Автономный SOC: архитектура, технологии, риски
Автономный SOC — это новый уровень зрелости ИБ. Он не требует постоянного участия аналитика: ИИ сам детектирует угрозы, обогащает инциденты и запускает реагирование. В эфире AM Live: — Обсудили, как устроен автономный SOC и какие технологии его формируют — Показали, чем SOC на ML отличается от SOC на GenAI — Разобрали сценарии автоматизации расследования и реагирования — Обсудили архитектуру, управление моделями, подходы к «AI patch management» — Поговорили, почему автономность — это не отсутствие человека, а его новая роль Полезно для архитекторов SOC, специалистов по ИБ, инженеров автоматизации, CISO и тех, кто смотрит в будущее. Модератор: Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies Спикеры: 1) Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC, RED Security 2) Демид Балашов, Руководитель по развитию продуктов кибербезопасности, МегаФон ПроБизнес 3) Николай Гончаров, директор департамента мониторинга кибербезопасности, Security Vision 4) Александр Кузнецов, руководитель группы архитектуры Solar JSOC, ГК Солар 5) Алексей Леднев, руководитель продуктовой экспертизы PT ESC, Positive Technologies 6) Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 7) Юрий Наместников, руководитель Security Operations, Yandex Cloud Смотрите запись — и стройте SOC нового поколения осознанно. Тайм-коды: 00:03:33 Введение 00:15:04 Критерии автономности 00:16:17 Операционный уровень автономности 00:17:58 Качественный уровень автономности 00:22:29 Ограничения автоматизации 00:24:42 Баланс между автоматизацией и автономностью 00:25:45 Искусственный интеллект и кризисная коммуникация 00:26:43 Роль искусственного интеллекта в SOC 00:27:42 Опасности использования ИИ 00:28:42 Автономность в SOC 00:33:17 Объяснимость решений 00:35:04 Работа с исключениями 00:36:03 Замена аналитиков ИИ 00:38:21 Верификация и кастомизация 00:39:20 Перспективы замены задач 00:39:32 Ограничения искусственного интеллекта 00:41:26 Финансовые аспекты замены людей ИИ 00:41:54 Архитектурные модели SOC 00:42:39 Особенности моделей в России 00:45:58 Эмуляция аналитиков и агенты 00:46:37 Автономность SOC 00:48:02 Проблемы мультивендорных решений 00:49:13 Мультиендерные задачи 00:50:30 Избегание зависимости от одного вендора 00:52:12 Проблемы взаимодействия решений разных вендоров 00:53:05 Адаптация решений под требования заказчиков 00:54:25 Роль искусственного интеллекта в оркестрации решений 00:58:10 Различие между классическим машинным обучением и генеративным ИИ 01:00:14 Применение LLM в сценариях ассистентов и агентов 01:01:55 Развитие правил корреляции и исключений 01:06:18 Локальное использование LLM 01:07:58 Конвертация корреляционных правил 01:09:03 Обратная связь и анализ данных 01:12:53 Выбор моделей LLM 01:13:43 Проблемы конфиденциальности данных 01:14:12 Решение проблемы конфиденциальности 01:15:52 Применение ИИ в России 01:18:11 Мультиагентные системы 01:20:08 Экономический эффект от ИИ 01:21:50 Оптимизация нагрузки на персонал 01:24:05 Оптимизация затрат и времени реагирования 01:25:00 Автоматизация в больших компаниях 01:26:09 Структура команды в автономном ИБ 01:27:42 Роль людей в автономном ИБ 01:30:28 Текущие реалии автоматизации 01:32:18 Насмотренность и практика 01:33:35 Взаимодействие с заказчиком 01:34:33 Новые роли в автономном SOC 01:35:59 Роль инженеров по данным и тренеров 01:44:24 Использование LLM для закрытия подозрений 01:45:19 Адаптация промтов 01:46:27 Реализация агентов в SOC 01:48:09 Безопасность агентов 01:50:14 Ядро автономного SOC 01:58:33 Многослойная защита в кибербезопасности 02:00:13 Автономность и многослойная защита 02:01:41 Обновление моделей и качество данных 02:05:54 Генеративный ИИ и облачные модели 02:06:46 Обмен данными об инцидентах 02:13:24 Анализ инфраструктуры по событиям 02:21:48 Комплаенс и регуляция 02:23:18 Перспективы регулирования ИИ 02:24:04 Проблемы централизованного сбора данных 02:25:36 Риски использования зарубежных облачных моделей 02:31:06 Новая парадигма в кибербезопасности 02:35:13 Доверие и новое поколение 02:36:53 Миграция компетенций 02:40:39 Итоги Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru
Автономный SOC — это новый уровень зрелости ИБ. Он не требует постоянного участия аналитика: ИИ сам детектирует угрозы, обогащает инциденты и запускает реагирование. В эфире AM Live: — Обсудили, как устроен автономный SOC и какие технологии его формируют — Показали, чем SOC на ML отличается от SOC на GenAI — Разобрали сценарии автоматизации расследования и реагирования — Обсудили архитектуру, управление моделями, подходы к «AI patch management» — Поговорили, почему автономность — это не отсутствие человека, а его новая роль Полезно для архитекторов SOC, специалистов по ИБ, инженеров автоматизации, CISO и тех, кто смотрит в будущее. Модератор: Алексей Лукацкий, Chief Evangelist Officer, Positive Technologies Спикеры: 1) Владимир Зуев, технический директор центра мониторинга и реагирования на кибератаки RED Security SOC, RED Security 2) Демид Балашов, Руководитель по развитию продуктов кибербезопасности, МегаФон ПроБизнес 3) Николай Гончаров, директор департамента мониторинга кибербезопасности, Security Vision 4) Александр Кузнецов, руководитель группы архитектуры Solar JSOC, ГК Солар 5) Алексей Леднев, руководитель продуктовой экспертизы PT ESC, Positive Technologies 6) Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE 7) Юрий Наместников, руководитель Security Operations, Yandex Cloud Смотрите запись — и стройте SOC нового поколения осознанно. Тайм-коды: 00:03:33 Введение 00:15:04 Критерии автономности 00:16:17 Операционный уровень автономности 00:17:58 Качественный уровень автономности 00:22:29 Ограничения автоматизации 00:24:42 Баланс между автоматизацией и автономностью 00:25:45 Искусственный интеллект и кризисная коммуникация 00:26:43 Роль искусственного интеллекта в SOC 00:27:42 Опасности использования ИИ 00:28:42 Автономность в SOC 00:33:17 Объяснимость решений 00:35:04 Работа с исключениями 00:36:03 Замена аналитиков ИИ 00:38:21 Верификация и кастомизация 00:39:20 Перспективы замены задач 00:39:32 Ограничения искусственного интеллекта 00:41:26 Финансовые аспекты замены людей ИИ 00:41:54 Архитектурные модели SOC 00:42:39 Особенности моделей в России 00:45:58 Эмуляция аналитиков и агенты 00:46:37 Автономность SOC 00:48:02 Проблемы мультивендорных решений 00:49:13 Мультиендерные задачи 00:50:30 Избегание зависимости от одного вендора 00:52:12 Проблемы взаимодействия решений разных вендоров 00:53:05 Адаптация решений под требования заказчиков 00:54:25 Роль искусственного интеллекта в оркестрации решений 00:58:10 Различие между классическим машинным обучением и генеративным ИИ 01:00:14 Применение LLM в сценариях ассистентов и агентов 01:01:55 Развитие правил корреляции и исключений 01:06:18 Локальное использование LLM 01:07:58 Конвертация корреляционных правил 01:09:03 Обратная связь и анализ данных 01:12:53 Выбор моделей LLM 01:13:43 Проблемы конфиденциальности данных 01:14:12 Решение проблемы конфиденциальности 01:15:52 Применение ИИ в России 01:18:11 Мультиагентные системы 01:20:08 Экономический эффект от ИИ 01:21:50 Оптимизация нагрузки на персонал 01:24:05 Оптимизация затрат и времени реагирования 01:25:00 Автоматизация в больших компаниях 01:26:09 Структура команды в автономном ИБ 01:27:42 Роль людей в автономном ИБ 01:30:28 Текущие реалии автоматизации 01:32:18 Насмотренность и практика 01:33:35 Взаимодействие с заказчиком 01:34:33 Новые роли в автономном SOC 01:35:59 Роль инженеров по данным и тренеров 01:44:24 Использование LLM для закрытия подозрений 01:45:19 Адаптация промтов 01:46:27 Реализация агентов в SOC 01:48:09 Безопасность агентов 01:50:14 Ядро автономного SOC 01:58:33 Многослойная защита в кибербезопасности 02:00:13 Автономность и многослойная защита 02:01:41 Обновление моделей и качество данных 02:05:54 Генеративный ИИ и облачные модели 02:06:46 Обмен данными об инцидентах 02:13:24 Анализ инфраструктуры по событиям 02:21:48 Комплаенс и регуляция 02:23:18 Перспективы регулирования ИИ 02:24:04 Проблемы централизованного сбора данных 02:25:36 Риски использования зарубежных облачных моделей 02:31:06 Новая парадигма в кибербезопасности 02:35:13 Доверие и новое поколение 02:36:53 Миграция компетенций 02:40:39 Итоги Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru