Эксперт Рупасов: ИИ — мощный инструмент SOC, но не панацея
Изображение: recraft
Кирилл Рупасов, технический директор SOC в К2 Кибербезопасность, прокомментировал для CISOCLUB заявления о том, что центры мониторинга безопасности без ИИ якобы проигрывают атакующим. По его мнению, подобные утверждения требуют уточнения и контекста.
Эксперт отметил, что SOC — это не только мониторинг и анализ событий, но и комплекс процессов, включающий анализ уязвимостей, оценку рисков, контроль соблюдения политик безопасности и конфигураций, а также мониторинг поверхности атак. Для каждого процесса существуют свои инструменты, и далеко не всегда требуется применение ИИ.
«Я не совсем согласен с Слоуиком. Во-первых, SOC — это не только мониторинг и анализ событий безопасности. Полноценный SOC также занимается анализом уязвимостей, оценкой рисков, контролем соблюдения политик безопасности и конфигураций, мониторингом поверхности атак. Для каждого из этих процессов есть свой набор инструментов. При этом часто достаточно обычных алгоритмичных методов оценки и анализа или ИИ вовсе не применим», — заявил Кирилл Рупасов.
Он добавил, что эксплуатация отдельной уязвимости не способна кардинально изменить исход атаки. Система защиты построена на всей инфраструктуре, и пропуск одного шага не приведёт к моментальному успеху злоумышленника. Роль ИИ в этом случае сводится к поддержке решений человека, а не к автономному управлению.
«Во-вторых, эксплуатация одиночной уязвимости не даст какого-то «волшебного» результата. Защита инфраструктуры строится по всей ее площади. Использование 0-day даст возможность пропустить лишь одну технику, один шаг. Все остальные шаги будут замечены и дальнейший вопрос будет только в скорости реакции команды реагирования. ИИ (как и SOC) может дать ей рекомендации, но решение все равно принимать человеку», — отметил эксперт.
Кирилл Рупасов подчеркнул также финансовые и ресурсные ограничения у клиентов. Часто заказчикам не хватает средств на полное подключение к стандартным инструментам защиты, а использование ИИ требует больших вычислительных мощностей, что может привести к ухудшению общей эффективности системы.
«В-третьих, суровая правда жизни. Часто у конечного заказчика не хватает средств на полное подключение к стандартным средствам защиты анализа и контроля. Не хватает денег, ресурсов, рук. ИИ сильно усугубит ситуацию. Погнавшись за новыми инструментами, мы рискуем остаться без хорошо и понятно работающих средств», — заявил он.
Эксперт подчеркнул, что ИИ остаётся крайне полезным инструментом для агрегирования информации, выявления аномалий, анализа трендов и формирования гипотез. При этом он не заменяет специалистов и требует аккуратного внедрения.
«ИИ — очень мощный инструмент, но его необходимо использовать аккуратно и там, где это действительно необходимо. Он поможет дособирать информацию, агрегировав ее в короткие выжимки (например, при поиске информации по инфраструктуре), может собрать статистику и выявить отклонения по выбросам, трендам, или корреляциям, может предоставить сводки новостей или сформировать гипотезы. Это крайне полезные функции. Но о тотальном превосходстве инструмента пока не стоит. Кроме того, использование ИИ влечет риски воздействий на эти самые модели. А также риски лишиться специалистов, способных анализировать возникающие проблемы», — заключил Кирилл Рупасов.
