SOC без ИИ проигрывают гонку с атакующими ещё до старта

Директор по стратегии оповещения Dataminr Джо Слоуик на конференции Infosecurity Europe заявил, что центры мониторинга безопасности, работающие без искусственного интеллекта, обречены отставать от атакующих. Скорость операций злоумышленников выросла настолько, что классический SOC физически не успевает за жизненным циклом угроз. Ручной разбор инцидентов превращается в роскошь, которую защитники больше не могут себе позволить.

Атакующие давно применяют машинное обучение и большие языковые модели для ускорения своих операций. Слоуик прямо говорит, что защитникам пора перенимать тот же арсенал, иначе разрыв продолжит расти.

Раньше между публикацией уязвимости и её эксплуатацией проходили недели, иногда месяцы. Теперь промежуток сжался до нескольких дней, а порой до пары часов. Пока аналитик готовит презентацию о новой угрозе, противник уже разворачивает атаку на инфраструктуру.

В крупных корпоративных средах ежедневно генерируются миллионы событий безопасности. Даже сильная команда не способна вручную охватить весь этот поток:

• разбор миллионов алертов в сутки требует машинной обработки;
• свежие CVE появляются быстрее, чем аналитики успевают читать бюллетени;
• проверка конфигураций тысяч хостов вручную нереальна;
• расследование инцидентов идёт параллельно с мониторингом;
• подготовка отчётов отнимает часы, которых у защиты нет.

Отмечается, что ручной анализ вторжений и последующая подготовка отчётов больше не позволяют синхронизироваться с темпом современных атак.

Слоуик предлагает воспринимать ИИ не как красивую надстройку, а как рабочий инструмент. Чат-боты и языковые модели здесь второстепенны. Намного полезнее ИИ-агенты, способные самостоятельно собирать данные об уязвимостях, картографировать инфраструктуру, выделять опасные точки и формировать рекомендации по укреплению защиты.

Подход меняет логику работы SOC. Организация перестаёт ждать первых признаков компрометации и начинает заранее видеть, где её ждёт удар. В пример приведена уязвимость React2Shell, эксплуатация которой стартовала почти сразу после раскрытия деталей. Классическому центру мониторинга на анализ и рекомендации требовались дни. Платформа с ИИ обрабатывает ту же информацию за минуты и сразу подсказывает варианты митигации.

Получается переход от реактивной модели к опережающей. Вместо ожидания шифровальщика или записки с требованием выкупа компания начинает готовиться задолго до финальной фазы атаки:

• ИИ-агенты собирают и приоритизируют данные об уязвимостях;
• модели анализируют конфигурации и находят слабые места;
• автоматизация ускоряет триаж инцидентов;
• человек концентрируется на решениях, а не на рутине;
• скорость реакции растёт в разы.

Сам Слоуик признался, что долго относился к машинному обучению скептически. Период сомнений для него закрыт. Чисто ручные процессы больше не дают возможности идти в ногу с атакующими.

Стоит обратить внимание на оговорку Слоуика о том, что полностью автоматизированный SOC пока остаётся маркетинговой фантазией, а критические решения принимают люди.

Специалист по безопасности продолжает понимать бизнес-контекст, оценивать риски и расставлять приоритеты. Меняется доля рутины. Если прежде аналитик вручную копал документы, сверял индикаторы компрометации и строил гипотезы, то теперь подготовительный слой берут на себя ИИ-системы. На стол человека попадают уже обработанные данные.

Складывается гонка ускорений. Атакующие применяют ИИ для поиска дыр, написания вредоносного кода, автоматизации разведки. Защитники отвечают своими моделями для анализа угроз и расследований. Победа уходит к тому, кто быстрее превращает данные в действие.

Картину дополняет недавний отчёт Sophos X-Ops. Исследователи обнаружили лабораторию, где применялись Cursor, Claude Opus и другие ИИ-инструменты для создания модулей обхода EDR. Искусственный интеллект ускорял цикл разработки и тестирования вредоносного ПО, хотя финальные решения по-прежнему принимали операторы.

В государственной плоскости логика схожая. США обсуждают создание Cyber Force как отдельного рода войск для наступательных и оборонительных операций в цифровом пространстве. Всё больше стран рассматривают киберпространство как самостоятельный театр противостояния, где скорость обработки информации становится решающим фактором.

Параллельно крупный бизнес вкладывается в инфраструктуру для ИИ. Alphabet привлекает 80 млрд долларов на строительство мощностей, крупнейшим участником сделки стала Berkshire Hathaway Уоррена Баффета с вложением 10 млрд долларов. Материнская компания Google закрывает дефицит вычислительных ресурсов, а рынок ИИ уходит в фазу, где исход определяют площади дата-центров и доступ к электричеству, а не только качество алгоритмов:

• атакующие группы получают доступ к коммерческим LLM;
• стоимость разработки вредоносного ПО снижается;
• государства формируют киберподразделения нового типа;
• корпорации скупают мощности дата-центров под ИИ-задачи;
• защитникам приходится конкурировать за те же ресурсы.

Эксперты редакции CISOCLUB сообщают, что переход SOC на ИИ-агентов перестал быть вопросом моды и стал условием выживания корпоративной защиты. Команды, продолжающие держаться за чисто ручные процессы, в ближайшие год-два окажутся в позиции догоняющих с минимальными шансами вернуть инициативу. Связка опытного аналитика и автономного ИИ-агента даёт прирост скорости, который недостижим ни одним из инструментов по отдельности.

Параллельно компаниям придётся пересматривать бюджеты, потому что вычислительные мощности под защитные ИИ-системы перестают быть копеечной статьёй. Редакция считает, что выиграют те организации, которые уже сейчас перестраивают процессы под гибридную модель работы, а не откладывают трансформацию до следующего инцидента.