Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Рост объёма телеметрии в современных инфраструктурах делает ручную обработку инцидентов в SOC всё менее масштабируемой. В организации работают десятки и сотни источников данных - от средств защиты конечных точек до облачных сервисов и систем мониторинга, - и каждый из них генерирует непрерывный поток событий. Даже после фильтрации и корреляции число детектов превышает возможности аналитиков: расширение инфраструктуры или увеличение клиентской базы непропорционально повышает нагрузку на команду.
Поэтому рынок информационной безопасности делает ставку на автоматизацию: сначала она помогала собирать контекст и ускорять работу специалистов, а теперь обсуждается более радикальный шаг - автоматическое закрытие части инцидентов без участия человека. Такой подход способен дать ощутимые преимущества: сократить время обработки событий, снизить нагрузку на аналитиков, уменьшить долю ложноположительных срабатываний и повысить масштабируемость SOC.
Однако у автоматического закрытия инцидентов есть серьёзные риски. На первых этапах система отсеивает типовые и низкоприоритетные события - повторяющиеся срабатывания, очевидные ложные тревоги. Это действительно освобождает время экспертов для работы с критичными угрозами. Но постепенно между аналитиком и телеметрией появляется «интеллектуальный посредник» - алгоритм ИИ, который сам решает, какие события человек вообще увидит.
Ключевая опасность - в том, что самые опасные атаки часто выглядят как «норма». Современные злоумышленники намеренно имитируют легитимное поведение пользователей и администраторов, действуют медленно и незаметно. Если система агрессивно фильтрует «шум», она может скрыть именно те слабые сигналы, которые в совокупности указывают на компрометацию. Особенно уязвимы медленные атаки и горизонтальное перемещение внутри сети: отдельные действия не вызывают подозрений, но их последовательность формирует картину вторжения. Если часть звеньев этой цепочки автоматически закрывается, вероятность своевременного обнаружения резко падает.
Ещё один риск - адаптация атакующих к логике ИИ. Алгоритм принятия решений сам становится частью поверхности атаки. Злоумышленники могут обходить автоматическую фильтрацию, увеличивая временные интервалы между действиями, используя легитимные инструменты, имитируя обычное поведение или эксплуатируя особенности модели оценки риска.
Автоматизация также влияет на роль аналитика. При длительной работе только с отфильтрованным потоком событий у специалистов снижается способность самостоятельно выявлять нетипичные закономерности. Доверие к системе может привести к деградации экспертных навыков, а сокращение объёма анализируемых данных - к ухудшению качества развития механизмов обнаружения угроз: многие гипотезы и сценарии формируются именно при разборе неоднозначных и «шумных» событий.
Чтобы минимизировать риски, критически важна прозрачность решений ИИ. Аналитик должен понимать, почему событие было закрыто, какие признаки и факторы повлияли на оценку риска, насколько модель уверена в своём выводе. Без объяснимости механизм автоматического закрытия превращается в «чёрный ящик», который незаметно сужает границы видимости SOC. Опасен и цикл самообучения: если модель обучается на собственных решениях, ошибочно закрытые инциденты становятся для неё «корректными» примерами, что приводит к накоплению ошибок и снижению качества обнаружения.
В ближайшие годы полностью автономный SOC маловероятен. Наиболее реалистичный сценарий - сохранение человека в контуре принятия решений: ИИ будет отбирать, приоритизировать и предварительно обрабатывать инциденты, а финальный контроль над критически важными решениями останется за экспертами. Для безопасного внедрения автоматического закрытия потребуются меры контроля:
режим наблюдения перед запуском автозакрытия;
обязательное подтверждение отдельных категорий инцидентов;
периодический аудит автоматически закрытых событий;
полный доступ к исходной телеметрии;
возможность объяснения каждого решения системы.
Философия мониторинга меняется: раньше главным показателем считалось количество обнаруженных угроз, теперь ключевым ресурсом становится внимание аналитика. Важно не просто находить угрозы, но и не перегружать специалиста лишними сигналами. Автоматическое закрытие инцидентов, вероятно, неизбежно, но его массовое внедрение возможно только при наличии надёжных механизмов контроля за решениями ИИ. Пока SOC умеет измерять качество обнаружения угроз, но практически не умеет измерять качество их сокрытия - поэтому передавать ИИ право самостоятельно исключать события из поля зрения аналитиков преждевременно.