У нас заканчивается уже второй поток курса по построению SOC, в котором рассматривались многие практические темы создания центров мониторинга, но вот темы ИИ в них мы там почти не касались, так как пока в России это не так чтобы мейнстрим. И поэтому нередко (сам через это прошел) ИИ в SOCах воспринимается как нечто спасающее аналитиков от выгорания, ложных срабатывний и поднимающих их продуктивность на недосягаемую высоту. Но... как и в поговорке "если вы автоматизируете хаос, вы получите автоматизированный хаос" и "garbage in, garbage out", в автономных SOCах (AI SOC) аналогичная история. Если у нас неэффективные процессы обнаружения и реагирования, то ИИ не сделает их лучше и эффективнее, он сделает их быстрее в своей неэффективности.Прежде чем внедрять ИИ в SOC, сначала надо разобраться с фундаментом, – понимать свою инфраструктуру и покрытие ее источниками данных, знать модель угроз, разбираться в том, что в поведении систем, сетей и пользователей, – норма, а что нет. Да, это скучно, но без этого ИИ мало чем поможет. ИИ может распознавать структуру источника событий или сетевой протокол, что ускоряет создание нового коннектора, но без понимания, нужен он или нет, и что мы там хотим видеть, ИИ бесполезен. Мы можем ускорить разбор терабайт логов, но без понимания, что мы там ищем, ИИ бесполезен. Мы можем выявлять аномалии в поведении пользователя, но не видя разницы между powershell, запускаемого от имени админа и от имени бухгалтера, ИИ бесполезен.ИИ позволяет обогащать данные, собирая их из разных источников – OSINT, TI и т.п. Это классно и действительно может быть полезно, но... без учета контекста может сыграть с нами злую шутку. То есть обрабатывать события научить ИИ можно, а вот про "понимать контекст" часто забывают. Не может одна и та же модель, обученная вендором, одинаково эффективно работать и в промышленном сегменте нефтяной компании, и в технологическом стартапе, и в государственной организации.Кто-то должен сказать ИИ, что важно, а что нет в конкретной среде. Это поэтому я включаю в свой список вопросов для ИИ-вендора неудобное "А вашу модель можно обучить на моих данных?" (и ответ, кстати, не так очевиден и однозначен). Когда вендор говорит о снижении шума и фолсов в обрабатываемых данных, откуда он знает, что вот именно это событие ложное или бесполезное? В одной компании это так, а в другой – нет. Кто научит ИИ распознавать эти нюансы? Без этого ИИ не снижает энтропию, а только повышает ее. Убирая шум, ИИ, непонимающий контекст среды, может "выплеснуть с водой и ребенка".Так что, ИИ может сделать неэффективный SOC еще более эффективным в своей неэффективности. То есть ускорить обработку мусора, быстрее гонять плохие процессы, автоматизировать бессмысленные реакции. Но превратить фундаментально неправильно построенный SOC в эффективный – почти нереально. Не потому, что ИИ слабый и плохой, а потому что проблема структурная. Именно про нее мы на курсе "Построение SOC 2.0: от концепции до реализации" и говорим. Это не реклама курса, это скорее размышления вслух, наблюдая за тем, как активно термин "искусственный интеллект" начинает переплетаться с SOC, без понимания истинного смысла их симбиоза 🤔ЗЫ. Картинка из презентации одного поставщика автономных SOCов (AI SOC). #ии #soc
