Блог Академии Похек - Новости и статьи по кибербезопасности
ИИ в Threat Intelligence: возможности, автоматизация и реальные кейсы

ИИ в Threat Intelligence: возможности, автоматизация и реальные кейсы

Дата публикации: 20 марта 2025 г.

Интеграция искусственного интеллекта (ИИ) в системы киберразведки (Threat Intelligence) стала одним из ключевых трендов развития информационной безопасности. В условиях постоянно растущего объема угроз и их возрастающей сложности, организации ищут способы повысить эффективность анализа данных и ускорить реагирование на инциденты. Искусственный интеллект предлагает решение этих проблем, автоматизируя рутинные операции и помогая аналитикам выявлять скрытые закономерности. Данное исследование рассматривает роль ИИ в Threat Intelligence, анализирует реальные кейсы применения, и оценивает перспективы автоматизации с точки зрения возможной замены человеческого труда.

Роль и применение ИИ в киберразведке

Трансформация процессов сбора и анализа данных Традиционные методы киберразведки в значительной степени опираются на ручной сбор и анализ данных, что замедляет процесс и увеличивает вероятность ошибок. ИИ-системы способны обрабатывать разнородные наборы данных, такие как сетевой трафик, поведение пользователей и внешние фиды угроз, для более быстрого и точного выявления потенциальных угроз. Они обнаруживают новые угрозы, распознавая необычные паттерны и соотнося их с известными моделями атак.

Для каждой потенциальной атаки в платформе Threat Intelligence (TIP) могут быть загружены идентификаторы атакованных аккаунтов и IP-адреса атакующих. К этой информации назначаются соответствующие теги для быстрого поиска, что позволяет командам безопасности выявлять закономерности: что общего у атакованных аккаунтов, исходят ли атаки с одного IP-адреса или диапазона адресов, из какой страны атакуют, и существуют ли закономерности во времени проведения атак.

Автоматизация корреляции угроз и реагирования

ИИ может значительно улучшить операционную киберразведку путем автоматизации мониторинга различных источников — от форумов в даркнете и социальных сетей до коммуникаций хакерских группировок. ИИ-системы предоставляют обогащенные оповещения в реальном времени о возникающих угрозах, анализируют шаблоны атак и прогнозируют потенциальные цели.

Автоматизированная корреляция угроз — одно из ключевых применений ИИ в Threat Intelligence. Искусственный интеллект может быстро соотносить данные из различных источников, таких как журналы безопасности и внешние фиды угроз, выявляя угрозы в реальном времени и связывая между собой инциденты в различных системах, что сокращает время обнаружения и реагирования.

Системы ИИ могут мгновенно оценивать масштаб и серьезность обнаруженной угрозы, определять соответствующую реакцию и выполнять предопределенные действия, такие как изоляция пораженных систем или блокировка вредоносной активности. Эта автоматизация снижает нагрузку на команды безопасности, устраняя повторяющиеся задачи и минимизируя человеческие ошибки.

Расширенные возможности аналитики и прогнозирования

ИИ предоставляет возможности, которые трудно реализовать с помощью традиционных методов. Используя продвинутые модели машинного обучения, генеративный ИИ может моделировать различные сценарии атак, оценивать их потенциальное воздействие и рекомендовать конкретные контрмеры. Это позволяет организациям внедрять индивидуальные стратегии защиты, учитывающие характеристики каждой угрозы.

Поведенческая аналитика на основе ИИ применяет машинное обучение к поведению пользователей и сети, выявляя отклонения, которые могут сигнализировать о внутренних угрозах или продвинутых постоянных угрозах (APT). Это повышает возможности обнаружения скрытых атак, которые обходят традиционные средства защиты.

Реальные кейсы применения ИИ в киберразведке

Darktrace: ИИ для обнаружения угроз

Darktrace является одним из пионеров в использовании ИИ для кибербезопасности. Основанная в 2013 году математиками из Кембриджского университета, компания разработала платформу кибербезопасности на основе ИИ, которая использует машинное обучение для обнаружения угроз и реагирования на них в реальном времени. ИИ Darktrace работает, изучая нормальное поведение пользователей, устройств и сетей в организации. Установив базовую линию "нормальной" активности, он может обнаруживать отклонения, которые могут указывать на киберугрозу. Например, если устройство сотрудника начинает загружать большие объемы данных за пределами обычного рабочего времени, ИИ помечает это как подозрительное.

IBM Watson для кибербезопасности

IBM Watson, изначально разработанный для обработки естественного языка и исследований в области ИИ, был адаптирован для целей кибербезопасности. IBM Watson создан для усиления человеческого интеллекта путем анализа больших объемов неструктурированных данных, таких как блоги, научные статьи и новостные сообщения, для выявления возникающих угроз. Watson интегрируется с существующими системами управления информацией и событиями безопасности (SIEM) для улучшения возможностей обнаружения и реагирования на угрозы. Он обрабатывает миллионы документов по кибербезопасности и коррелирует эту информацию с внутренними данными для выявления потенциальных угроз. Несколько организаций успешно внедрили IBM Watson, включая глобальную финансовую компанию, использовавшую Watson для выявления и реагирования на сложную фишинговую кампанию. Путем корреляции различных точек данных Watson предоставил полезную информацию, которая позволила компании заблокировать атаку до того, как она смогла скомпрометировать конфиденциальные данные клиентов.

«Лаборатория Касперского» и машинное обучение

«Лаборатория Касперского» активно интегрирует ИИ в свои процессы. Компания провела внутреннее тестирование, в котором более 100 разработчиков приняли участие в пилотировании моделей для автоматизации работы. Результаты показали, что эффективность и скорость разработки повысились в среднем на 15% по всем департаментам. Компания также встраивает модели машинного обучения в свои антивирусные продукты для снижения количества ложных срабатываний, улучшения интерпретируемости результатов и повышения устойчивости программного обеспечения к действиям потенциальных злоумышленников. Для этого используются решающие деревья, локально-устойчивые свертки, поведенческие модели и другие ML-алгоритмы.

Другие примеры успешного применения

Компания Demisto, продвигающая подход SOAR (Security Orchestration, Automation and Response) к кибербезопасности, применяет алгоритмы машинного обучения в визуальной панели мониторинга своей платформы для приоритизации сообщений о возможных угрозах.

Интересен также пример создания безопасной СУБД Sqrrl, графической NoSQL-базы на базе Apache Accumulo. Эта платформа для поиска киберугроз использует машинное обучение, чтобы наглядно отобразить уязвимые точки компьютерных сетей. В январе 2018 года корпорация Amazon приобрела Sqrrl для своего облачного бизнеса Amazon Web Services.

Bricklayer AI представляет собой автоматизированную команду безопасности на основе ИИ, которая использует автономных агентов для сортировки угроз и предупреждений, поддерживая SOC посредством взаимодействия человека с агентом для управления предупреждениями, реагирования на инциденты и анализа угроз, интегрируясь с существующими инструментами для сокращения ручной работы и улучшения кибербезопасности.

Автоматизация и вопрос замены сотрудников

Текущее состояние и возможности ИИ

Согласно исследованиям, 69% компаний считают, что искусственный интеллект поможет закрыть дефицит кадров в сфере информационной безопасности. Технологии на базе ИИ на данном этапе развития частично способны заменить живых специалистов по ИБ в типовых задачах обслуживания информационных систем и первоначальной обработке запросов перед передачей их людям.

Как отмечает один из экспертов: "Например, обращения в техническую поддержку часто не позволяют специалисту понять проблему сразу. И он отправляет типовые вопросы типа "пришлите то-то и то-то для анализа". Такая работа может быть автоматизирована. Мы применяем технологии машинного обучения, поскольку нереально разобрать вручную все образцы вредоносных программ - нам их приходит до миллиона в день".

Перспективы полной автоматизации и замены сотрудников

Несмотря на возможности автоматизации, эксперты сходятся во мнении, что полная замена специалистов по информационной безопасности искусственным интеллектом в ближайшем будущем маловероятна. "Технологии на базе ИИ не способны на данном этапе заменить человека, но способны немного упростить жизнь офицерам информационной безопасности и повысить точность прогнозирования инцидентов".

Исследование показывает, что ИИ скорее изменит характер работы, чем полностью заменит сотрудников. По словам одного из экспертов, "ИИ не принимает решения, а помогает их принимать. В будущем возможно разделение труда по следующей формуле: человек принимает ключевые решения, а ИИ выполняет черновую работу и подготавливает отчёты".

Интересно отметить, что согласно опросу, 26% зрителей считают, что ИИ сможет заменить технических писателей, лингвистов и методологов, а 24% назвали потенциальными безработными специалистов другого профиля. При этом отмечается, что ИИ может сократить количество спама от средств защиты информации, который должен обрабатывать оператор первой линии, что позволит сотрудникам сосредоточиться на более сложных и важных задачах.

В контексте опасений о возможной замене людей в некоторых функциях, что приведет к уменьшению числа доступных рабочих мест, некоторые эксперты прогнозируют обратный эффект, по крайней мере для специалистов по безопасности.

Будущие тренды и вызовы

Рост использования ИИ в кибератаках

Согласно прогнозам Positive Technologies, в 2025 году применение ИИ в кибератаках увеличится: его станут чаще использовать в технологиях для сканирования систем на наличие уязвимостей, анализа данных и распознавания текста, а также для совершенствования тактик социальной инженерии.

Это означает, что организациям придется адаптировать свои стратегии защиты с учетом новых возможностей, которые ИИ предоставляет злоумышленникам. Защитникам потребуется использовать те же технологии для противодействия этим угрозам, что потенциально приведет к "гонке вооружений" в области ИИ для кибербезопасности.

Новые направления применения ИИ в Threat Intelligence

Появляются новые подходы к использованию ИИ в киберразведке, такие как генерация высокоуровневых отчетов по разведке, предоставляющих информацию о возникающих угрозах, глобальных тенденциях и стратегических рисках.

Генеративный ИИ также начинает применяться для автоматизации сложных задач по устранению уязвимостей, таких как установка патчей программного обеспечения или изменение конфигурации сетевой безопасности. Вместо того чтобы полагаться на ручное вмешательство, ИИ-системы могут выполнять эти действия автономно, сокращая время, необходимое для сдерживания и разрешения инцидентов безопасности.

Заключение

Искусственный интеллект и машинное обучение становятся неотъемлемой частью современных систем Threat Intelligence, предоставляя возможности для автоматизации рутинных задач, улучшения анализа данных и ускорения реагирования на угрозы. Реальные кейсы применения, такие как платформы Darktrace, IBM Watson и решения "Лаборатории Касперского", демонстрируют эффективность этих технологий в выявлении и предотвращении киберугроз.

Вопрос о замене сотрудников искусственным интеллектом остается открытым, но большинство экспертов сходятся во мнении, что в обозримом будущем ИИ будет скорее дополнять работу специалистов по безопасности, чем полностью заменять их. Более вероятным сценарием является трансформация рабочих процессов, где ИИ берет на себя рутинные и трудоемкие задачи, позволяя аналитикам сосредоточиться на более сложных проблемах, требующих человеческого мышления.

В условиях растущей сложности киберугроз и использования ИИ злоумышленниками, организациям жизненно необходимо инвестировать в развитие интеллектуальных систем Threat Intelligence. Однако важно помнить, что эффективная стратегия кибербезопасности требует сбалансированного подхода, в котором технологии ИИ дополняют опыт и интуицию квалифицированных специалистов.