Нейросеть на страже. Как в ИТБ внедрили ИИ в систему информационной безопасности

ИТБ («Инновационные технологии в бизнесе») — разработчик и производитель продуктов в сфере комплексных систем безопасности, связи и мониторинга инженерного оборудования. На рынке с 2009 года, входит в реестр аккредитованных ИТ-компаний. Реализует проекты для коммерческих организаций и государственных органов, в их числе — разработка операционной системы для защиты данных Единой медицинской информационно-аналитической системы (ЕМИАС) Москвы. В штате — 13 специалистов.

Рассказываем, зачем в компании внедрили искусственный интеллект в систему информационной безопасности (ИБ) и к каким результатам это привело.

Проблема

Организации, работающие с критически важной инфраструктурой, сталкиваются с постоянно усложняющимся ландшафтом киберугроз: злоумышленники используют максимально разнообразные техники и тактики для достижения своих целей. Одна из ключевых сложностей для ИБ-служб — обработка огромных массивов данных и событий кибербезопасности, которые в основном генерируются корпоративными сетями и системами. Критически важно увеличить скорость обработки и анализа инцидентов, а также сократить время на принятие решений аналитиками по инцидентам ИБ.

Решение

Руководство компании приняло решение усовершенствовать систему мониторинга и корреляции событий информационной безопасности Security Capsule SIEM (SC SIEM, от англ. Security Information and Event Management — «управление безопасностью информации и событий») с помощью генеративного искусственного интеллекта. Нейросетевые модели помогают быстрее обнаруживать угрозы и автоматизировать реагирование на атаки.

• Традиционные системы SIEM предоставляют «сырую» информацию и технические описания событий, а искусственный интеллект интерпретирует эти данные и объясняет их смысл простым и понятным языком.
• AI-ассистент даёт рекомендации по устранению инцидентов и снижению негативного эффекта на инфраструктуру. Например, если система выявляет попытку несанкционированного доступа, ИБ-помощник может предложить шаги по ограничению входа, обновлению ПО или усилению защиты периметра сети.

Решение разрабатывала и внедряла команда из четырёх человек: архитектор программного обеспечения (ПО), два бэкенд-разработчика (с англ. backend developer — специалист по функциональной части приложения) и фронтенд-разработчик. (с англ. frontend developer — специалист по созданию пользовательского интерфейса).

Технологии

• ГигаЧат для бизнеса — российская нейросетевая модель, предназначенная для эффективного решения бизнес-задач. Сервис позволяет оптимизировать обработку текстов, проводить глубокий анализ больших объёмов данных, создавать качественный контент, автоматизировать рутинные операции и повышать качество обслуживания клиентов.

Сложности

При реализации проекта главным вызовом для команды стало формирование запросов для нейросети, чтобы операторы ИБ смогли получить не только анализ событий и угроз, но и рекомендации по их устранению. Чтобы решить эту задачу, потребовалось провести исследование по правильному подбору промптов.

Этапы работы

• Январь 2024 года. Формирование целей интеграции ГигаЧата в SC SIEM. Подготовка технического задания. Проектирование архитектуры взаимодействия систем.
• Февраль — март 2024 года. Настройка API-интеграции (от англ. application programming interface — «программный интерфейс приложения») между ГигаЧатом и SC SIEM. Разработка механизма передачи инцидентов и событий в нейросеть. Внедрение элементов взаимодействия с ГигаЧатом в интерфейс SC SIEM. Проведение исследования по подбору и оптимизации промптов для нейросети.
• Апрель 2024 года. Функциональное тестирование интеграции, нагрузочное тестирование. Проверка корректности формируемых рекомендаций. Пилотная эксплуатация на ограниченном сегменте инфраструктуры. Сбор обратной связи от аналитиков ИБ.
• Май 2024 года. Корректировка логики формирования запросов. Оптимизация качества ответов ГигаЧата. Улучшение интерфейса взаимодействия, повышение скорости обработки.
• Июнь 2024 года. Создание единой консоли управления и реестра данных: все рекомендации и пояснения собираются в одном месте и передаются в режиме реального времени. Обучение специалистов работе с обновлённой системой. Ввод решения в промышленную эксплуатацию.

Результат

Внедрение генеративного ИИ помогло расширить возможности SC SIEM: сделать систему более гибкой, интеллектуальной и масштабируемой. Обработка большого массива данных, быстрое предоставление чётких объяснений и рекомендаций значительно сократили время операторов, затрачиваемое на анализ инцидентов и принятие решений. Кроме того, интеграция с нейросетевой моделью позволила наладить эффективную коммуникацию между различными отделами и специалистами.

Оптимизация в цифрах:

• до 70% сократилось время реагирования на инциденты ИБ;
• до 30% увеличилась точность анализа событий;
• на 40% снизились операционные расходы компаний — пользователей решения;
• на 50% повысился рост эффективности ИБ-команд.

Следующие шаги

Компания планирует усилить интеграцию возможностей нейросетевой модели для бизнеса ГигаЧат в SC SIEM, в том числе в части автоматического анализа инцидентов в режиме реального времени.

Редакция СберПро

Автор

• Чтобы быть в курсе важных трендов и мнений ведущих экспертов, следите за нами в каналах в Max и Telegram. О развитии навыков управления, личностном росте пишем в «Дзене». Про технологии и развитие в IT — в блоге на VC.