На вопрос, смогут ли злоумышленники с помощью искусственного интеллекта (ИИ) создавать вредоносные программы, которые адаптируются к защитным механизмам в реальном времени и обходят классические средства защиты настолько хорошо, что те станут попросту бесполезными, заместитель генерального директора компании "Ангара Security" Тимур Зиннятуллин, выступая на конференции SOC Forum 2025, ответил: "Короткий ответ - да. Уже есть ряд публичных исследований. Моё любимое - опубликованное в июле исследование университета штата Иллинойс. Они научили генеративный предобученный трансформер (тип нейронной сети, обучающейся на огромных объёмах текстовых данных. - Прим. ред.) генерировать эксплойты нулевого дня (вредоносный код, использующий уязвимости, о которых разработчики ещё не знают. - Прим. ред.) и обходить современные периметры защиты, построенные на стандартных средствах. Но важно понимать: проблема не только в том, что злоумышленники начали использовать ИИ. Беда - в бесконтрольном и необдуманном применении этих технологий обычными людьми. Ведь каждый человек сегодня - это цифровой след, а каждый цифровой след - потенциальная угроза для организации".
Однако искусственный интеллект становится не только объектом и инструментом атак, но и мощнейшим инструментом защиты. Специалисты центров кибербезопасности уже внедряют ИИ-ассистентов, которые кардинально оптимизируют работу SOC.
Вице-президент - директор департамента информационной безопасности Т-Банка Дмитрий Гадарь отмечает: современные SOC-центры обрабатывают до 95% ложных срабатываний. Монотонная работа по фильтрации таких событий демотивирует аналитиков, снижает их концентрацию и повышает риск пропустить реальную угрозу, а ИИ позволяет автоматизировать рутину, освобождая специалистов для решения сложных, творческих задач.
Уже сегодня ИИ-агенты способны анализировать TI-репорты (отчёты об угрозах) и даже генерировать первичные правила детектирования. И это не теория, а реальные кейсы, которые работают в крупнейших финансовых организациях.
"Конкретный пример - автоматизация обработки новостей о киберугрозах. Раньше аналитик тратил часы на подготовку и перевод материалов, к примеру, с вьетнамского или китайского. Сегодня ИИ-агенты делают это за секунды, предоставляя готовую, структурированную информацию для анализа", - рассказывает операционный директор Центра мониторинга и противодействия кибератакам Solar JSOC Антон Юдаков.
Что ждёт нас в ближайшие 2-3 года
Автономные SOC-центры: эксперты прогнозируют: в течение 3-5 лет мы увидим первые полностью автономные центры мониторинга безопасности. ИИ-агенты будут самостоятельно писать отчёты об угрозах, разрабатывать правила детектирования, тестировать их, фильтровать ложные срабатывания и даже инициировать базовые реакции на инциденты.
"В будущем MTTR (среднее время реагирования на инцидент) сократится с часов до минут, - прогнозирует директор департамента мониторинга, реагирования и исследования киберугроз BI.ZONE Теймур Хеирхабаров. - Это невозможно, если всё делают люди. Но достижимо с помощью автономных систем".
Однако полная автоматизация реагирования остаётся сложной задачей. Сегодня даже в самых передовых компаниях автоматические действия ограничены минимальными сценариями - из-за риска ложных срабатываний и ответственности за последствия.
Новые архитектуры безопасности: уже сейчас активно развивается MCP (Model Context Protocol) - протокол, позволяющий ИИ-агентам обмениваться данными между системами. Это открывает гигантские возможности, но создаёт и новые уязвимости.
"Это - натуральный ящик Пандоры, - признают эксперты и прогнозируют появление новых классов средств защиты: LLM-файерволы, специализированные прокси-серверы для анализа промптов, инструменты предотвращения утечек контекста LLM-моделей".
Трансформация профессий: аналитики SOC перестанут быть "кликерами", занятыми монотонной обработкой событий. Их роль эволюционирует: они превратятся в инженеров по машинному обучению - дообучающих модели, проверяющих решения ИИ и разрабатывающих новые механики взаимодействия с ассистентами.
"Программисты не стали глупее, когда перешли с ассемблера на Python, - проводит параллель Хеирхабаров. - Они просто сосредоточились на решении задач, а не на технических деталях. Точно так же и аналитики безопасности станут эффективнее, доверив рутину ИИ".
Искусственный интеллект не уничтожает профессии - он трансформирует их. В том числе и области кибербезопасности. Те, кто откажется от ИИ, скорее всего окажутся вне конкурентной гонки, а те, кто примет его как союзника, - станут сильнее, точнее, быстрее.
При этом человек остается в роли стратега, а ИИ - в роли надежного и быстрого помощника. И этот симбиоз только набирает обороты.