Positive Technologies разработала своего первого ИИ-помощника
Positive Technologies разработала PT Naira, ИИ-помощника на основе больших языковых моделей, который берёт на себя рутинную работу специалистов по кибербезопасности и помогает им быстрее и точнее разбирать угрозы. В пилотных проектах PT Naira уже ускорила расследование инцидентов на 50–60%. Время на подготовку даже сложных правил для системы управления событиями и инцидентами сокращается до десятков минут, а у специалистов без опыта падает почти на 90%.
Давление на специалистов по защите растет сразу с двух сторон. По данным Positive Technologies, число киберпреступных техник с применением ИИ за последний год выросло вдвое: языковые модели помогают автоматизировать атаки, писать вредоносный код и быстрее находить уязвимости. Одновременно растет и поток событий, которые приходится разбирать вручную: через центр мониторинга (SOC) в сутки проходит от 4 до 10 тысяч оповещений, а аналитики успевают изучить лишь около 37% из них.
PT Naira снимает с аналитиков часть нагрузки. При расследовании инцидентов в MaxPatrol SIEM помощник избавляет их от монотонной работы: не нужно вручную собирать данные по событию, переключаться между системами и составлять запросы. За счёт этого расследование идёт на 50–60% быстрее, а команда успевает проанализировать больше событий.
Помимо скорости, PT Naira помогает снизить риск человеческой ошибки. Например, начинающий аналитик открывает карточку события с известным процессом, запущенным в типовом расположении. Такую карточку легко закрыть не глядя, хотя за привычной картиной может скрываться инсайдерская атака: злоумышленники намеренно маскируют свои действия под легитимные процессы. По запросу аналитика PT Naira показывает, что фактическое поведение процесса расходится с тем, чем он кажется.
Помощник снижает и порог входа для начинающих специалистов. По их запросу он с нуля создаёт правила для подключения новых источников событий в MaxPatrol SIEM и помогает оценить, насколько полезно собирать данные из конкретного источника. Время на подготовку даже сложных правил сокращается до десятков минут, а у специалистов без опыта падает почти на 90%.
PT BlackBox Scanner проверяет работающие приложения на уязвимости, и обычно по итогам сканирования специалист получает объемный отчет, с которым ещё нужно разобраться. PT Naira объясняет найденные уязвимости и подсказывает, что и как исправить, превращая отчёт в понятный план действий.
PT Naira отличается от универсальных языковых моделей вроде ChatGPT: ассистент создан под конкретные задачи кибербезопасности и задействует экспертизу Positive Technologies, поэтому его ответы учитывают реальную ситуацию, а не носят общий характер. Сама PT Naira работает на открытых языковых моделях с собственным программным стеком и развернута в защищённом облаке Positive Technologies, а не на стороннем сервисе, с изоляцией клиентских контуров. Дополнительных точек доступа в сеть ассистенту не требуется, поэтому подключить его можно без отдельных согласований со службой безопасности.
«Атакующие уже усилены искусственным интеллектом и, в отличие от нас, не связаны ни правилами, ни регулированием, ни моралью. Поэтому наша задача — дать ИБ-инженерам инструменты, которые позволяют отражать всё более изощрённые атаки на равных. PT Naira не отдельная функция, а часть стратегии, в которой мы встраиваем ИИ-архитектуру во всю продуктовую линейку. MaxPatrol SIEM и PT BlackBox Scanner стали логичной первой точкой, потому что именно здесь специалист сильнее всего перегружен рутиной», — рассказал руководитель ML-группы анализа событий безопасности Positive Technologies Александр Мамылов.
PT Naira уже доступна в PT BlackBox Scanner и в MaxPatrol SIEM начиная с версии 27.6. В дальнейшем ИИ-помощник появится и в других продуктах Positive Technologies.
