О чем мечтают ночами аналитики SOCов?

О чем мечтают аналитики центров мониторинга ИБ (Security Operations Center, SOC) во время длинных ночных смен, глядя на мерцающие мониторы своих SIEM? Наверное, о том, чтобы рутинные задачи выполнялись сами собой, инциденты классифицировались и расследовались без их участия, а сведения из логов и других источников событий безопасности складывались не в хаотичное нагромождение, а в четкую картину происходящего. Чтобы не приходилось по сотне раз в день открывать одни и те же дашборды, писать похожие запросы, стучаться в разные системы за нужными данными и бесконечно разбирать «фолсы» (false positive — ложные срабатывания).

Они мечтают о напарниках, которые никогда не устают, не зевают в 4 утра, не путают поля в логах и не пропускают тревожные сигналы, затерянные в информационном шуме. О системах, которые не просто собирают и визуализируют события, а понимают контекст, делают предположения, задают вопросы и предлагают решения. О SOC, где рутина автоматизирована, а человеку остается только принимать осмысленные решения в действительно сложных случаях. А может быть, и не принимать, а фокусироваться на более творческих задачах, а все реагирования доверять роботам или, что правильнее, ИИ-агентам.

И похоже, эти мечты начинают сбываться. На смену традиционным подходам приходят технологии автономных SOC: многоуровневая автоматизация, LLM-агенты, способные вести диалог и расследовать инциденты, самообучающиеся модели, подсказывающие нестандартные векторы атак, и системы, которые могут самостоятельно не только обнаружить, но и локализовать угрозу. Изменяется сама философия работы SOC — от круглосуточного наблюдения к интеллектуальному управлению инцидентами.

В этой статье — взгляд на будущее SOC: не фантастика, а эволюция, в которой мы участвуем уже сейчас. Может быть, еще не все, но отдельные компании точно. Может, пока еще не все SOC живут в этом будущем, но некоторые компании уже сделали шаг вперед. Так что давайте хотя бы на время отложим false positive и посмотрим на реальный позитив — тот, который уже работает и меняет правила игры. Особенно приятно делать это на страницах журнала, где «Позитив» — не ошибка, а тренд.

SIEM — стареющее ядро SOC

До недавнего времени основным ядром SOC были решения класса SIEM (Security Information and Event Management), которые, однако, со временем стали накапливать множество недостатков, к основным из которых сегодня относятся:

• отсутствие простой и отчуждаемой от вендора процедуры разработки/добавления коннекторов к нужным источникам данных;
• невозможность передачи собранных данных в другие системы для анализа;
• проприетарные формат базы данных и API, не позволяющие использовать аналитикам привычные инструменты работы с собранной информацией;
• устаревшие форматы БД, приводящие к ее разбуханию, что приводит либо к росту стоимости SIEM, либо к необходимости приоритизации собираемых событий и подключаемых источников и, потенциально, пропуску инцидентов;
• немасштабируемые технологии поиска данных, что усложняет ретроспективный анализ даже на среднесрочном горизонте в 30+ дней;
• ориентация только на структурированные данные;
• монолитная архитектура, не разделяющая уровни сбора, хранения и анализа данных.

Эти проблемы привели к тому, что отдельные производители SIEM, общее число которых превысило 300, стали развивать свои продукты, фокусируясь на ряде интересных направлений:

• аналитика на базе машинного обучения, позволяющая постепенно отказываться от выстраивания сложных и вручную описываемых цепочек правил;
• работа из облака, что снижает время на внедрение решения с нескольких месяцев до нескольких дней, а иногда и часов;
• микросервисная архитектура, которая дает возможность задействовать решения по сбору событий, их маршрутизации, анализу и корреляции, обогащению и хранению от разных производителей, экономя бюджет;
• использование концепции detection-as-a-code, позволяющей не просто подгружать новые правила в SIEM или писать их собственноручно, а проверять их работоспособность (как это делается в конвейере разработки программного обеспечения CI/CD), внедрять в рабочий процесс, обеспечивать версионность и т. п.;
• хранение в озерах данных.

Однако и эти нововведения не могут решить две проблемы, усугубляющиеся опережающими темпами. Речь идет о кратном росте атак и их сложности, а также об отсутствии квалифицированных кадров, которые могли бы иметь дело с этими атаками. И если внедрить SIEM и пополнять его экспертизой может сам вендор или нанятые заказчиком аутсорсинговые компании, то реагировать на атаки приходится самому. И в этом кроется основная сложность.

Автономные SOC — новый виток развития технологий

В описанных мной направлениях развития SIEM есть одно слепое пятно — реагирование. SIEM обычно этим не занимается, «поручая» данную функцию внешним решениям (SOAR, EDR, NDR, CASB и т. п.), что, в свою очередь, многократно удорожает совокупную стоимость владения центром мониторинга.

А что, если попробовать пойти иным путем: не наращивать все новые и новые функции над монолитными или даже микросервисными SIEM, а целиком заменить всю архитектуру? Именно так думают сегодня игроки рынка, которые предлагают заказчикам два набора решений. Первый основан на вполне логичном предположении, что не каждый SOC будет готов выкинуть все купленные решения и заменить их чем-то новым, даже если это новое будет прекрасно ловить хакеров и блокировать их на пути к целевым системам, увеличивая время атаки и снижая время реагирования.

Безопасность на высоте

Этот путь выбрала, например, Uplevel Security, недавно купленная McAfee (что может негативно сказаться на инновациях первой, которая столкнется с бюрократией и нежеланием старой команды меняться). Решение Uplevel подключается к существующим SIEM, платформам Threat Intelligence и системам управления инцидентами без их замены. Описываемая платформа Uplevel строит динамический граф атак, связывая каждое входящее событие с историей прошлых атак, внутренней и внешней Threat Intelligence, результатами расследований и даже публичными данными. Это означает, что при появлении нового сигнала тревоги система уже «понимает» его контекст: воспринимает сигнал не как изолированное событие, а как часть более широкой картины угроз. Построив цепочки атак и проанализировав граф с помощью машинного обучения, Uplevel автоматически вычисляет приоритеты инцидентов и указывает на связи между ними — например, сообщает, что несколько разрозненных оповещений на разных хостах относятся к одной кампании либо инциденту или что текущее событие похоже на уже расследованное ранее. Но на этом инновации Uplevel Security не заканчиваются.

В платформу Adaptive Incident Response Platform встроены предиктивные алгоритмы: она обучается на паттернах (собственных и с участием аналитиков — вот она творческая составляющая работы аналитика SOC будущего) и может прогнозировать дальнейшие шаги атакующего или рекомендовать проактивные действия для его останова. При этом, в отличие от статических плейбуков, которые встроены в большинство SOAR и всегда действуют одинаково по заранее определенному алгоритму, у решения Uplevel адаптивная автоматизация: дежурные процедуры реагирования (workflow) подстраиваются под тип атаки и используют накопленные ранее знания. Например, при повторном появлении известной угрозы система сама выполнит необходимые и уже  выполнявшиеся ранее действия по реагированию, а при новом сложном инциденте — эскалирует аналитику SOC с полным собранным контекстом. По сути, стартап, приобретенный McAfee, превратил блок управления инцидентами из набора отдельных тикетов в самообогащающуюся систему знаний для SOC. К тому же не требуется выбрасывать имеющиеся решения по обнаружению отдельных событий и реагированию на них, что благоприятно сказывается на финансовой стороне вопроса.

Доверяй, но проверяй

Автоматизация SOC подразумевает исключение человека из процесса принятия решений как при обнаружении инцидентов, так и при реагировании на них. Однако, следуя поговорке «Доверяй, но проверяй», всегда хочется убедиться в том, что система работает правильно. Поэтому в современных автономных SOC реализуется функция так называемого доказательного ИИ, которая гарантирует полную прозрачность логики расследования, когда аудируется каждый шаг и проверяются доказательства для каждого вывода автономного аналитика. Такой подход продвигает компания Andesite, которая, так же как и Uplevel, работает поверх существующего стека технологий центра мониторинга.

При этом платформа Andesite специально ограничивает полномочия ИИ, всегда оставляя финальное решение за человеком (никаких необъяснимых автодействий), поскольку предполагается, что ИИ должен только помогать, а не брать на себя важные решения в области ИБ. Платформа «поднимает работу аналитиков с рутинного на содержательный уровень»: ИИ берет на себя сбор информации с разных консолей и анализ, а человек принимает решение, опираясь на выводы, уже структурированные ИИ.

Интересная механика реализована в платформе Intezer: она не только круглосуточно мониторит потоки сигналов тревоги из SIEM и других систем, автоматически собирает доказательства по каждому (логи, файлы, сетевую телеметрию и пр.) и проводит углубленный анализ, но даже связывается с конечными пользователями для валидации подозрительных событий. Например, при подозрительном входе в сеть платформа может автоматически отправить запрос пользователю для подтверждения того, что это действительно он, прежде чем эскалировать инцидент. По завершении анализа Intezer самостоятельно определяет, какие инциденты являются ложными или несущественными, и закрывает их, а людям эскалирует лишь настоящие угрозы с понятным и полностью аудируемым отчетом и рекомендациями. Это резко снижает нагрузку на SOC: инциденты разбираются в среднем за 2 минуты против десятков минут при обработке вручную.

Умудренный опытом виртуальный аналитик

В состав многих набирающих популярность решений в области SOC’остроения входят встроенные ИИ-аналитики, работающие как виртуальные сотрудники: к ним можно обратиться на естественном языке и попросить их дать совет, расследовать угрозу или выполнить типовое действие. Например, в CommandZero такого аналитика «зовут» CARA, он обучен на обширной базе знаний в области безопасности (Security Ontology Graph), что позволяет ему имитировать «мышление» опытного защитника, а также постоянно учиться у команды и обновляться, используя отраслевой опыт.

Главное новшество CARA от CommandZero — интерфейс на естественном языке, что позволяет аналитику задавать системе вопросы в свободной форме («Покажи, что делал пользователь А перед срабатыванием сигнала тревоги»). Искусственный интеллект сам выполнит необходимые запросы к различным источникам данных и инструментам и выдаст ответ. Такая возможность делает расследование доступным даже для новичка, не знающего синтаксис MaxPatrol PDQL, Splunk SPL или не умеющего делать запросы в EDR. Вместе с тем платформа поддерживает и полностью автономные сценарии расследований: по определенным типам инцидентов Command Zero самостоятельно, без участия человека, запускает цепочку сбора данных и анализа и предоставляет готовую временную шкалу событий и выводы.

Виртуальный аналитик Darryl от AirMDR ведет себя так же: он выполняет 80–90% всей работы, а обещанное компанией-разработчиком время обнаружения составляет менее 1 минуты, классификации инцидентов — менее 10 минут и реагирования — менее 1 часа. Это недостижимые показатели для человеческих команд.

Автоматизация последней мили SOC

Классические инструменты SOC генерируют сигналы тревоги, но возлагают всю тяжесть расследования и отклика на людей, что вызывает их перегрузку: в среднем один аналитик первой линии может обработать лишь 10–20 инцидентов в день. Новые решения, особенно с агентами ИИ, автоматизируют весь конвейер SecOps — от классификации инцидентов до рекомендации реагирования или самого реагирования. Это устраняет тысячи человеко-часов рутинной работы и решает проблему усталости аналитика: ИИ фильтр отсекает ложные срабатывания и передает человеку список уже отсортированных важных инцидентов, а то и сам их обрабатывает с начала до конца, что приводит к многократному снижению времени обнаружения и реагирования.

Например, Stellar Cyber заявляет о 20-кратном уменьшении времени реакции за счет автоматизации корреляции и представления инцидентов. А AirMDR показывает, что виртуальный аналитик может обработать 90% сигналов тревоги менее чем за 5 минут — чего не достичь аналитикам-людям. Да и качество расследований становится стабильным. Ведь ИИ не забывает ни один из шагов, соблюдает лучшие практики и документирует все, в то время как люди могут ошибаться или расходиться в подходах. Это повышает общую надежность и повторяемость SOC-процессов.

Dropzone.AI пошел еще дальше: их виртуальные аналитики базируются на ИИ-агентах и вообще не имеют заранее написанных плейбуков или правил корреляции. Различные ИИ-агенты Dropzone.AI подключаются к разрозненным инструментам безопасности, собирают доказательства, анализируют их при помощи LLM и автоматически формируют подробный отчет с выводами и рекомендациями на понятном человеческом языке. Аналогичный подход реализуется в решении Prophet Security, которое динамически строит план расследования: ИИ сам решает, какие данные, источники и проверки нужны.

Решение компании 7AI при наступлении любого события безопасности запускает рой специализированных ИИ-агентов, каждый из которых берет свою подзадачу (например, один вытаскивает контекст из Threat Intelligence, другой проверяет логи EDR, третий анализирует активность в облаке и т. д.), а затем они объединяют информацию для окончательного вывода. Это позволяет распараллелить ту работу, которую аналитик SOC обычно выполняет последовательными шагами.

От снижения времени реагирования до увеличения времени атаки

Одной из причин, по которой атаки завершаются успехом или пропускаются сотрудниками SOC, является некорректная конфигурация — как инфраструктурных решений, так и самих средств защиты. Обнаружить такую ошибку до того, как это сделает злоумышленник, — важнейшая задача, выполнение которой тоже автоматизируют современные решения, для которых даже Gartner пока не придумал названия.

Например, платформа CardinalOps подключается к SIEM/XDR различных производителей и автоматически анализирует все имеющиеся в них правила и политики безопасности, выявляя слепые зоны, лакуны и нефункционирующие детекты, то есть правила, которые никогда не сработают из-за ошибки или отсутствия нужных источников данных. При этом система строит граф соответствия настроенных правил матрице MITRE ATT&CK и показывает, какие техники покрыты неполностью или не покрыты совсем. CardinalOps не просто указывает на проблемы, а генерирует готовые исправления — например, предлагает скорректированный SPL-запрос для сломанного правила или советует включить нужный тип регистрации событий в системе, если его нет.

Недавно CardinalOps расширилась до Threat Exposure Management: помимо правил обнаружения, теперь учитываются и настройки превентивных средств (EDR, МСЭ и т. п.), что обеспечивает сквозное снижение вероятности реализации недопустимых событий с катастрофическими последствиями. Например, платформа покажет, что определенная техника ATT&CK не детектируется SIEM, но зато предотвращается EDR, или наоборот, и даст приоритет тем угрозам, которые не покрыты ни детектами, ни средствами предотвращения.

Другой игрок рынка ИБ, Picus Security, ежедневно имитирует реальные кибератаки по всей цепочке атак (более 11 000 сценариев на основе актуальных техник и тактик злоумышленников) и сразу проверяет, смогли ли имеющиеся средства защиты — SIEM, EDR, IPS, почтовые шлюзы и пр. — обнаружить и блокировать эти атаки. После каждой неудачной симуляции платформа Picus автоматически создает конкретные рекомендации, как устранить выявленную брешь, чтобы увеличить время атаки и уменьшить ее площадь. Например, платформа укажет, какое правило SIEM или сигнатуру IPS нужно добавить, и даже предоставит готовый фрагмент правила для закрытия найденного пробела.

В прошлом году Picus внедрил Picus Numi AI — чат-бота на базе генеративного ИИ, обученного на знаниях об атаках и средствах защиты заказчиков. Этот виртуальный помощник позволяет любому члену ИБ-команды задавать простые вопросы на естественном языке о состоянии безопасности («Насколько мы защищены от новой версии ransomware?», «Какие топ-5 уязвимых мест у нас сейчас в инфраструктуре?») и получать мгновенные ответы с указанием приоритетов и необходимых мер, устраняющих источник проблемы. Такую возможность обеспечивает огромный граф знаний (Exposure Graph) с миллиардами связей между результатами симуляций, используемыми методами атаки, угрозами и митигациями, который ИИ использует для своей работы и генерации инсайтов ИБ.

В качестве последнего примера современного решения для автономного SOC я назову платформу компании Dassana. Платформа непрерывно поглощает и обновляет информацию, поступающую от всех средств безопасности организации (от SIEM-логов до сканеров уязвимостей), нормализуя эти разнородные данные в единую модель данных, а затем строит граф изменений и зависимостей (Exposure Graph с 70+ миллиардами связей) и применяет к нему анализ с помощью генеративного ИИ. В платформе появился ассистент на базе GenAI, позволяющий на естественном языке спрашивать об актуальном статусе безопасности («Какие угрозы наиболее активны в нашей отрасли?», «Защищены ли мы от них?», «Какие пробелы надо закрыть?» и т. п.).

Выйти из цикла: от SIEM к смыслу

Уже сейчас мы стоим на пороге трансформации SOC: он перестает быть просто центром реагирования и становится центром принятия обоснованных, быстрых и все более автономных решений. Виртуальные ассистенты, генеративный и доказательный ИИ, графы атак и онтологические модели знаний — все это не футурология, а рабочие инструменты, которые делают защиту умнее, а работу аналитика осмысленнее. В такой реальности мечты из ночных смен начинают обретать форму. Ручные проверки заменяются работой интеллектуальных помощников, поиск в логах превращается в диалог, а рутинные «копипасты» — в контекстное понимание и предиктивные действия.

Да, пока еще не все SOC готовы к такому переходу. Но каждый новый инструмент, каждая смелая интеграция — это шаг к тому самому SOC будущего, о котором мы мечтали. А значит, пора смотреть не на false positive, а на реальный позитив — в технологиях, подходах и в уверенности, что мы движемся в правильном направлении. И возможно, в следующий раз, вглядываясь среди ночи в мерцающие огни SIEM, аналитик SOC улыбнется — ведь его мечта больше не кажется фантастикой.

P.S. Я мог бы привести в качестве примера еще и российские решения — MaxPatrol O2 и MaxPatrol Carbon от Positive Technologies, которые реализуют идеи, схожие с описанными в статье. Но тогда этот текст превратился бы в рекламу, а мне хотелось показать направление движения современной отрасли мониторинга и реагирования на инциденты ИБ.