Матрица D3FEND адаптируется: 55% техник уже «думают» с помощью ИИ

Искусственный интеллект всё активнее внедряется в сферу кибербезопасности, трансформируя методы защиты от цифровых угроз. Аналитики Positive Technologies отмечают , что уже сейчас 28% техник в матрице MITRE D3FEND реализуются с помощью ИИ, а ещё 27% — находятся в стадии разработки.

ИИ используется на всех этапах противодействия атакам: от профилактики до реагирования. Его задачи — автоматизация рутинных операций, поиск аномалий в поведении систем и пользователей, помощь в принятии решений и прогнозирование угроз. Алгоритмы машинного обучения эффективно анализируют сетевой трафик, выявляют фишинг, распознают вредоносные программы, а также ускоряют обработку событий безопасности, сокращая нагрузку на SOC-команды.

Особую роль играют большие языковые модели, способные поддерживать специалистов в диалоге, объяснять сигналы тревоги и рекомендовать сценарии реагирования. Также ИИ-решения применяются в OSINT — разведке по открытым источникам, помогая определять уязвимости, на которые киберпреступники, вероятно, нацелятся в ближайшее время.

Отдельное направление — автоматизация тестирования защищенности. С помощью ИИ стало возможно ускорять пентесты, анализировать уязвимости и проводить симуляции атак. При этом модели способны как создавать подборки потенциальных паролей, так и составлять отчеты по результатам тестов.

Развитие технологий ИИ открывает возможности и для реализации концепции «автопилота» — автоматического контроля и реагирования на инциденты без участия человека. Такие решения уже демонстрируют эффективность в реальных условиях, выявляя и блокируя атаки до их развития.

При этом технологии остаются уязвимыми. ИИ может быть не только инструментом защиты, но и мишенью атак. Злоумышленники уже пытаются использовать уязвимости в ИИ-модулях или обучать собственные вредоносные модели. Кроме того, генерация кода с помощью ИИ может приводить к появлению новых уязвимостей.

Среди ключевых вызовов — дефицит обучающих данных, проблема интерпретируемости моделей и высокие требования к вычислительным мощностям. Сбор качественных датасетов осложняется редкостью реальных атак и избытком ложноположительных срабатываний. В качестве решения предлагается использовать синтетические данные и киберучения.

Ожидается, что к 2025 году будут широко применяться мультиагентные системы: набор специализированных ИИ, взаимодействующих друг с другом. Это позволит гибко адаптировать защиту и повысить устойчивость к комплексным атакам.

Несмотря на стремительное развитие, ИИ в ИБ остаётся помощником, а не заменой человека. Экспертная настройка, контроль и разработка стратегии защиты по-прежнему требуют участия специалистов. Однако способность эффективно использовать ИИ становится новым обязательным навыком для профессионалов в этой сфере.