11.11.2025 08:40
ptsecurity 0 138 Источник

За последние годы Security Operations Center (SOC, Центр мониторинга безопасности) прошел путь от ручных операций и анализа единичных событий к системному мониторингу угроз и активной автоматизации. Сегодня на первый план выходят инструменты на базе искусственного интеллекта (ИИ), которые не просто расширяют возможности центров мониторинга, но и фундаментально меняют правила игры. В этой статье пробежимся по ключевым трендам, определяющим развитие SOC в ближайшие несколько лет, — от трансформации инструментов до глубоких изменений в процессах.

Ландшафт угроз: новая реальность для защитников

Атакующие активно развивают инструменты, радикально сокращающие время на проведение атаки. Согласно данным Unit 42 Global Incident Response Report 2025, в 2024 году в 19% случаев утечка данных происходила уже в течение первого часа после взлома. Отчеты CrowdStrike фиксируют рекордно низкое время между первоначальным доступом злоумышленника и началом перемещения по сети — в среднем 48 минут, а минимальное зафиксированное время составило всего 51 секунду.

Это ускорение достигается несколькими способами. Во‑первых, искусственный интеллект успешно применяется для проведения фишинга, создания дипфейков и вишинга. На теневых форумах даже существует отдельное направление Deepfakes as a Service. Большие языковые модели (LLM) активно используются для разработки и улучшения вредоносного ПО, как в случае с программой‑вымогателем PromtLock, созданной с помощью модели gpt‑oss-20b.

Во‑вторых, ИИ демонстрирует высокий потенциал в автоматизации поиска уязвимостей. Примером служит ИИ‑ассистент Xbow, занявший первое место в рейтинге платформы HackerOne, или агентный ИИ, успешно выступающий в CTF‑соревнованиях. Появление инструментов вроде Hexstrike‑AI, состоящего из более чем 150 ИИ‑агентов и способного автономно сканировать периметр и эксплуатировать уязвимости менее чем за десять минут, знаменует новый этап автоматизации атак.

Параллельно киберпреступники реализуют более сложные многоэтапные атаки, используют техники Living‑off‑the‑Land (LOTL), замеченные в 49% атак с использованием программ‑вымогателей, и смещают время атак на ранние утренние часы. Общей тенденцией становится рост разрушительных атак, направленных на нарушение функционирования инфраструктуры. Все это приводит к стабильному увеличению спроса на экспертизу по расследованию инцидентов, который, по нашим данным, вырос на 176% в 2023 году. При этом за первые три квартала 2024 года этот спрос вырос на 24% по сравнению с аналогичным периодом 2023 года.

Вызовы для современных SOC: в ловушке данных и кадрового голода

Основная задача SOC — минимизировать время обнаружения, расследования и реагирования на угрозы. Однако реальность такова, что в 40% случаев компаниям требовалось более месяца на первичное обнаружение угрозы. Лишь 21% команд делали это в первые сутки.

Эта задержка обусловлена рядом укоренившихся проблем. Согласно отчету SANS, основными сложностями остаются ложноположительные срабатывания (63,8%), большой объем данных (62,5%) и недостаток квалификации специалистов (58,8%). В ответ на растущий шум 57% SOC предпочитают просто подавлять «шумные» правила, в результате чего в среднем 40% алертов вообще не анализируются.

Усугубляет ситуацию кадровый кризис. Более половины аналитиков (58%) работают в SOC не более трех лет, после чего уходят из‑за выгорания и высокой нагрузки. При этом поиск и найм новых специалистов занимает у компаний от двух до шести месяцев. В итоге центры мониторинга сталкиваются с постоянным кадровым голодом, сверхнагрузкой на команду и пробелами в круглосуточном мониторинге.

Трансформация SOC: на пути к AI-Driven центру мониторинга

Процессы в AI-driven SOC
Процессы в AI‑driven SOC

Ответом на эти вызовы становится глубокая трансформация SOC, которая сегодня получает название AI SOC. Искусственный интеллект стремятся внедрить на всех этапах — от сбора данных до реагирования на инциденты.

Новые данные и автоматизация их обработки

Современный SOC должен обеспечивать мониторинг не только традиционных активов, но и облачных сред, контейнеров и SaaS‑сервисов. По данным отчета Red Canary, число оповещений безопасности, связанных с облачными аккаунтами, выросло за последний год почти на 500%, при этом согласно исследованию Sysdig 60% контейнеров в облаках «живут» не дольше одной минуты, что требует от средств мониторинга работы, близкой к реальному времени.Отдельным вызовом стал стремительный рост машинных учетных записей (non‑human identities), которые в среднем в 80 раз превосходят по количеству человеческие, создавая новую обширную поверхность для атак.

Традиционные и современные типы активов в SOC
Традиционные и современные типы активов в SOC

Для управления этим потоком данных вендоры активно внедряют ИИ для автоматизации подключения источников. Gurucul, Elastic Security и разрабатываемый ассистент для MaxPatrol SIEM используют большие языковые модели для автоматической генерации парсеров и правил нормализации, значительно ускоряя и упрощая настройку мониторинга.

Интеллектуальное управление данными и хранение

Растущие объемы данных, достигающие десятков терабайт в сутки, заставляют пересматривать подходы к хранению и анализу. Критически важным становится долгосрочное хранение логов на срок в несколько лет, особенно с учетом того, что, по нашим данным, в 17% инцидентов злоумышленники остаются в инфраструктуре жертв от одного года до трех лет.

Сравнение традиционного подхода к управлению данными в SOC с форматом единой платформы данных
Сравнение традиционного подхода к управлению данными в SOC с форматом единой платформы данных

Ответом на этот вызов становится переход к архитектуре Data Lakehouse, которая объединяет преимущества Data Lakes (хранение больших объемов неструктурированных данных) и классических хранилищ (высокая скорость аналитики). Такие платформы, используемые в Devo, Hunters и продуктах Positive Technologies (MaxPatrol O2, PT X), обеспечивают масштабируемость, долгосрочное хранение и «AI‑ready‑состояние» данных, необходимое для работы продвинутых алгоритмов.

Трансформация обнаружения угроз и работа аналитика

Основную ценность в SOC несет логика обнаружения угроз, и здесь ИИ играет ключевую роль. Модули поведенческого анализа (UEBA), такие как MaxPatrol BAD или решения от Gurucul и Devo, с помощью ML‑алгоритмов выявляют аномалии в поведении пользователей и систем, которые невозможно обнаружить традиционными правилами.

Для борьбы с ложными срабатываниями появляются специализированные ИИ‑агенты, которые анализируют эффективность правил детектирования. Платформы вроде CardinalOps автоматически выявляют слепые зоны в покрытии матрицы MITRE ATT&CK и генерируют готовые исправления для правил. На смену ручному созданию детектов приходят системы, где ИИ самостоятельно генерирует и совершенствует логику обнаружения, как в случае с Detection Engineering Agents от Gurucul или AI‑powered индикаторами атак (IOA) в CrowdStrike Falcon.

Центральным элементом работы аналитика становятся ИИ‑ассистенты (AI Copilots). Они помогают в самых разных задачах: объясняют срабатывания, как Elastic AI Assistant; конвертируют запросы с естественного языка в синтаксис SIEM, как Gemini AI в Google Chronicle; генерируют дашборды и отчеты по запросу на естественном языке, как Exaforce Exabots. Это снижает когнитивную нагрузку и позволяет аналитикам сосредоточиться на сложных расследованиях и проактивном поиске угроз.

Будущее за автономией: от ассистентов к агентам

Эволюция ИИ в SOC движется от помощников‑ассистентов к автономным ИИ‑агентам, способным действовать самостоятельно. Ключевым трендом становится мультиагентный подход, где разные агенты специализируются на конкретных задачах: сбор данных, анализ, триаж, реагирование. Платформы вроде Intezer Autonomous SOC, MaxPatrol O2 или Radiant Security демонстрируют, как агенты могут автоматически обрабатывать алерты, собирать контекст и даже выполнять действия по сдерживанию угрозы, такие как блокировка учетной записи.

Эволюция ИИ-ассистентов и ИИ-агентов (Источник: Gartner - AI Agent Assessment Framework)
Эволюция ИИ‑ассистентов и ИИ‑агентов (Источник: Gartner — AI Agent Assessment Framework)

Следующим рубежом является создание виртуальных аналитиков (AI SOC Analyst), которые, как в платформе Legion, учатся на действиях экспертов‑людей и могут автономно расследовать сложные инциденты.

Проактивная защита: опережая атакующего

В условиях, когда маршрут проникновения к критическим активам в 72% случаев состоит менее чем из пяти шагов, критически важным становится проактивный подход. Инструменты анализа путей атак (Attack Path Management), такие как PT Threat Modeling Engine в MaxPatrol Carbon, Microsoft Sentinel Graph или Datadog Security Graph, строят цифровую модель инфраструктуры и с помощью графовых вычислений и методов вроде Монте‑Карло определяют наиболее вероятные и опасные маршруты движения злоумышленника. Это позволяет целенаправленно укреплять защиту, следуя принципу «Fix less — secure more».

Заключение: новая философия SOC

Технологии искусственного интеллекта открывают перед центрами мониторинга беспрецедентные возможности, но и ставят новые сложные задачи. Необходимо бороться с «галлюцинациями» моделей, обеспечивать объяснимость и безопасность самих ИИ‑решений, которые уже становятся мишенью для специализированных атак.

До недавнего времени генеративный ИИ в основном усиливал существующие кибератаки. Однако с приходом агентного ИИ, способного автономно планировать и действовать, ландшафт угроз кардинально меняется. Это требует адекватного ответа — переосмысления стратегий защиты и активного внедрения AI‑driven подхода. Согласно исследованию SOC Maturity Report 2025, 41% компаний планируют внедрить ИИ для автоматизации SOC в течение ближайшего года. Рынок переходит из стадии экспериментов в фазу осознанной трансформации, где искусственный интеллект становится не опциональным дополнением, а центральным элементом архитектуры SOC нового поколения.

С полной версией исследования можно ознакомиться на нашем сайте.

Анна Голушко

Старший аналитик направления аналитических исследований Positive Technologies

Комментарии (0)