Алексей Кузовкин назвал ИИ необходимостью для борьбы с киберугрозами

IT
25 июня 2025 19:12

Каждые 39 секунд в мире происходит кибератака. Финансовые потери от преступлений в сети исчисляются триллионами долларов, а масштабы угроз растут: от точечных фишинговых атак до государственных кибервойн. Традиционные системы защиты, основанные на сигнатурном анализе и правилах, напоминают средневековые стены под атакой современной артиллерии — они не успевают адаптироваться к новым тактикам злоумышленников.  Искусственный интеллект — это не просто модный тренд, а необходимость. В отличие от человека, он способен: 

•          обрабатывать петабайты данных из сетевого трафика, выявляя аномалии за миллисекунды;

•          учиться на поведении злоумышленников, предсказывая их следующие шаги; 

•          автоматизировать до 70 % рутинных задач SOC-аналитиков, позволяя специалистам сосредоточиться на сложных угрозах.

Но ИИ — не волшебная таблетка. Его эффективность зависит от качества данных, а злоумышленники уже учатся обманывать алгоритмы через adversarial-атаки. Кроме того, автономность решений ИИ ставит этические вопросы, например, кто отвечает за ложное срабатывание, заблокировавшее работу больницы? 

Как ИИ анализирует угрозы? Машинное зрение для цифрового мира 

От сигнатур к поведенческому анализу: смена парадигмы

Традиционные антивирусы работают как криминальная база данных — ищут известные «отпечатки» вредоносного кода. Но что делать, если хакер изменил всего один байт в файле? ИИ решает эту проблему, переключая фокус со «что» (сигнатура) на «как» (поведение): 

•          алгоритмы unsupervised learning выявляют аномалии в действиях пользователей (например, бухгалтер внезапно скачивает гигабайты данных ночью); 

•          модели NLP анализируют фишинговые письма, определяя поддельные домены и скрытые эмоциональные манипуляции в тексте («Срочно! Ваш аккаунт будет удален!»). 

Пример: в 2024 году ИИ-система Vectra AI обнаружила атаку на энергокомпанию, заметив, что легальный инструмент администратора PowerShell использовался для несанкционированного перемещения в сети — классический признак «живучести» хакеров. 

Реальное время — реальная защита 

Скорость — ключевое преимущество ИИ: 

•          сетевой трафик: алгоритмы вроде LSTM-сетей отслеживают миллионы соединений, мгновенно вычисляя DDoS-атаки по аномальным шаблонам запросов;

•          эндпоинты: системы CrowdStrike анализируют поведение процессов, блокируя даже неизвестное ransomware до начала шифрования файлов. 

Ложные срабатывания: тонкая настройка 

Главный камень преткновения — баланс между безопасностью и удобством. Переобученная модель может парализовать работу, принимая легитимные обновления за угрозы. Решения: 

•          федеративное обучение: ИИ учится на данных множества компаний, не получая доступа к ним (используется в Palo Alto Networks); 

•          объяснимый AI (XAI): системы не просто блокируют угрозу, но и показывают аналитикам почему, например, «этот SSL-трафик содержит скрытый DNS-туннель». 

Преимущества ИИ перед классическими методами: почему будущее за адаптивными системами

Скорость и масштаб: там, где человек бессилен 

Классические системы кибербезопасности работают по принципу «известных угроз» — они сравнивают активность с базой сигнатур, как полицейский, сверяющий лицо с фотороботом. Но современные хакеры используют: 

•          полиморфные вирусы, меняющие код при каждом запуске; 

•          атаки нулевого дня, о которых еще нет записей в базах; 

•          Low-and-slow-атаки, маскирующиеся под легитимный трафик. 

ИИ решает эту проблему: 

•          обработка в реальном времени: алгоритмы анализируют до 1 ТБ данных в секунду (например, платформа Splunk);

•          прогнозирование атак: поведенческие модели предсказывают угрозы до их реализации. В 2023 году ИИ Microsoft предотвратил атаку на Azure, заметив аномальную активность в API-запросах за 72 часа до эскалации.

Автоматизация рутины: как ИИ освобождает киберзащитников 

По данным IBM, специалисты SOC тратят 40 % времени на тривиальные задачи: 

•          обработка в реальном времени: алгоритмы анализируют до 1 ТБ данных в секунду (например, платформа Splunk);

•          прогнозирование атак: поведенческие модели предсказывают угрозы до их реализации. В 2023 году ИИ Microsoft предотвратил атаку на Azure, заметив аномальную активность в API-запросах за 72 часа до эскалации.

Что меняет ИИ? 

  1. Автоматический triage: системы ранжируют инциденты по критичности. Например, Google Chronicle присваивает угрозам «уровень опасности» и сразу блокирует наиболее рисковые. 
  2. Автоответ на угрозы (SOAR): при атаке ИИ не только обнаруживает ее, но и: 

•          изолирует зараженные устройства; 

•          патчит уязвимости (как в случае с автоматическим обновлением Cisco Umbrella); 

•          генерирует отчет для аналитиков — уже с готовым анализом вектора атаки. 

Глубокая аналитика: обнаружение скрытых взаимосвязей 

Человек может не заметить, что: 

•          вход в систему с одного IP в 3:00 ночи и скачивание базы данных через 15 минут — часть одной атаки; 

•          фишинговое письмо и поддельный DNS-запрос пришли из одной хакерской группы. 

ИИ видит эти паттерны: 

•          графовые нейросети (GNN) выявляют сложные цепочки, как в деле 2024 года, когда алгоритм связал утечку в ретейлере с фиктивным аккаунтом в GitHub, где хранился бекдор; 

•          анализ метаданных: даже зашифрованный трафик выдает угрозы через timing-атаки или объем пакетов (например, инструменты Darktrace). 

Ограничения: когда ИИ проигрывает? 

Даже у революционных технологий есть слабые места: 

•          «слепые зоны» обучения: если ИИ не видел атаку в тренировочных данных, он может ее пропустить (как случилось с редким видом DNS-спуфинга в 2023 г.); 

•          ресурсоемкость: для работы сложных моделей нужны мощные серверы — не все компании могут себе это позволить. 

Проблема «мусор на входе — мусор на выходе»: зависимость от данных

Ограничения и риски ИИ в кибербезопасности: когда умные системы ошибаются

ИИ-модели — лишь зеркало информации, которой их кормят. Ключевые слабости: 

•          смещенные обучающие выборки. Если алгоритм тренировали только на атаках из США, он может пропустить аномалии, характерные для азиатских хакерских групп (как произошло с одним из банков Сингапура в 2023 году); 

•          устаревшие данные. Модель, обученная на угрозах 2022 года, бесполезна против современных тактик, например, AI-generated phishing (как сервис WormGPT). 

Adversarial attacks: как хакеры дурачат ИИ 

Злоумышленники научились «гипнотизировать» алгоритмы: 

•          Изменение пикселей. Добавление невидимых глазу шумов в изображение обманывает компьютерное зрение (так в Китае пропустили вредоносный код, замаскированный под QR-чек). 

•          Ядовитые данные. Хакеры подбрасывают в обучающие наборы ложные примеры. В 2023 году атака на ИИ-фильтр почты Microsoft привела к тому, что 12 % спама стало проходить как «легитимные письма». 

Парадокс: чем сложнее ИИ, тем уязвимее он к таким атакам. Например, генеративные модели (такие как GPT) могут создавать идеальные фишинговые тексты, обходя детекторы. 

Черный ящик: проблема доверия 

Почти 60 % SOC-аналитиков не понимают, как ИИ принимает решения (исследование MIT, 2024). Последствия: 

•          ложные блокировки. Алгоритм заблокировал транзакцию клиента, но не объяснил, почему, — в результате компания теряет деньги и репутацию; 

•          юридические риски. Кто виноват, если ИИ ошибочно обвинил сотрудника в утечке данных? В ЕС уже готовят закон об «ответственности ИИ в кибербезопасности». 

Этические дилеммы: безопасность vs приватность 

•          Тотальная слежка. ИИ для обнаружения угроз требует доступа ко всей корпоративной переписке и метаданным. Где граница между защитой и шпионажем? 

•          Дискриминация алгоритмов. В 2023 году система распознавания «подозрительного поведения» в банке чаще флажила сотрудников старше 50 лет — модель считала их «медленные» действия аномалией. 

 Что с этим делать? Пути решения 

  1. Гибридные системы. Комбинация ИИ и человеческого надзора (например, IBM Watson требует подтверждения критических решений от аналитика). 
  2. Регулярный аудит моделей. Тестирование на adversarial examples и обновление данных (как в рамках инициативы DARPA GARD). 
  3. Explainable AI (XAI). Внедрение алгоритмов, которые не только принимают решения, но и аргументируют их простым языком. 

ИИ в кибербезопасности — между автоматизацией и человеческим контролем 

Искусственный интеллект совершил революцию в обнаружении киберугроз, но не отменил базовых принципов безопасности. Его роль можно сравнить с автопилотом в самолете: он способен вести судно в штатном режиме, но при шторме или неисправности команда берет управление на себя. 

Главные выводы: 

  1. ИИ — чемпион по скорости и масштабу. Он анализирует терабайты данных, предсказывает атаки и автоматизирует до 70 % рутинных задач SOC-аналитиков. 
  2. Без человека система слепа. Алгоритмы уязвимы к adversarial-атакам, зависят от качества данных и не могут заменить экспертов в расследовании сложных инцидентов. 
  3. Будущее — за гибридными моделями. Успешные кейсы (например, Symantec Integrated Cyber Defense) доказывают: объединение ИИ и человеческого опыта дает лучший результат.

Кузовкин Алексей Викторович — IT-предприниматель с колоссальным опытом управления инновационными и IT-проектами, экс-председатель совета директоров группы компаний «Армада»

Популярные новости

IT
22:24
Безопасность под давлением: аккумулятор Chery выдержал более 53 часов в океанской воде в Индонезии — и продолжает работать 
IT
10:09
Приложение «Определенно, Мама-Супер!» — лучший цифровой продукт 2025
IT
08:39
Risen Energy представила интегрированные системы накопления солнечной энергии на выставке SNEC 2025