ИБ-продукты с ИИ-функциями могут стоить на 50% дороже. Стоит ли переплачивать?

Второй пилот

В информационной безопасности искусственный  интеллект (ИИ) пока проходит первые шаги внедрения и эксплуатации, отмечают в Positive Technologies по итогам проведенного исследования. Уже можно говорить о преимуществах внедрения ИИ в инструментах защиты – он снижает нагрузку на специалистов, ускоряет реагирование на инцидент за счет автоматизации рутинных процессов, проводит поведенческий анализ пользователей и систем. То есть выполняет роль второго пилота, дополняя возможности классических ИБ-решений, отмечают в компании.

Одно из главных преимуществ использования ИИ в киберзащите – возможность обнаруживать ранее неизвестные угрозы. «Новые вредоносные программы, которые еще неизвестны системам безопасности, практически невозможно обнаружить статическими методами анализа», — говорится в отчете Positive Technologies. Тем более преступники все время изменяют и маскируют атаки с помощью, например, отправки вредоносного ПО с взломанных доверенных адресов электронной почты. А решение с поведенческим анализом все равно распознает угрозу, несмотря на новизну или маскировку, и позволит обеспечить защиту компании, поясняют авторы исследования.

Еще одно преимущество, которое могут дать ИИ-технологии в киберзащите, – распознавание фишинга и потенциально опасных для посещения с корпоративных устройств сайтов, отмечают в PT. Социальная инженерия остается одним из основных методов киберпреступников, так, в 2024 году она использовалась в каждой второй атаке на организации. В 42% атак с применением вредоносных программ способом доставки были фишинговые письма.

«Киберпреступники мастерски манипулируют эмоциями жертв для достижения цели, поэтому для защиты от фишинга недостаточно только обучения сотрудников: любой человек может совершить ошибку и не проверить вредоносное письмо», — говорится в отчете вендора. С помощью ИИ можно анализировать не только содержание, но и ряд контекстных признаков письма, например, длину или свойства вложений. Потенциально такая система сможет выявлять подозрительные письма и вовремя предупреждать пользователя, а при достижении необходимого для компании порога точности сразу блокировать опасные сообщения, полагают в Positive Technologies.

Между тем, по данным опроса Института статистических исследований и экономики знаний ВШЭ, показал, что пока лишь небольшая часть компаний использует искусственный интеллект в кибербезопасности. Среди организаций, которые в целом менее трех лет пользуются ИИ-решениями, в ИБ лишь 5,9% применяют российские продукты с ИИ и 1,4% — зарубежные. Более опытные в этом плане компании задействуют его в киберзащите еще реже — 2,1% и 1% соответственно. ИИ-решения с открытым кодом в кибербезопасности используют менее 1%.

При этом интерес к ИИ как инструменту киберзащиты постепенно повышается, уточняют авторы исследования. 16,3% компаний намерены в дальнейшем использовать его для своей информационной безопасности.

Цена ошибки

ИИ уже очень широко используется в кибербезопасности, говорит руководитель центра искусственного интеллекта и перспективных технологий BI.ZONE Александр Балабанов. Почти в каждом ее домене можно найти сценарии применения ИИ, начиная с SOC и заканчивая анализом защищенности и пентестом.

«Сегодня в кибербезопасности ИИ в основном играет вспомогательную роль. Он анализирует большие массивы данных, помогает выявлять угрозы и автоматизирует рутину», — отмечает Балабанов. Однако, по его словам, из-за высокой цены ошибки окончательные решения пока остаются за человеком. Тем не менее, многие вендоры двигаются к концепции автономной кибербезопасности, где ключевые функции будет выполнять ИИ, добавил эксперт.

Не повсеместное применения генеративного ИИ в информационной безопасности эксперт по ИБ «Инфосистемы Джет» Андрей Захаров связывает с тем, что сама технология еще очень молода – универсальные подходы к ее адаптации под специфические задачи ИБ только формируются. «Кроме того, существует серьезная неопределенность с точки зрения безопасности: никто не может гарантировать, что ИИ не ошибется или не станет жертвой целенаправленной манипуляции», – говорит собеседник SecPost. Он также подчеркнул, что внедрение требует значительных инвестиций, как в инфраструктуру, так и в R&D.

Для некоторых задач ИИ-модули способны заменить человека. Например, находить зашифрованную конфиденциальную информацию за считанные минуты, разделять веб-ресурсы на категории легитимных и нелегитимных, комментирует руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар» Максим Бузинов. В большинстве же случаев основную работу проделывает человек. В том числе настраивает корректные политики доступа, чтобы потом ИИ-модули отслеживали и сверяли с ними передаваемую информацию.

«Умнее», но «капризнее» и дороже

Использование искусственного интеллекта почти всегда делает продукт дороже. Его стоимость складывается из затрат на R&D, сложности поддержки и преимуществ перед конкурентами, объяснил Бузинов. В результате стоимость конечного решения может сильно отличаться от изначального варианта без ИИ.

«Но средства, вложенные в разработку ИИ, могут окупиться за счет снижения нагрузки на SOC-аналитиков, времени на реакцию и предупреждение утечки данных, которые компании обойдутся более серьезными потерями, чем внедренный в инфраструктуру продукт с ИИ-модулем», — подчеркивает руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар».

Адаптация ИИ под конкретные процессы требует глубокой проработки, тестирования и интеграции, что влечет дополнительные затраты, говорит Андрей Захаров из «Инфосистемы Джет». Разница в цене с решениями без искусственного интеллекта может составлять от 10% до 50% в зависимости от масштабов использования технологии. В целом продукт становится «умнее», но «капризнее», усложняется его техническое сопровождение. «Важно понимать, что эффект от внедрения ИИ носит накопительный характер. Он проявляется не сразу, а по мере того, как команда осваивает новые практики, учится доверять системе и оптимизирует взаимодействие с ней», — продолжил эксперт.

Стоимость продуктов с ИИ зависит от модели лицензирования, уточняет Александр Балабанов. У одних вендоров функциональность искусственного интеллекта включена в базовый продукт, у других она предлагается как отдельный модуль.

Внедрение ИИ — неотъемлемая часть цифровой трансформации бизнеса, и задачи информационной безопасности не исключение, считает руководитель Security Operations Yandex Cloud Юрий Наместников. Первое полугодие 2025 года наглядно продемонстрировало, что этот прогресс сопровождается новыми, специфическими векторами кибератак, требующими пересмотра подходов к защите, отметил он. Параллельно ИИ сам становится мощным инструментом в арсенале защитников, существенно повышая эффективность ИБ-процессов.

При внедрении ИИ-ассистента для помощи аналитикам SOC Yandex Cloud удалось сократить среднее время реакции на 30% за счет суммаризации контекста и динамического создания плейбуков, рассказал Наместников. Модули ИИ-ассистента на базе Yandex GPT анализируют поступающие данные информационной безопасности, запрашивают данные из SIEM и документации. «Это позволяет автоматически генерировать лаконичные и информативные суммаризации инцидента, выделяя ключевые события, затронутые системы, потенциальные векторы атаки и индикаторы компрометации. Это резко сокращает время, которое аналитики тратят на сбор данных, и позволяет быстрее принимать решения», — сказал представитель Yandex Cloud.

Также ИИ-ассистенты помогают с динамическим формированием и в некоторых случаях с автоматизацией выполнения шагов реагирования, адаптированных под конкретный инцидент. Это ускоряет процесс первичной реакции на угрозу и восстановление нормальной работы, добавил представитель Yandex Cloud.

Об активной интеграции ИИ в собственные решения по ИБ для автоматизации рутинных задач SecPost рассказали в VK. «Есть примеры использования практически во всех направлениях – AppSec (безопасность приложений, — прим. ред), DevSecOps (подход, объединяющий разработку ПО, безопасность и эксплуатацию в единый процесс, — прим. ред.), Vurnerability Management (выявление и устранение уязвимостей в инфраструктуре, — прим. ред.) и других. Также мы активно ведем работу в направлении MLSecOps (интеграция безопасности на разных этапах цикла машинного обучения, — прим. ред.)», — сообщил представитель компании.

ИИ — эксперт и учитель

Итоговая цель внедрения ИИ-технологий в сферу кибербезопасности — создание автопилота, то есть работа таких решений без участия специалиста, говорится в исследовании Positive Technologies. Это особенно актуально в условиях дефицита кадров и растущего числа кибератак, которые злоумышленники с помощью ИИ уже автоматизируют.

«Автопилотирование может постепенно внедряться на разных уровнях для различных задач. На минимальном уровне автопилот может быть цифровой копией отдельного сотрудника или команды, обучаясь на действиях специалистов и повторяя их в аналогичных ситуациях. Следующий шаг развития — уже полноценный автопилот, который обнаруживает и останавливает действия киберпреступников, руководствуясь заложенной в основу решения экспертизой», — отмечают в PT. Авторы исследования добавляют, что в будущем ИИ сам будет участвовать в обучении новичков в ИБ, выполняя роль куратора, правильно реагирующего на атаку.

В ближайшие годы стоит ждать бурного роста применения ИИ в кибербезопасности, уверен Андрей Захаров. К 2030 году мировой рынок ИИ-агентов для ИБ вырастет более чем в пять раз, прогнозирует эксперт. «Будущий специалист по безопасности — это человек, работающий в связке с командой специализированных ИИ-ассистентов и агентов. При этом ключевым драйвером развития станет не просто внедрение ИИ “для эффективности”, а необходимость противостоять все более изощренным атакам», — отмечает Захаров.

Функциональность ИИ в информационной безопасности может расшириться до прогнозирования кибератак, защиты кибер-физических систем, внедрения ИИ-помощников, автономной работы SOC-центров за счет автоматизации рутинных процессов. Также искусственный интеллект сможет отслеживать написание небезопасного кода в режиме реального времени, считает Максим Бузинов.