Автономный SOC: архитектура, технологии, риски

Автономный SOC — это новый уровень зрелости ИБ. Он не требует постоянного участия аналитика: ИИ сам детектирует угрозы, обогащает инциденты и запускает реагирование. В эфире AM Live: — Обсудили, как устроен автономный SOC и какие технологии его формируют — Показали, чем SOC на ML отличается от SOC на GenAI — Разобрали сценарии автоматизации расследования и реагирования — Обсудили архитектуру, управление моделями, подходы к «AI patch management» — Поговорили, почему автономность — это не отсутствие человека, а его новая роль Полезно для архитекторов SOC, специалистов по ИБ, инженеров автоматизации, CISO и тех, кто смотрит в будущее. Модератор: Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies Спикеры: 1) Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC, RED Security 2) Демид Балашов, Руководитель по развитию продуктов кибербезопасности, МегаФон ПроБизнес 3) Николай Гончаров, директор департамента мониторинга кибербезопасности, Security Vision 4) Александр Кузнецов, руководитель группы архитектуры Solar JSOC, ГК Солар 5) Алексей Леднев, руководитель продуктовой экспертизы PT ESC, Positive Technologies 6) Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 7) Юрий Наместников, руководитель Security Operations, Yandex Cloud Смотрите запись — и стройте SOC нового поколения осознанно. Тайм-коды: 00:00:00 Введение 00:07:10 Определение автономности SOC 00:09:47 Роль ИИ в автономных SOC 00:11:32 Критерии автономности 00:15:31 Автоматизация процессов 00:17:14 Роль человека в автономных системах 00:19:17 Подключение источников 00:21:05 Баланс между автоматизацией и автономностью 00:22:12 Искусственный интеллект и кризисная коммуникация 00:23:27 Роль искусственного интеллекта 00:24:09 Опасности использования ИИ 00:32:46 Замена аналитиков ИИ 00:35:03 Верификация и кастомизация 00:36:00 Ограничения искусственного интеллекта 00:36:36 Автоматизация и высвобождение времени 00:38:21 Архитектурные модели SOC 00:41:14 Преимущества использования SOC 00:43:22 Автономность и экосистемы 00:45:31 Проблемы мультивендерных решений 00:48:22 Проблемы совместимости решений 00:49:47 Роль экспертности в решении проблем 00:50:53 Применение искусственного интеллекта 00:54:41 Различие между классическим машинным обучением и генеративным ИИ 00:56:41 Практическое применение LLM 01:04:26 Конвертация корреляционных правил 01:05:30 Обратная связь и анализ данных 01:06:23 Преимущества использования агентов 01:09:06 Анализ доступов и выбор моделей 01:10:10 Обеспечение конфиденциальности данных 01:13:14 Взаимодействие с облаками 01:18:11 Оптимизация нагрузки на аналитиков 01:20:56 Сокращение времени реагирования 01:22:36 Переход к автономному SOC 01:31:27 Новые роли в автономном SOC 01:34:27 Увеличение персонала и себестоимость услуг 01:38:51 Требования к специалистам в ИИ 01:40:16 Использование LLM для закрытия подозрений 01:47:01 Ядро автономного SOC 01:58:18 Обновление моделей 02:00:54 Проблемы с данными и моделированием 02:01:52 Генеративный ИИ и машинное обучение 02:03:14 Обмен данными об инцидентах 02:05:03 Создание центров обмена данными 02:10:48 Ответственность за действия автономного SOC 02:12:49 Роль человека в автономных системах 02:14:08 Ограничения автономных систем 02:16:44 Ответственность за детектирование 02:20:31 Возможные требования к SOC 02:21:39 Проблемы централизованного сбора данных 02:22:17 Регулирование использования зарубежных облачных моделей 02:24:52 Будущее автономных систем 02:26:17 Проблемы автономности и доверие 02:31:40 Влияние на будущее восприятие технологий 02:33:01 Миграция компетенций и масштабируемость 02:33:58 Автоматизация и развитие рынка 02:35:23 Данные и развитие ИИ 02:36:07 Перспективы автоматизации 02:38:01 Заключение