют антибот-проверки и ручные шаги верификации.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!