Как ИИ снимает рутину с экспертов по кибербезопасности

Сегодня обеспечить безопасность информационной и промышленной среды невозможно без технологий машинного обучения. Такие технологии используются в том числе в решениях класса MDR (Managed Detection and Response, «управляемое обнаружение и реагирование»). Это решения для организаций, в которые входит мониторинг инфраструктуры заказчика, проактивное обнаружение угроз и реагирование. Входящие в их состав инструменты машинного обучения помогают снизить нагрузку на аналитиков.

Они позволяют разрешить существующую коллизию: чтобы минимизировать вероятность пропуска инцидента, аналитики создают все больше правил обнаружения, в том числе и на основе машинного обучения. В результате специалисты получают множество уведомлений, требующих их внимания, а, следовательно, растет число ложных срабатываний. Но если они пытаются уменьшить количество ложных срабатываний путем снижения общего количества уведомлений, то в этом случае увеличивается вероятность пропуска атаки.

Чтобы повысить эффективность процесса анализа ложноположительных срабатываний, как раз и используются технологии машинного обучения в сервисе MDR — то есть не для обнаружения собственно инцидентов, а для фильтрации легитимной активности, того, что не является атакой.

По данным аналитического отчета Kaspersky MDR за 2023 год, команда Kaspersky SOC (центра мониторинга кибербезопасности) обработала 431 512 событий безопасности, но только 32 294 из них были связаны с инцидентами (всего было зафиксировано 14 160 инцидентов. Благодаря  модели машинного обучения с учителем (supervised machine learning), которая обучается на уведомлениях, обработанных командой аналитиков SOC, а затем повторяет их поведение, действуя самостоятельно, экономятся ресурсы дежурной смены, а также обрабатываются автоматически наиболее рутинные уведомления. Таким образом сотрудники-аналитики могут сфокусироваться на случаях, требующих более глубокого исследования.