AI-ассистенты в SOC: разбираем мифы и смотрим на реальные возможности

Споры вокруг искусственного интеллекта в кибербезопасности разделили сообщество на два лагеря: одни ждут, что AI вот-вот заменит аналитиков SOC, другие считают его лишь временным хайпом. Реальность прозаичнее и практичнее. AI-ассистенты не берут на себя всю работу, но уже сегодня существенно помогают аналитикам в разных аспектах. 

Модели на основе машинного обучения (ML) автоматизируют фильтрацию ложноположительных алертов, сокращая их количество до 30%, а ассистенты на базе больших языковых моделей (LLM) ускоряют анализ оставшихся алертов, генерацию отчетов и написание вердиктов. 

Давайте разберемся, какие мифы окружают AI, в каких сценариях он дает реальное ускорение работы SOC — от контекстного анализа инцидентов до предложения вероятных гипотез, — а где без человека по-прежнему не обойтись. 

Мы рассмотрим эффективные подходы с учетом ограничений технологий, включая вопросы конфиденциальности данных, и представим кейсы применения различных типов AI-систем. А также сформулируем четкие правила внедрения, чтобы AI стал не «автопилотом», а «экзоскелетом» для вашей команды. 

Три главных мифа об AI-ассистентах в SOC

По мере того как все больше компаний внедряют AI-технологии для усиления своих SOC, растет и число заблуждений о том, что эти системы действительно могут и не могут делать. Разберем три основных мифа.

Миф №1: «AI заменит аналитика»

Некоторые верят, что скоро аналитики SOC останутся без работы, а все их задачи будет выполнять искусственный интеллект. Звучит логично: AI не устает, не уходит в отпуск и не требует зарплаты.

Реальность. Полностью автономный SOC остается скорее концепцией, чем достижимой целью. Согласно статье IBM Security X-Force Threat Intelligence Index 2024, автоматизация через SOAR и ML-модели помогает обрабатывать до 25–30% типовых инцидентов уровня Tier 1 — в основном фишинг, подозрительные логины и вредоносные вложения. 

Однако около 60% событий по-прежнему требуют ручного анализа или эскалации из-за недостатка контекста и неопределенности данных. Это говорит о том, что навыки персонала остаются критически важными для эффективной работы SOC.

В исследовании ISC2 Cybersecurity Workforce Study 2024 отмечается, что, хотя AI и может взять на себя часть технических задач, он не способен полностью заменить критическое мышление и контекстное понимание, которые привносят аналитики. Более того, 51% специалистов считают, что в мире, управляемом AI, нетехнические навыки станут даже важнее для кибербезопасности.

Представьте, что AI — это «интеллектуальный стажер» в команде. Он отлично справляется с рутиной и базовыми задачами, но ему нужен наставник для сложных случаев. Такой стажер не заменит опытного аналитика, но освободит его время для более сложных задач.

Миф №2: «AI одинаково хорошо понимает все атаки»

Бытует мнение, что AI стал уже настолько мощный, что способен одинаково эффективно выявлять любые типы атак. 

Реальность. Эффективность AI напрямую зависит от качества и объема обучающих данных. Кроме того, важно различать разные типы AI-систем, используемых в SOC:

• ML-детекторы аномалий, применяемые в системах UEBA, обучаются на данных конкретной инфраструктуры и фиксируют отклонения от типовых паттернов поведения пользователей и систем. Они эффективны для выявления необычной активности, но плохо справляются с атаками, которые маскируются под легитимные действия.
   
• LLM-ассистенты анализируют текстовые отчеты, playbook-и и помогают формулировать гипотезы. Они полезны для ускорения реакции и документирования процессов, но не способны сами обнаруживать атаки в сыром потоке событий.

Эти системы решают разные задачи и не могут заменять друг друга. Универсального AI, одинаково хорошо распознающего атаки всех классов, на практике не существует. Предварительно обученные AI-модели прекрасно справляются с распознаванием известных угроз, по которым есть большие объемы данных для обучения, но существенно проигрывают аналитикам при столкновении с новыми, редкими или кастомными техниками (TTPs).

Миф №3: «AI не ошибается»

Есть обоснованное мнение, что отличие от человека, машина не устает, не отвлекается и всегда принимает правильные решения.

Реальность. AI не только ошибается, но и делает это особым образом. Он склонен к «галлюцинациям» — когда система уверенно выдает ложную информацию или видит несуществующие связи между событиями. 

Масштаб проблемы впечатляет: по данным TAdviser, в 2024 году глобальные потери из-за галлюцинаций нейросетей составили $67,4 млрд

AI также генерирует неверные вердикты и пропускает аномалии. Например, AI может принять плановый бэкап за действие злоумышленников, если у него нет дополнительного контекста. При этом с контекстом AI сможет классифицировать действия как легитимные. 

Ключевая проблема в том, что без обогащенных данных и понимания нормального функционирования инфраструктуры AI склонна к ошибкам классификации. Именно поэтому ошибки AI — это не исключение, а системная особенность, которая требует постоянного контроля со стороны человека.

В каких задачах AI-ассистент ускоряет работу SOC

Центры мониторинга безопасности сегодня тонут в потоке оповещений. Согласно отчету SACR «AI-SOC Market Landscape 2025», организации в среднем получают около 960 алертов в день, а крупные компании — более 3000 оповещений от почти 30 разных инструментов. 

Неудивительно, что примерно 40% этих оповещений остаются непроверенными. Разные типы AI-технологий помогают справиться перегрузкой, выполняя специализированные задачи.

ML-системы: автоматизация рутины и фильтрация шума

ML-системы эффективно анализируют большие объемы структурированных данных и выявляют шаблоны в логах и телеметрии. Они особенно полезны для фильтрации шума и первичного анализа событий безопасности. 

Согласно исследованию Gurucul, 73% организаций уже успешно автоматизировали первичную обработку оповещений с помощью ML-систем.

UEBA-системы: выявление скрытых корреляций

UEBA-системы (User and Entity Behavior Analytics) устанавливают базовые показатели нормального поведения пользователей и систем, а затем выявляют отклонения от них. Они отлично справляются с обнаружением аномальной активности, которую сложно выявить с помощью традиционных сигнатурных методов.

Такие системы анализируют множество факторов: необычные DNS-запросы, подозрительные попытки аутентификации, необычные операции с файлами и изменения в журналах аудита, связывая их в единую картину потенциальной атаки.

LLM-ассистенты: ускорение расследований и документации

LLM-системы работают с неструктурированными данными, понимают контекст и генерируют текст человеческого качества. В SOC они подходят для составления отчетов, генерации рекомендаций и взаимодействия с аналитиками на естественном языке. 

По данным Secureworks, аналитики сократили время на создание отчетов о расследованиях на 90% благодаря LLM-системам. Когда происходит сложный инцидент, LLM-ассистенты генерируют гипотезы о возможном развитии атаки, составляют запросы к базам данных на естественном языке, обобщают собранные доказательства и предоставляют контекст во время расследований.

Современные LLM-сопилоты действуют как опытные напарники, подсказывая: «А не проверить ли нам еще вот это?», объясняя корреляции в событиях и формулируя выводы для руководства.

Портрет ассистента: реальные кейсы применения AI в SOC-практике

Сегодня в SOC используются различные технологии искусственного интеллекта, каждая со своими сильными сторонами и ограничениями. Рассмотрим основные категории AI-решений и их применение в практике безопасности.

ML-системы

Aviso, канадский поставщик услуг в сфере управления капиталом с активами более 140 миллиардов долларов, внедрил Darktrace ActiveAI Security Platform для усиления защиты своей цифровой экосистемы. 

Согласно официальному кейсу, за один месяц система отследила 6,7 миллиарда сетевых событий и автономно исследовала 23 миллиона оповещений, сэкономив команде безопасности около 1104 часов ручного анализа. 

Darktrace также обнаружила на 100% больше критических инцидентов в сети и блокировала на 18 000 больше вредоносных писем, чем предыдущее решение компании.

UEBA-системы

Golomt Bank, крупный банк в Монголии, заменил традиционную SIEM на основе правил (ArcSight) на Securonix Next-Gen SIEM с интегрированной UEBA-аналитикой. Банку требовалось централизованное представление данных из различных решений безопасности и облачной среды AWS, а также поведенческая аналитика для выявления инсайдерских и сложных киберугроз. 

Внедрение решения Securonix позволило банку получить полную видимость данных в облаке и локальной инфраструктуре, выявлять различия между злонамеренным и нормальным поведением сотрудников, а также повысить эффективность обнаружения угроз.

LLM-системы

Intesa Sanpaolo, одна из крупнейших банковских групп Европы, внедрила Microsoft Sentinel и Copilot for Security для противодействия постоянно эволюционирующим угрозам. 

Банку требовался набор инструментов, способный защитить от растущего числа злонамеренных субъектов, соответствовать нормативным требованиям и компенсировать нехватку специалистов по кибербезопасности. Microsoft Sentinel был развернут для масштабируемого обнаружения угроз, а Copilot for Security использовали для поддержки специалистов по выявлению угроз. 

В результате банк смог быстрее и эффективнее идентифицировать и устранить ранее неизвестные угрозы.

Гибридные системы

Правительство штата Оклахома в США использует комбинацию AI-технологий от Darktrace для защиты своей сетевой инфраструктуры, обслуживающей 60 государственных агентств и 4 миллиона граждан. 

Внедрение AI-решений помогло правительству штата обнаруживать и реагировать на инциденты без необходимости увеличения штата IT-специалистов. Автоматизированное выявление угроз и расследование инцидентов с помощью AI позволило аналитикам сосредоточиться на ключевых задачах и повысить уровень безопасности критически важной инфраструктуры.

Как правильно внедрять AI-ассистента в работу SOC

Важно помнить, что AI-ассистент не «автопилот», который полностью заменит команду, а скорее «экзоскелет», усиливающий возможности аналитиков. AI должен дополнять человеческие навыки, а не вытеснять их.

Есть три обязательных условия, которые надо соблюдать для успешного внедрения AI-ассистентов:

1. Качество данных. Эффективность AI напрямую зависит от качества и полноты логов, которые он получает. Неполные или некачественные данные ведут к ошибочным выводам. Перед внедрением AI убедитесь, что ваши системы сбора событий безопасности настроены правильно и покрывают все ключевые элементы инфраструктуры.
    
2. Необходимость валидации. Каждое решение, предложенное AI, особенно по критичным инцидентам, должно быть проверено и утверждено аналитиком. Даже лучшие системы допускают ошибки, особенно при столкновении с новыми типами атак. Разработайте четкие процедуры проверки выводов AI и всегда оставляйте за человеком право финального решения по критичным вопросам.
    
3. Четкие зоны ответственности. Необходимо заранее определить, какие задачи делегируются AI, а какие остаются за человеком. К типичным задачам для AI относятся первичная сортировка алертов, обогащение данных и генерация гипотез. Человек должен сохранять контроль над сложными расследованиями, принятием финальных решений и оценкой контекста инцидентов.

Важно также уделить внимание конфиденциальности данных обучения. При использовании LLM-моделей рекомендуется разворачивать их локально в собственной инфраструктуре и проводить дообучение на корпоративных данных с применением техник анонимизации, особенно для логов, содержащих персональные данные. 

Для ML-моделей необходимо формировать качественную выборку данных и оценивать эффективность с помощью таких метрик, как F1-score (баланс между точностью и полнотой), Recall (полнота) и Precision (точность). Критически важно обеспечить интерпретируемость результатов, чтобы понимать логику решений модели, и регулярно переобучать системы на свежих данных для адаптации к новым угрозам.

Внедрение лучше проводить постепенно. Начните с автоматизации наиболее рутинных задач, затем расширяйте сферу применения AI по мере роста доверия к системе и понимания ее возможностей. Регулярно оценивайте эффективность AI через такие метрики, как время обнаружения угроз (MTTD) и время реагирования (MTTR).

В конечном счете, AI нужно внедрять именно как «помощника» с ясными границами ответственности и постоянным контролем качества его работы. При таком подходе вы получите мощный инструмент, который значительно повысит эффективность вашей команды безопасности без создания новых рисков.