Автор: Петухов Олег Анатольевич, юрист, руководитель юридической компании «ЛЕГАС»
Сайт: legascom.ru
Email: petukhov@legascom.ru
Искусственный интеллект становится ключевым инструментом в борьбе с киберугрозами. Его внедрение в системы информационной безопасности позволяет автоматизировать рутину, быстрее реагировать на инциденты и компенсировать нехватку кадров - в 2024 году на hh.ru разместили свыше 9 000 вакансий в сфере ИБ (рост на 20 % к 2023 году), при этом число резюме сократилось на 4 %.
Почему ИИ востребован в кибербезопасности
Два главных драйвера внедрения ИИ - скорость развития киберинцидентов и острый дефицит специалистов. Инциденты развиваются стремительно: счёт идёт на секунды, а злоумышленники нередко маскируют целевые атаки под фоновые события - например, сочетают их со сканированием сети или DDoS. Без круглосуточной дежурной смены аналитиков качественно защитить инфраструктуру сложно. Системы на базе ИИ берут на себя обработку больших объёмов данных и первичное реагирование, освобождая экспертов для сложных задач.
Какие задачи решает ИИ в защите инфраструктуры
ИИ-системы способны:
Анализировать поведение пользователей. Сравнивая активность сотрудника с его типовым профилем, ИИ выявляет отклонения: нетипичные сайты, работу в выходные, смену круга контактов и т. п. Это помогает обнаруживать как внешние компрометации учётных записей, так и действия «внутреннего нарушителя».
Выявлять подозрительные файлы и аномалии. В «песочнице» (Sandbox) ИИ определяет угрозы не по сигнатурам, а по нетипичному поведению: нестандартным вызовам, цепочкам подпроцессов и последовательностям функций.
Находить угрозы в сетевом трафике. Системы анализа трафика (NTA) с ИИ сопоставляют текущую активность узла с его обычным профилем. Так фиксируются тревожные паттерны: резкий рост входящего трафика на сервер в DMZ (возможное присутствие злоумышленника внутри сети), аномальная выгрузка данных в облако, всплеск соединений, указывающий на подбор учётных данных или горизонтальное перемещение.
Интеграция ИИ в ключевые системы ИБ
ИИ усиливает эффективность основных инструментов центров мониторинга:
VMS (управление уязвимостями). ИИ прогнозирует, какие уязвимости станут наиболее востребованными у злоумышленников, анализируя данные из открытых источников. Это позволяет закрывать самые рискованные бреши до активной эксплуатации - особенно важно с учётом того, что ежедневно обнаруживается более 60 новых уязвимостей, а преступники атакуют и старые.
SIEM (управление событиями безопасности). В SIEM ИИ помогает детектировать аномалии в журналах событий и поддерживать аналитика в классификации инцидентов, ускоряя принятие решений в реальном времени.
NTA (анализ сетевого трафика). ИИ повышает точность выявления отклонений от нормального поведения узлов, помогая своевременно заметить присутствие злоумышленника.
Sandbox («песочница»). Переход от сигнатурного анализа к поведенческому позволяет обнаруживать ранее неизвестные угрозы.
Дополнительно ИИ применяют в системах контроля доступа и оценки поведения: с помощью компьютерного зрения и анализа биометрии можно фиксировать попытки прохода по чужим пропускам, анализировать активность через веб‑камеры, оценивать корректность взаимодействия сотрудников с контрагентами.
Риски: ИИ на службе у злоумышленников
Технологии ИИ используют и для атак. Распространены Deepfake‑атаки, когда с помощью реалистичных образов руководителей обманывают сотрудников и обходят антифрод‑системы. Вредоносное ПО всё чаще включает элементы ИИ, позволяющие скрытно перемещаться по сети и повышать привилегии. Поэтому внедрение ИИ в защиту должно сопровождаться оценкой новых векторов угроз и усилением контроля.
Вывод
Интеграция ИИ в средства защиты и инструментарий центров мониторинга ИБ позволяет автоматизировать типовые операции, точнее оценивать риски и быстрее реагировать на угрозы. При этом важно учитывать, что ИИ - это не замена специалистам, а инструмент, усиливающий их возможности. Грамотное применение ИИ помогает противостоять современным кибератакам даже в условиях кадрового дефицита и высокой динамики угроз.