Навколо ШІ у кібербезпеці: загрози, захист та автоматизація. Другий блок

Сергій попросив CISO Nova Group Олега Полігенька поділитися практичними кейсами використання таких інструментів у роботі служб інформаційної безпеки.

Олег зазначив, що сьогодні більшість сучасних рішень у сфері кібербезпеки вже мають вбудовані можливості ШІ. Йдеться про продукти таких вендорів, як  Cisco, CrowdStrike чи Splunk.

«Моя позиція як у CISO- це не заміна людей на AI, це людина плюс AI. AI це підсилення. Тобто там, де ми можемо автоматизувати процес, де це передбачуваний процес, де контрольований процес, ми обов’язково використовуємо AI. Це must have».

а його словами, такі інструменти використовуються передусім для автоматизації рутинних процесів. У системах моніторингу вони допомагають аналізувати контекст подій, збагачувати дані та формувати запити для пошуку інцидентів.

Ще один напрямок – це поведінковий аналіз. Системи аналізують технічні метрики інфраструктури і на основі даних про шкідливе ПЗ чи атаки можуть прогнозувати потенційні загрози.

Окремо такі інструменти застосовуються для внутрішніх процесів. Локальні моделі допомагають співробітникам швидко знаходити відповіді щодо політик або процедур, що зменшує навантаження на сервіс-деск і скорочує час обробки запитів.

Також ці технології використовуються для аналізу нових кіберзагроз. За словами Олега, зловмисники активно застосовують ШІ — від фішингу до підміни голосу і підбору паролів.

Тому їхня головна роль допомагати фахівцям швидше реагувати на інциденти та краще розуміти ситуацію в інфраструктурі.

Сам Олег використовує такі інструменти для щоденного аналізу загроз: вони збирають новини, формують короткі зведення і допомагають швидко оцінити актуальну ситуацію.

Сергій запитав у Юрія Шатила, CISO ПрАТ МХП, чи може активне впровадження ШІ створювати нові точки компрометації.

Юрій  зазначив, що потенційною точкою атаки може бути будь-який елемент інфраструктури.

«Не тільки ШІ може бути точкою компрометації корпоративної чи технологічної мережі. Це може бути і система ідентифікації, корпоративна пошта, мережевий екран, будь-який елемент,  в тому числі елемент захисту як виробничої,  так і корпоративної мережі може бути точкою компрометації.”

За його словами, ключове завдання компаній це побудова системної кіберстійкості. Рік тому МХП також зазнав масштабної кібератаки, після чого компанія посилила захист і переглянула підходи до безпеки.

У компанії використовується гібридна інфраструктура, яка поєднує виробничі мережі, корпоративні системи та хмарні сервіси. Для їхнього захисту застосовується багаторівнева архітектура безпеки з ізоляцією сегментів і контрольованою передачею даних між ними.

Щодо ролі ШІ у кібербезпеці, Юрій вважає, що наразі такі інструменти виконують переважно допоміжну функцію. Водночас, на його думку, універсальної технології, яка повністю вирішить усі проблеми кібербезпеки, не з’явиться. Тому компаніям варто поєднувати системний підхід до безпеки з гнучкими методами управління і будувати захист так, щоб він підтримував розвиток бізнесу.

Сергій Кулик запитав CISO Ukrsibbank Максима Ященка, чи допомагає ШІ автоматизувати роботу SOC, де обробляється велика кількість інцидентів і традиційно потрібна значна кількість спеціалістів.
Максим зазначив, що для більшості центрів моніторингу безпеки саме нестача людей є однією з головних проблем, особливо у режимі роботи 24/7.
ШІ вже допомагає аналізувати великі обсяги подій і швидко формувати рекомендації щодо реагування.
За словами Максима, зараз банк тестує рішення на основі LLM, яке дозволить значно збільшити кількість подій, що аналізуються, без суттєвого розширення інфраструктури або команди SOC. Одним із підходів є так званий shift left, коли кореляція подій переноситься на ранній етап аналізу.
Втім, впровадження таких систем потребує часу і значних інвестицій. Часто бізнес очікує, що нові технології будуть дешевими, але реальна вартість інфраструктури та безпеки може бути значною.
Максим також звернув увагу, що ШІ активно використовують і пентестери. Такі інструменти допомагають створювати скрипти або аналізувати вразливості, хоча інколи їх застосовують і для написання шкідливого коду.
Окремим викликом залишається питання контролю доступу до інформації у внутрішніх системах. Якщо всі дані компанії об’єднати в одному середовищі для роботи моделей, це може ускладнити реалізацію принципу мінімальних прав доступу.
Тому використання ШІ у кібербезпеці, за словами Ященка, завжди потребує балансу між автоматизацією, безпекою і контролем доступу до даних.

Сергій  запитав CISO Universal Bank Тараса Лободу про практичні кейси використання AI-агентів та вибір між власними моделями та хмарними сервісами.

Тарас зазначив, що сьогодні кожна компанія формує власний підхід і використовує такі технології лише там, де вони реально потрібні бізнесу.

Одним із прикладів використання є HR-процеси. У банку тестують інструменти, які допомагають аналізувати кандидатів, формувати короткі підсумки співбесід і психологічний профіль.

У сфері кібербезпеки такі інструменти поки виконують допоміжну роль. Наприклад, банк використовує автоматизацію для створення кейсів у системах SOAR та агента, інтегрованого у систему керування інцидентами. Він аналізує події паралельно з аналітиком і пропонує можливі висновки, але остаточне рішення завжди приймає людина.

Ще один приклад використання це онбординг клієнтів у процесах KYC. Спеціальний агент аналізує дані з різних джерел і формує профіль клієнта приблизно за 30 секунд. Раніше на це могло витрачатися близько 40 хвилин.

Щодо інфраструктури, банк використовує гібридний підхід. Частина запитів обробляється через сервіси Amazon, але сама платформа, яка керує агентами, є власною розробкою.

За словами експерта, ключовим фактором у виборі рішення є наявність команди. Тому універсального підходу не існує. Компанії приймають рішення, виходячи з ресурсів, часу та готовності бізнесу інвестувати у власну експертизу.

Сергій Кулик запитав CISO Дія Євгенія Кудревича про розробку державної великої мовної моделі та підходи до її безпеки.

Євгеній розповів, що така модель уже використовується на порталі Дія і фактично виконує функцію першої лінії підтримки, відповідаючи на запитання користувачів.

«Чи ми довіряємо LLM? Ми зараз говоримо про Trust boundaries. Відповідь – Ні. Ми використовуємо принцип Zero Trust».

Модель розгорнута у власній інфраструктурі on-prem і працює за архітектурою RAG. Це означає, що система формує відповіді лише на основі перевірених джерел і наданого контексту, а не генерує інформацію довільно.

Для її роботи створюється окрема інфраструктура, яка фактично виступає платформою для обробки запитів. Водночас ключовим питанням залишається захист такої архітектури.

За словами Кудревича, система захищена кількома рівнями контролю. Серед них security guardrails на вході та виході, перевірка інформації, яка надходить до моделі, а також аналіз відповідей, що вона генерує.

Також використовуються технічні механізми захисту, зокрема агенти з реакцією в реальному часі на кінцевих пристроях та спеціалізовані контент-фільтри, які працюють подібно до WAF, але адаптовані до моделей.

Через те, що більшість міжнародних рішень поки не підтримують українську мову на потрібному рівні, значну частину захисту команді довелося розробляти самостійно.

Дія регулярно тестує модель разом із Red Team та DevOps-спеціалістами, щоб виявляти можливі вразливості і швидко реагувати на нові загрози.

Панельна дискусія показала, що незалежно від галузі компанії стикаються з однаковим викликом: технології розвиваються значно швидше, ніж встигають формуватися правила їхнього безпечного використання.

ШІ вже став частиною повсякденних процесів бізнесу. Його використовують для автоматизації операцій, аналізу інцидентів, роботи контакт-центрів, найму співробітників і навіть прийняття операційних рішень. Водночас ці ж технології активно використовують і кіберзлочинці.

Учасники дискусії погодилися, що головна стратегія сьогодні полягає не в обмеженні технологій, а в контрольованому впровадженні. Це означає розвиток власних моделей, чіткі політики використання, контроль доступу до даних і поєднання автоматизації з експертизою людей.

У цьому контексті організації також починають впроваджувати рішення класу AI Detection and Response (AIDR), які дозволяють не лише формалізувати політики, а й забезпечити їх виконання через контроль використання ШІ, аналіз взаємодій і зниження ризиків витоку даних.

Ще один важливий висновок панелі: ШІ поки що не замінює фахівців з кібербезпеки, а лише підсилює їхню роботу. У більшості компаній такі інструменти виконують роль асистентів, які допомагають швидше аналізувати дані, знаходити інциденти і реагувати на нові загрози.

Утім, гонка між технологіями захисту і новими інструментами атак лише набирає обертів. І головне питання, яке сьогодні стоїть перед бізнесом і державою, звучить досить просто: як використати потенціал нових технологій, не створивши при цьому нових ризиків для безпеки.

Саме відповідь на це питання і формуватиме підхід до кібербезпеки у найближчі роки.