Как применять ИИ в SOC: практический опыт

На встрече клуба «Кубит» 18 марта эксперты компании Innostage представили практические сценарии применения технологий искусственного интеллекта в работе центров мониторинга информационной безопасности. С докладом «ИИ для SOC: инструменты для защиты и повышения эффективности» выступил руководитель отдела интеллектуальной автоматизации Innostage Ильдар Исмагилов.

В последние годы многие организации сталкиваются с ростом нагрузки на SOC: количество событий и инцидентов увеличивается, а значительная часть времени аналитиков уходит на обработку ложных срабатываний и ручной сбор данных для расследования. При этом традиционные механизмы детектирования всё сложнее справляются с новыми типами атак.

По словам экспертов Innostage, именно эти задачи сегодня становятся основными точками применения ИИ. «Сегодня компании уже понимают потенциал ИИ для кибербезопасности. Но ключевой вопрос — где именно его использование дает реальный эффект. На практике наибольшую пользу дают решения, которые сокращают рутинную нагрузку на аналитиков SOC и ускоряют принятие решений по инцидентам», — отметил Ильдар Исмагилов.

Одним из наиболее востребованных сценариев становится интеллектуальная обработка инцидентов. Использование ИИ-агентов позволяет автоматически анализировать события, поступающие в системы реагирования, учитывать историю инцидентов, критичность активов и данные внешних источников угроз. Это помогает быстрее классифицировать события и снижает время, которое специалисты SOC тратят на обработку ложных срабатываний.

Другой важный сценарий — автоматизация сбора контекста по инциденту. В традиционной практике аналитик SOC вынужден искать информацию сразу в нескольких системах — от SIEM до систем управления активами. ИИ-агенты могут автоматически агрегировать эти данные и формировать целостную картину инцидента, что заметно ускоряет расследование.

Отдельное внимание в докладе было уделено качеству данных в системах мониторинга безопасности. Неполные или некорректные логи могут приводить к росту ложных срабатываний и снижению точности детектирования атак. Использование алгоритмов ИИ для контроля структуры и полноты данных позволяет выявлять такие проблемы на раннем этапе и повышать эффективность работы SOC.

Эксперты Innostage также обсудили защиту самих ИИ-систем. По мере того, как организации внедряют большие языковые модели и другие инструменты искусственного интеллекта в процессы SOC, возникают новые риски — от утечки данных и манипулирования результатами моделей до некорректного использования сервисов ИИ. Контроль работы ИИ-инструментов и мониторинг их безопасности становятся важной частью архитектуры корпоративной кибербезопасности и интегрируются в процессы SOC, позволяя минимизировать потенциальные угрозы при расширении применения интеллектуальной автоматизации.

По опыту проектов Innostage, внедрение интеллектуальной автоматизации помогает организациям не только повышать эффективность процессов мониторинга безопасности, но и масштабировать работу SOC без пропорционального увеличения команды.

Выступавший модератором сессии технический директор АНО КОМИБ Никита Леушин обратил внимание на то, что интегрирование ИИ агентов в работу SOC может быть нацелено не только на сокращение затрат на ФОТ, но и на развитие потенциала членов команды, более широкую апробацию новых идей и подходов.

Участники встречи клуба «Кубит» обсудили с экспертами компании практические аспекты внедрения ИИ-технологий и обменялись опытом развития SOC в условиях растущего числа киберугроз.

Завершая сессию, сооснователь Клуба «КУБИТ» Андрей Кульпин отметил, что прикладной интерес к возможностям пилотных проектов в данной области выражен весьма определенно.

Клуб будет с интересом следить за развитием проектов Innostage, поскольку тема ИИ в ИБ сейчас перешла из области гипотез в сферу практического применения: с цифрами, результатами и прогнозами.