+7 499 450 28 86

Поиск

AM Live: Автоматизация в информационной безопасности 2026 - Итоги и видео

В эфире AM Live эксперты обсудили одну из самых острых тем современного ИТ-рынка — автоматизацию информационной безопасности (ИБ). В условиях катастрофического дефицита кадров и лавинообразного роста угроз автоматизация перестает быть просто «улучшением» и становится вопросом выживания бизнеса.

В статье представлен подробный разбор ключевых идей эфира: от реальных кейсов внедрения ИИ до подводных камней, о которых не всегда говорят вендоры.


Ключевая тема: Автоматизация ради эффективности, а не ради хайпа

Главный лейтмотив обсуждения — автоматизация должна приносить реальную выгоду, а не просто внедряться ради следования трендам. Эксперты выделили три основных драйвера процесса:

  1. Избавление от рутины: Чтобы сотрудники «не выгорали» на монотонных задачах.
  2. Экономия и масштабирование: Возможность обрабатывать растущий поток инцидентов тем же количеством людей.
  3. Скорость: Переход от реагирования за десятки минут к реакции за секунды.

Сегодня автоматизация — это уже не выбор, а «электричество» цифровой эпохи, которое используют и защитники, и атакующие.

Что автоматизируем: Решения, которые работают

На текущий момент в ИБ успешно автоматизируются процессы, имеющие детерминированную (четкую) логику:

  • Поиск уязвимостей (VM): Ручная проверка тысяч ресурсов невозможна, поэтому сканеры и пайплайны поиска давно стали стандартом.
  • Динамические плейбуки в SOAR: Системы, которые меняют набор действий по реагированию в зависимости от контекста инцидента.
  • Обогащение контекстом: Автоматический сбор данных об учетных записях, процессах и хэшах, чтобы аналитик не тратил на это время вручную.
  • ML в антивирусах и EDR: Использование моделей-классификаторов для детекта аномалий на конечных точках — это технология, которой уже много лет.

Интересный кейс: Опыт компании Positive Technologies показал, что использование LLM (языковых моделей) в качестве «копилота» для первой линии техподдержки позволяет эффективнее онбордить сотрудников и сокращать количество ошибок в ночные смены.

Автоматизация контроля устройств и реакций (ПК ИБ «САКУРА»)

Особое внимание на эфире было уделено автоматизации управления состоянием защищенности огромного парка пользовательских устройств. В условиях, когда количество рабочих мест может исчисляться сотнями тысяч (например, подтверждена стабильная работа системы на 105 000 хостов), ручной мониторинг становится физически невозможен.

САКУРА – Ключевые направления автоматизации в этом сегменте:

  • Инвентаризация и «реальный срез» данных: Вместо того чтобы полагаться на устаревшую документацию, автоматизированные системы проводят сканирование инфраструктуры в реальном времени. Это позволяет получить агрегированный вид всей сети, выявить неиспользуемые программы или неучтенные устройства, которые часто становятся «входной точкой» для атакующих.
  • Контроль удаленных и гибридных рабочих мест: Автоматизация позволяет распространить единые корпоративные политики безопасности на устройства вне периметра организации. Система 24/7 проверяет соответствие каждого устройства заданному «эталону» ИБ (наличие антивируса, обновлений ОС, отсутствие запрещенного ПО).
  • Активное реагирование «на лету»: Главное отличие современных решений — переход от простой констатации проблемы к автоматическому устранению угроз. Если устройство перестает соответствовать профилю безопасности, система мгновенно и без участия человека может:
    • Ограничить или полностью заблокировать доступ к корпоративным ресурсам и сегментам сети.
    • Изолировать скомпрометированный хост.
    • Принудительно запустить необходимые механизмы защиты.
  • Драматическое ускорение процессов: Благодаря автоматизированным плейбукам время реакции на инцидент сокращается с десятков минут (традиционных для ручной обработки дежурной сменой) до нескольких секунд. Это критически важно для предотвращения распространения атаки внутри сети.
  • Реализация модели Zero Trust: Автоматизация обеспечивает непрерывный мониторинг и аутентификацию не только пользователя, но и самого устройства перед каждым сеансом связи с сетью.

Таким образом, автоматизация при помощи «САКУРЫ» превращает ИБ из «надзирателя», который только находит ошибки, в интегрированный механизм, который самостоятельно поддерживает инфраструктуру в безопасном состоянии.

Вопросы без ответов: Где автоматизация буксует

Несмотря на оптимизм, в отрасли остается ряд «серых зон», где готовых решений либо нет, либо они слишком дороги:

  1. Доверие к вердиктам (Проблема «Черного ящика»): Часто непонятно, на основе чего ИИ сделал вывод. Без прозрачности аналитики боятся доверять «автопилоту».
  2. Экономика ИИ: Запуск тяжелых моделей (LLM) требует огромных вычислительных ресурсов (GPU), что может стоить дороже, чем нанять штат «джунов».
  3. Отсутствие «Доверенного ИИ»: Регуляторы в России пока не дали четких определений, что считать доверенным искусственным интеллектом, особенно для критической инфраструктуры (КИИ).
  4. Сложные коммуникации: Автоматизация общения ИБ с топ-менеджментом или пользователями («чат-боты») часто лишена эмпатии и может вызывать стресс или конфликты.

Чего нужно опасаться

Участники дискуссии выделили несколько критических рисков:

  • Галлюцинации моделей: ИИ может «додумывать» код или выдавать ложные ссылки на патчи (например, предлагать патч Microsoft для Apache).
  • Утечка данных: Использование публичных облачных моделей (вроде ChatGPT) для анализа реальных логов или командлайнов компании чревато раскрытием конфиденциальной информации.
  • Точки отказа: Злоумышленники могут атаковать саму платформу автоматизации. Если «автопилот» скомпрометирован, последствия будут катастрофическими.
  • Деградация экспертизы: Слепое доверие инструментам может привести к тому, что люди перестанут понимать, как работают базовые процессы защиты.

К чему готовиться: Тренды 2026–2027

  1. Локальные модели (On-premise LLM): Компании будут уходить от облачных решений к развертыванию собственных маленьких, но специализированных моделей внутри контура.
  2. AI Firewalls: Появление нового класса продуктов, которые фильтруют входной контекст и выходные данные нейросетей для предотвращения промпт-инъекций и утечек.
  3. Агентские системы: Переход от простых скриптов к автономным агентам, которые могут самостоятельно проводить пентесты или расследовать инциденты там, где исчерпана обычная логика.
  4. Изменение роли специалиста: ИБ-шник будущего — это не тот, кто пишет Select-запросы, а тот, кто умеет ставить задачи ИИ («промпт-инжиниринг») и верифицировать результат.

Итог – Важный совет от экспертов

Начинайте с автоматизации самых «больных» и рутинных мест, но не пытайтесь сразу внедрить «серебряную пулю». Если процесс нельзя автоматизировать в Excel, специализированная система его тоже не спасет.

Видео


Посмотреть видео можно здесь:   VK   YouTube   RuTube

 

Подписывайтесь на наши каналы в Telegram и MAX
Вернуться назад

Репост

Свяжитесь с нами

+7 499 450 28 86 info@it-expertise.ru
119435 г. Москва, ул. Малая Пироговская, 16
Контакты
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике
Связаться с нами

Заполните форму ниже и наши специалисты свяжутся с вами в ближайшее время

Удобное время для звонка
  • 10:00 - 12:00
  • 12:00 - 14:00
  • 14:00 - 16:00
  • 16:00 - 18:00
  • 18:00 - 19:00
Время московское
Отвечаем с понедельника по пятницу
Нажимая на кнопку "Связаться с нами", вы даете согласие на обработку персональных данных. Подробнее об обработке данных читайте в Политике