10.11.2025 09:53
ptsecurity 0 123 Источник

За последние годы Security Operations Center (SOC) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

Ландшафт угроз: новая реальность для защитников

Атакующие активно развивают инструменты, радикально сокращающие время на проведение атаки. Согласно данным Unit 42 Global Incident Response Report 2025, в 2024 году в 19% случаев утечка данных происходила уже в течение первого часа после взлома. Отчеты CrowdStrike фиксируют рекордно низкое время между первоначальным доступом злоумышленника и началом перемещения по сети — в среднем 48 минут, а минимальное зафиксированное время составило всего 51 секунду.

Это ускорение достигается несколькими способами. Во-первых, искусственный интеллект успешно применяется для проведения фишинга, создания дипфейков и вишинга. На теневых форумах даже существует отдельное направление Deepfakes as a Service. Большие языковые модели (LLM) активно используются для разработки и улучшения вредоносного ПО, как в случае с программой-вымогателем PromtLock, созданной с помощью модели gpt-oss-20b.

Во-вторых, ИИ демонстрирует высокий потенциал в автоматизации поиска уязвимостей. Примером служит ИИ-ассистент Xbow, занявший первое место в рейтинге платформы HackerOne, или агентный ИИ, успешно выступающий в CTF-соревнованиях. Появление инструментов вроде Hexstrike-AI, состоящего из более чем 150 ИИ-агентов и способного автономно сканировать периметр и эксплуатировать уязвимости менее чем за десять минут, знаменует новый этап автоматизации атак.

Параллельно киберпреступники реализуют более сложные многоэтапные атаки, используют техники Living-off-the-Land (LOTL), замеченные в 49% атак с использованием программ-вымогателей, и смещают время атак на ранние утренние часы. Общей тенденцией становится рост разрушительных атак, направленных на нарушение функционирования инфраструктуры. Все это приводит к резкому увеличению спроса на экспертизу по расследованию инцидентов, который, по нашим данным, вырос на 176% в 2023 году.

Вызовы для современных SOC: в ловушке данных и кадрового голода

Основная задача SOC — минимизировать время обнаружения, расследования и реагирования на угрозы. Однако реальность такова, что в 40% случаев компаниям требовалось более месяца на первичное обнаружение угрозы. Лишь 21% команд делали это в первые сутки.

Эта задержка обусловлена рядом укоренившихся проблем. Согласно отчету SANS, основными сложностями остаются ложноположительные срабатывания (63,8%), большой объем данных (62,5%) и недостаток квалификации специалистов (58,8%). В ответ на растущий шум 57% SOC предпочитают просто подавлять «шумные» правила, в результате чего в среднем 40% алертов вообще не анализируются.

Усугубляет ситуацию кадровый кризис. Более половины аналитиков (58%) работают в SOC не более трех лет, после чего уходят из-за выгорания и высокой нагрузки. При этом поиск и найм новых специалистов занимает у компаний от двух до шести месяцев. В итоге центры мониторинга сталкиваются с постоянным кадровым голодом, сверхнагрузкой на команду и пробелами в круглосуточном мониторинге.

Трансформация SOC: на пути к AI-Driven центру мониторинга

Рисунок 1. Процессы в AI-driven SOC
Процессы в AI-driven SOC

Ответом на эти вызовы становится глубокая трансформация SOC, которая сегодня получает название AI SOC. Искусственный интеллект стремятся внедрить на всех этапах — от сбора данных до реагирования на инциденты.

Новые данные и автоматизация их обработки

Современный SOC должен обеспечивать мониторинг не только традиционных активов, но и облачных сред, контейнеров и SaaS-сервисов. Активность, связанная с облачными аккаунтами, выросла за последний год почти на 500%, при этом 60% контейнеров в облаках «живут» не дольше одной минуты, что требует от средств мониторинга работы, близкой к реальному времени. Отдельным вызовом стал стремительный рост машинных учетных записей (non-human identities), которые в среднем в 80 раз превосходят по количеству человеческие, создавая новую обширную поверхность для атак.

 

Рисунок 2. Традиционные и современные типы активов в SOC
Традиционные и современные типы активов в SOC

Для управления этим потоком данных вендоры активно внедряют ИИ для автоматизации подключения источников. Gurucul, Elastic Security и разрабатываемый ассистент для MaxPatrol SIEM используют большие языковые модели для автоматической генерации парсеров и правил нормализации, значительно ускоряя и упрощая настройку мониторинга.

Интеллектуальное управление данными и хранение

Рисунок 4. Сравнение традиционного подхода к управлению данными в SOC с форматом единой платформы данных
Сравнение традиционного подхода к управлению данными в SOC с форматом единой платформы данных

Растущие объемы данных, достигающие десятков терабайт в сутки, заставляют пересматривать подходы к хранению и анализу. Критически важным становится долгосрочное хранение логов на срок в несколько лет, особенно с учетом того, что, по нашим данным, в 17% инцидентов злоумышленники остаются в инфраструктуре жертв от одного года до трех лет.

Ответом на этот вызов становится переход к архитектуре Data Lakehouse, которая объединяет преимущества Data Lakes (хранение больших объемов неструктурированных данных) и классических хранилищ (высокая скорость аналитики). Такие платформы, используемые в Devo, Hunters и продуктах Positive Technologies (MaxPatrol O2, PT X), обеспечивают масштабируемость, долгосрочное хранение и «AI-ready-состояние» данных, необходимое для работы продвинутых алгоритмов.

Трансформация обнаружения угроз и работа аналитика

Основную ценность в SOC несет логика обнаружения угроз, и здесь ИИ играет ключевую роль. Модули поведенческого анализа (UEBA), такие как MaxPatrol BAD или решения от Gurucul и Devo, с помощью ML-алгоритмов выявляют аномалии в поведении пользователей и систем, которые невозможно обнаружить традиционными правилами.

Для борьбы с ложными срабатываниями появляются специализированные ИИ-агенты, которые анализируют эффективность правил детектирования. Платформы вроде CardinalOps автоматически выявляют слепые зоны в покрытии матрицы MITRE ATT&CK и генерируют готовые исправления для правил. На смену ручному созданию детектов приходят системы, где ИИ самостоятельно генерирует и совершенствует логику обнаружения, как в случае с Detection Engineering Agents от Gurucul или AI-powered индикаторами атак (IOA) в CrowdStrike Falcon.

Центральным элементом работы аналитика становятся ИИ-ассистенты (AI Copilots). Они помогают в самых разных задачах: объясняют срабатывания, как Elastic AI Assistant; конвертируют запросы с естественного языка в синтаксис SIEM, как Gemini AI в Google Chronicle; генерируют дашборды и отчеты по запросу на естественном языке, как Exaforce Exabots. Это снижает когнитивную нагрузку и позволяет аналитикам сосредоточиться на сложных расследованиях и проактивном поиске угроз.

Будущее за автономией: от ассистентов к агентам

 

Рисунок 7. Эволюция ИИ-ассистентов и ИИ-агентов (Источник: Gartner - AI Agent Assessment Framework)
Эволюция ИИ-ассистентов и ИИ-агентов (Источник: Gartner - AI Agent Assessment Framework)

Эволюция ИИ в SOC движется от помощников-ассистентов к автономным ИИ-агентам, способным действовать самостоятельно. Ключевым трендом становится мультиагентный подход, где разные агенты специализируются на конкретных задачах: сбор данных, анализ, триаж, реагирование. Платформы вроде Intezer Autonomous SOC, MaxPatrol O2 или Radiant Security демонстрируют, как агенты могут автоматически обрабатывать алерты, собирать контекст и даже выполнять действия по сдерживанию угрозы, такие как блокировка учетной записи.

Следующим рубежом является создание виртуальных аналитиков (AI SOC Analyst), которые, как в платформе Legion, учатся на действиях экспертов-людей и могут автономно расследовать сложные инциденты.

Проактивная защита: опережая атакующего

В условиях, когда маршрут проникновения к критическим активам в 72% случаев состоит менее чем из пяти шагов, критически важным становится проактивный подход. Инструменты анализа путей атак (Attack Path Management), такие как PT Threat Modeling Engine в MaxPatrol Carbon, Microsoft Sentinel Graph или Datadog Security Graph, строят цифровую модель инфраструктуры и с помощью графовых вычислений и методов вроде Монте-Карло определяют наиболее вероятные и опасные маршруты движения злоумышленника. Это позволяет целенаправленно укреплять защиту, следуя принципу «Fix less — secure more».

Заключение: новая философия SOC

Технологии искусственного интеллекта открывают перед центрами мониторинга беспрецедентные возможности, но и ставят новые сложные задачи. Необходимо бороться с «галлюцинациями» моделей, обеспечивать объяснимость и безопасность самих ИИ-решений, которые уже становятся мишенью для специализированных атак.

До недавнего времени генеративный ИИ в основном усиливал существующие кибератаки. Однако с приходом агентного ИИ, способного автономно планировать и действовать, ландшафт угроз кардинально меняется. Это требует адекватного ответа — переосмысления стратегий защиты и активного внедрения AI-driven подхода. Согласно исследованию SOC Maturity Report 2025, 41% компаний планируют внедрить ИИ для автоматизации SOC в течение ближайшего года. Рынок переходит из стадии экспериментов в фазу осознанной трансформации, где искусственный интеллект становится не опциональным дополнением, а центральным элементом архитектуры SOC нового поколения.

С полной версией исследования можно ознакомиться на нашем сайте.

Анна Голушко

Старший аналитик направления аналитических исследований Positive Technologies

Комментарии (0)