Эксперт Шабалин: ИИ не заменит сильную команду и зрелый SOC
Изображение: recraft
Андрей Шабалин, руководитель группы анализа данных NGR Softlab, прокомментировал для CISOCLUB заявление о том, что центры мониторинга безопасности без искусственного интеллекта якобы обречены проигрывать атакующим ещё до старта.
По мнению эксперта, подобная оценка звучит слишком категорично. Он считает, что устойчивость организаций к киберугрозам по-прежнему определяется не наличием ИИ-инструментов, а качеством базовой защиты, зрелостью процессов и уровнем подготовки специалистов.
«Тезис про «проигрыш гонки с атакующими ещё до старта» звучит достаточно категорично и, на мой взгляд, несколько грандиозно», — отметил Андрей Шабалин.
Он напомнил, что значительная часть успешных атак до сих пор связана с давно известными проблемами. Среди них слабые пароли, ошибки конфигурации, отсутствие своевременных обновлений и недостаточный контроль привилегий. По этой причине фундаментальные меры защиты остаются основой информационной безопасности.
«Во-первых, устойчивость организации к угрозам ИБ по-прежнему определяется качеством базовой защиты: корректным харденингом, выстроенными фундаментальными процессами (управление уязвимостями, мониторинг, реагирование), а также экспертизой специалистов SOC, услугами которого пользуется организация», — заявил эксперт.
При этом Андрей Шабалин признаёт, что сфера применения искусственного интеллекта в современных SOC постоянно расширяется. Такие технологии используются как для помощи аналитикам при расследовании инцидентов, так и в более сложных системах анализа поведения пользователей и сущностей.
«Во-вторых, точки применения ИИ-технологий в современных SOC действительно достаточно обширны: от классического ассистирования аналитикам при разборе инцидентов до более комплексных подходов, применяемых, например, в некоторых решениях класса UEBA», — рассказал он.
Вместе с тем эксперт обратил внимание, что преимущества сложных ИИ-механизмов пока не всегда очевидны. По его словам, результаты их применения могут отличаться в зависимости от задач и конкретных сценариев использования.
«Однако эффективность подобных «сложных» методик по сравнению с классическими подходами в области анализа пока не всегда очевидна, а в отдельных случаях может быть и отрицательной», — подчеркнул Андрей Шабалин.
Он считает, что искусственный интеллект действительно способен повысить эффективность работы подразделений кибербезопасности, но не является единственным фактором успеха.
«Использование ИИ в SOC, безусловно, способно повысить эффективность работы подразделения. Однако утверждать, что «SOC без ИИ проигрывает атакующим ещё до старта», на мой взгляд, пока преждевременно. Ключевыми факторами успеха в обеспечении безопасности по-прежнему остаются зрелые процессы, квалифицированные специалисты и грамотно выстроенная фундаментальная защита», — заключил Андрей Шабалин.
