Компания Positive Technologies представила PT Naira — ИИ-ассистента, работающего на базе крупных языковых моделей. Этот инструмент берет на себя рутинные задачи специалистов по кибербезопасности, позволяя им быстрее и точнее анализировать угрозы. В рамках пилотных проектов PT Naira уже продемонстрировала ускорение расследования инцидентов на 50–60%. Даже подготовка сложных правил для систем управления событиями и инцидентами теперь занимает всего десятки минут, а для сотрудников без опыта это время сокращается почти на 90%. Подробности CNews сообщили представители Positive Technologies.
Давление на защитников информационной безопасности усиливается с двух направлений. Согласно данным Positive Technologies, за последний год количество киберпреступных методов с использованием ИИ удвоилось: языковые модели помогают автоматизировать атаки, создавать вредоносный код и быстрее выявлять уязвимости. Одновременно растет объем событий, требующих ручного разбора: через центр мониторинга (SOC) ежедневно проходит от 4 до 10 тысяч оповещений, при этом аналитики успевают обработать лишь около 37% из них.
PT Naira частично снимает нагрузку с аналитиков. При расследовании инцидентов в MaxPatrol SIEM ассистент освобождает их от монотонной работы: больше не нужно вручную собирать данные о событии, переключаться между системами и формировать запросы. Благодаря этому процесс расследования ускоряется на 50–60%, а команда успевает проанализировать больше событий.
Помимо повышения скорости, PT Naira способствует снижению риска человеческих ошибок. Например, начинающий аналитик видит карточку события, где указан известный процесс, запущенный из стандартного расположения. Такую карточку легко закрыть без проверки, хотя за привычной картиной может скрываться инсайдерская атака: злоумышленники намеренно маскируют свои действия под легитимные процессы. По запросу аналитика PT Naira показывает, что фактическое поведение процесса не соответствует его видимой сути.
Ассистент также снижает порог входа для новичков. По их запросу он с нуля создает правила для подключения новых источников событий в MaxPatrol SIEM и помогает оценить, насколько полезно собирать данные из конкретного источника. Время на подготовку даже сложных правил сокращается до десятков минут, а у специалистов без опыта оно уменьшается почти на 90%.
PT BlackBox Scanner проверяет работающие приложения на наличие уязвимостей, и обычно после сканирования специалист получает объемный отчет, который еще нужно анализировать. PT Naira объясняет обнаруженные уязвимости и подсказывает, что и как исправить, превращая отчет в понятный план действий.
PT Naira отличается от универсальных языковых моделей, таких как ChatGPT: данный ассистент разработан для специфических задач в области кибербезопасности и использует опыт Positive Technologies, поэтому его ответы отражают реальную ситуацию, а не являются общими. Сама PT Naira функционирует на базе открытых языковых моделей с собственным программным стеком и размещена в защищенном облаке Positive Technologies, а не на внешнем сервисе, с изоляцией клиентских сред. Ассистенту не требуются дополнительные точки входа в сеть, поэтому его можно подключить без отдельных согласований со службой безопасности.
«Злоумышленники уже усилили свои возможности с помощью искусственного интеллекта и, в отличие от нас, не ограничены ни правилами, ни регулированием, ни моралью. Поэтому наша цель — предоставить ИБ-специалистам инструменты, позволяющие на равных отражать все более сложные атаки. PT Naira — это не отдельная функция, а часть стратегии, в рамках которой мы внедряем ИИ-архитектуру во всю линейку продуктов. MaxPatrol SIEM и PT BlackBox Scanner стали логичной отправной точкой, потому что именно здесь специалист наиболее перегружен рутинными задачами», — отметил руководитель ML-группы анализа событий безопасности Positive Technologies Александр Мамылов.
PT Naira уже доступна в PT BlackBox Scanner и в MaxPatrol SIEM, начиная с версии 27.6. В будущем ИИ-помощник появится и в других продуктах Positive Technologies.
