 |
UDV Group: искусственный интеллект в SOC
Андрей Скороходов, руководитель исследовательских проектов UDV GROUP рассказывает о реальных возможностях искусственного интеллекта в SOC, где AI может заменить первую линию, а где без человека не обойтись.
Какие задачи первой линии SOC сегодня действительно лучше всего автоматизируются с помощью AI/ML — триаж алертов, дедупликация, приоритизация инцидентов или первичный контекстный анализ?
Прежде всего автоматизация с ML/AI хорошо интегрируется в процесс приоритезации или триажа инцидентов, поиска аномальных или связанных событий из различных источников. Кроме того, современные LLM модели могут достаточно хорошо справляться с помощью аналитикам как при общем анализе с использованием собственных знаний модели или базы знаний SOC, так и при формировании рекомендаций Заказчику или обогащении инцидента. Также решения с ML/AI могут успешно применяться для формирования отчетов, например, выполняя часть рутинной работы аналитика по сбору и анализу информации.
Насколько высок риск «уверенных ошибок» AI в SOC, когда модель ошибочно подтверждает легитимную активность как атаку, и как это влияет на нагрузку второй линии?
Риск ложных срабатываний моделей ML все еще достаточно велик, и без ограничивающих и корректирующих механизмов это естественным образом будет создавать дополнительную нагрузку на аналитиков, без учета того, что при таких частых сработках пропадет доверие к моделям и потребуется выделение отдельного ресурса для постоянной перепроверки. Можно сказать, что это обратная сторона медали использования моделей, когда за производительность приходится расплачиваться качеством. С другой стороны, если, например, модель обучена на нормальном поведении и выявляет аномальные события, это даст повышенную нагрузку на аналитиков, но позволит выявить атаки, не описанные статичными правилами. В любом случае, увеличение или снижение нагрузки на аналитиков будет напрямую зависеть от качества реализации ML/AI модуля.
Какие типы инцидентов и источники логов остаются принципиально сложными для AI без участия человека, несмотря на развитие LLM и UEBA?
Основная сложность заключается в большом разнообразии программного обеспечения и собственно источников событий, их синхронизации, а также в огромном потоке обрабатываемых событий, не везде программное обеспечение настроено на достаточный уровень логирования и т.д. Поэтому инциденты, оставляющие очень небольшой след в различных источниках, распределенные атаки или атаки, развивающиеся в течение длительного времени, все еще трудно детектировать при помощи представленных на рынке решений.
Как меняются требования к навыкам L1-аналитиков в SOC при внедрении AI: смещение в сторону контроля качества, обучения моделей и работы с false positive?
С применением технологий ML/AI аналитик хоть и не должен будет выполнять привычную работу, однако это не снимет с него требований к глубокому пониманию предметной области, в противном случае он не сможет качественно проверить результаты работы моделей. С другой стороны, при правильном построении процесса, за счет освобождения от рутинных операций у аналитика появится больше времени для улучшения своих навыков в предметной области.
При каких условиях AI может частично заменить первую линию SOC, а где его роль остается вспомогательной, а не замещающей?
AI уже при нынешнем развитии технологий может заменить первую линию SOC, оставив за аналитиками роль контролирующего органа. Что касается сложных комплексных инцидентов, растянутых во времени атак, здесь в ближайшее время все равно решение будет за человеком.
Контактное лицо: UDV Group
Компания: UDV Group
Добавлен: 19:58, 19.04.2026
Количество просмотров: 303
Страна: Россия
| Axenix: крупный бизнес в России меняет подход к ERP, Axenix, 22:05, 03.06.2026, Россия246 |  |
| Крупный бизнес больше не рассматривает замену зарубежных ERP-систем как формальную ИТ-задачу. Компании реального сектора связывают такие проекты с устойчивостью операционной модели, управляемостью данных и снижением зависимости от зарубежной ИТ-инфраструктуры. |
| МегаФон разработал голосового помощника для госучреждений Якутии, МегаФон, 22:05, 03.06.2026, Россия253 |
| МегаФон и Правительство Республики Саха (Якутия) договорились о пилотном проекте внедрения голосового робота на якутском языке для ряда государственных учреждений. Стороны также намерены реализовать ряд проектов в сфере связи, информационной безопасности и цифровизации государственных услуг. |
| БФТ-Холдинг внедрил платформу КЭДО в МГТУ им. Н.Э. Баумана, HRlink, 22:04, 03.06.2026, Россия248 |
| БФТ-Холдинг совместно с технологическим партнёром – компанией HRlink – реализовал проект по внедрению системы кадрового электронного документооборота (КЭДО) в Московском государственном техническом университете им. Н.Э. Баумана. |
| МегаФон и Мурманская область договорились о развитии связи в Арктике, МегаФон, 22:04, 03.06.2026, Россия256 |
| МегаФон и правительство Мурманской области объявили о технологическом партнерстве. В числе приоритетных направлений сотрудничества — расширение покрытия на федеральных и региональных транспортных маршрутах, а также внедрение цифровых решений для повышения безопасности и эффективности управления в регионе. |
| «Цифровой управленец» в ритейле: от отчётов к действиям на полях ПМЭФ, Платформа ОФД, 22:02, 03.06.2026, Россия248 |
| 2 июня в Санкт-Петербурге, в рамках III Международного форума «ИИ – будущее сегодня», прошла сессия «Цифровой управленец в ритейле: большие данные и ИИ-аналитика меняют рынок». Эксперты разобрали, почему при 85% внедрений ИИ в ритейле реальную пользу получают не все. |
| ГИГАНТ - Компьютерные системы: антифрод вырос на 53%, но атак с ИИ стало в разы больше, ГИГАНТ, 21:54, 03.06.2026, Россия245 |
| Алексей Колодка, директор по работе с государственными заказчиками компании «ГИГАНТ - Компьютерные системы» рассказал о том, что блокировка за 7,8 часа — не прорыв, а плановый показатель, рост антифрода на 53,7% требует учёта сезонности и атак с ИИ, а 12,2 млрд рублей на 8% ключевых организаций достаточно для защиты граждан. |
|
|
