«Сбер» анонсировал итоги интеграции мультиагентного ИИ-решения под кодовым именем «Кибераналитик» в деятельность своего Центра мониторинга и реагирования на кибератаки (SOC).
Как сообщает банк, к 2025 году эта система в автоматическом режиме, практически в реальном времени, обрабатывает все случаи кибератак, причём 70% из них разрешает самостоятельно — без привлечения персонала. В целом, благодаря «Кибераналитику», за последние два года банк сократил продолжительность анализа инцидентов более чем в 20 раз, значительно ускорив создание и внедрение защитных мер — скорость реагирования на угрозы возросла в 6 раз.
«Кибераналитик» выполняет анализ и первичную обработку инцидента, составляет описание события, план реагирования и осуществляет активные действия согласно этому плану, а также при необходимости самостоятельно запрашивает у сотрудников дополнительную информацию. Система изучает обширный массив внутренних и внешних данных об угрозах, проводит оценку, классификацию, устраняет повторы и формирует аналитические отчёты (Threat Intelligence-кейсы) по киберугрозам, чтобы облегчить задачи специалистов SOC.
Если ситуация требует вмешательства эксперта SOC, «Кибераналитик» предоставляет ему развёрнутое описание произошедшего и детальные рекомендации с готовым алгоритмом действий. Использование мультиагентной системы также позволило сократить время взаимодействия с сотрудниками-пользователями более чем в 20 раз: система сама коммуницирует с ними, сообщает о статусе инцидентов и рекомендациях, а также собирает отзывы о предпринятых мерах.
Сергей Лебедь, вице-президент по кибербезопасности Сбербанка, отметил: «Будущие системы киберзащиты будут функционировать автономно. Наша мультиагентная система "Кибераналитик" уже показывает впечатляющие результаты — самостоятельное устранение 70% инцидентов и сокращение времени взаимодействия с пользователями в десятки раз. Это достигнуто за счёт сочетания технологий машинного обучения, генеративного ИИ и автоматизации, что позволяет системе не только обнаруживать угрозы, но и самостоятельно принимать решения по их устранению. Мы продолжаем совершенствовать систему и в ближайшей перспективе планируем обеспечить её полностью автономную работу в типовых сценариях SOC».
