AM Live: Автоматизация в информационной безопасности 2026 - Итоги и видео

В эфире AM Live эксперты обсудили одну из самых острых тем современного ИТ-рынка — автоматизацию информационной безопасности (ИБ). В условиях катастрофического дефицита кадров и лавинообразного роста угроз автоматизация перестает быть просто «улучшением» и становится вопросом выживания бизнеса.

В статье представлен подробный разбор ключевых идей эфира: от реальных кейсов внедрения ИИ до подводных камней, о которых не всегда говорят вендоры.

Ключевая тема: Автоматизация ради эффективности, а не ради хайпа

Главный лейтмотив обсуждения — автоматизация должна приносить реальную выгоду, а не просто внедряться ради следования трендам. Эксперты выделили три основных драйвера процесса:

1. Избавление от рутины: Чтобы сотрудники «не выгорали» на монотонных задачах.
2. Экономия и масштабирование: Возможность обрабатывать растущий поток инцидентов тем же количеством людей.
3. Скорость: Переход от реагирования за десятки минут к реакции за секунды.

Сегодня автоматизация — это уже не выбор, а «электричество» цифровой эпохи, которое используют и защитники, и атакующие.

Что автоматизируем: Решения, которые работают

На текущий момент в ИБ успешно автоматизируются процессы, имеющие детерминированную (четкую) логику:

• Поиск уязвимостей (VM): Ручная проверка тысяч ресурсов невозможна, поэтому сканеры и пайплайны поиска давно стали стандартом.
• Динамические плейбуки в SOAR: Системы, которые меняют набор действий по реагированию в зависимости от контекста инцидента.
• Обогащение контекстом: Автоматический сбор данных об учетных записях, процессах и хэшах, чтобы аналитик не тратил на это время вручную.
• ML в антивирусах и EDR: Использование моделей-классификаторов для детекта аномалий на конечных точках — это технология, которой уже много лет.

Интересный кейс: Опыт компании Positive Technologies показал, что использование LLM (языковых моделей) в качестве «копилота» для первой линии техподдержки позволяет эффективнее онбордить сотрудников и сокращать количество ошибок в ночные смены.

Автоматизация контроля устройств и реакций (ПК ИБ « САКУРА»)

Особое внимание на эфире было уделено автоматизации управления состоянием защищенности огромного парка пользовательских устройств. В условиях, когда количество рабочих мест может исчисляться сотнями тысяч (например, подтверждена стабильная работа системы на 105 000 хостов), ручной мониторинг становится физически невозможен.

САКУРА – Ключевые направления автоматизации в этом сегменте:

• Инвентаризация и «реальный срез» данных: Вместо того чтобы полагаться на устаревшую документацию, автоматизированные системы проводят сканирование инфраструктуры в реальном времени. Это позволяет получить агрегированный вид всей сети, выявить неиспользуемые программы или неучтенные устройства, которые часто становятся «входной точкой» для атакующих.
• Контроль удаленных и гибридных рабочих мест: Автоматизация позволяет распространить единые корпоративные политики безопасности на устройства вне периметра организации. Система 24/7 проверяет соответствие каждого устройства заданному «эталону» ИБ (наличие антивируса, обновлений ОС, отсутствие запрещенного ПО).
• Активное реагирование «на лету»: Главное отличие современных решений — переход от простой констатации проблемы к автоматическому устранению угроз. Если устройство перестает соответствовать профилю безопасности, система мгновенно и без участия человека может:
• Ограничить или полностью заблокировать доступ к корпоративным ресурсам и сегментам сети.
• Изолировать скомпрометированный хост.
• Принудительно запустить необходимые механизмы защиты.
• Драматическое ускорение процессов: Благодаря автоматизированным плейбукам время реакции на инцидент сокращается с десятков минут (традиционных для ручной обработки дежурной сменой) до нескольких секунд. Это критически важно для предотвращения распространения атаки внутри сети.
• Реализация модели Zero Trust: Автоматизация обеспечивает непрерывный мониторинг и аутентификацию не только пользователя, но и самого устройства перед каждым сеансом связи с сетью.

Таким образом, автоматизация при помощи «САКУРЫ» превращает ИБ из «надзирателя», который только находит ошибки, в интегрированный механизм, который самостоятельно поддерживает инфраструктуру в безопасном состоянии.

Вопросы без ответов: Где автоматизация буксует

Несмотря на оптимизм, в отрасли остается ряд «серых зон», где готовых решений либо нет, либо они слишком дороги:

1. Доверие к вердиктам (Проблема «Черного ящика»): Часто непонятно, на основе чего ИИ сделал вывод. Без прозрачности аналитики боятся доверять «автопилоту».
2. Экономика ИИ: Запуск тяжелых моделей (LLM) требует огромных вычислительных ресурсов (GPU), что может стоить дороже, чем нанять штат «джунов».
3. Отсутствие «Доверенного ИИ»: Регуляторы в России пока не дали четких определений, что считать доверенным искусственным интеллектом, особенно для критической инфраструктуры (КИИ).
4. Сложные коммуникации: Автоматизация общения ИБ с топ-менеджментом или пользователями («чат-боты») часто лишена эмпатии и может вызывать стресс или конфликты.

Чего нужно опасаться

Участники дискуссии выделили несколько критических рисков:

• Галлюцинации моделей: ИИ может «додумывать» код или выдавать ложные ссылки на патчи (например, предлагать патч Microsoft для Apache).
• Утечка данных: Использование публичных облачных моделей (вроде ChatGPT) для анализа реальных логов или командлайнов компании чревато раскрытием конфиденциальной информации.
• Точки отказа: Злоумышленники могут атаковать саму платформу автоматизации. Если «автопилот» скомпрометирован, последствия будут катастрофическими.
• Деградация экспертизы: Слепое доверие инструментам может привести к тому, что люди перестанут понимать, как работают базовые процессы защиты.

К чему готовиться: Тренды 2026–2027

1. Локальные модели (On-premise LLM): Компании будут уходить от облачных решений к развертыванию собственных маленьких, но специализированных моделей внутри контура.
2. AI Firewalls: Появление нового класса продуктов, которые фильтруют входной контекст и выходные данные нейросетей для предотвращения промпт-инъекций и утечек.
3. Агентские системы: Переход от простых скриптов к автономным агентам, которые могут самостоятельно проводить пентесты или расследовать инциденты там, где исчерпана обычная логика.
4. Изменение роли специалиста: ИБ-шник будущего — это не тот, кто пишет Select-запросы, а тот, кто умеет ставить задачи ИИ («промпт-инжиниринг») и верифицировать результат.

Итог – Важный совет от экспертов

Начинайте с автоматизации самых «больных» и рутинных мест, но не пытайтесь сразу внедрить «серебряную пулю». Если процесс нельзя автоматизировать в Excel, специализированная система его тоже не спасет.

Видео

Посмотреть видео можно здесь:    VK    YouTube    RuTube

Подписывайтесь на наши каналы в Telegram и MAX