Компания Positive Technologies представила ИИ‑помощника PT Naira. Решение развернуто на базе больших языковых моделей, развёрнутых в собственном защищённом облаке компании. Как рассказали информационной службе Хабра в кибербез-компании, в пилотных проектах PT Naira ускорила расследование инцидентов на 50–60% и сократила время подготовки правил для новых источников событий в MaxPatrol SIEM почти на 90% для начинающих специалистов.
ИИ-помощник выполняет рутинные задачи аналитика. Он кратко описывает суть сработавших оповещений, оценивает их важность и анализирует подозрительные команды и процессы. Также он помогает создавать правила для добавления событий в SIEM, а в PT BlackBox ассистент помогает устранять уязвимости. Решение ориентировано на задачи кибербезопасности и использует экспертизу Positive Technologies, поэтому ответы привязаны к конкретной ситуации.
Через центр кибербезопасности компании проходит от 4 тысяч до 10 тысяч алёртов в день, из которых только 37% событий анализируется. PT Naira снижает объём ручной работы. Аналитику не нужно собирать данные по событию, переключаться между системами и составлять запросы. По словам разработчиков, это позволяет ускорить расследование на 50–60% и увеличить число анализируемых событий.
ИИ-ассистент также снижает риск ошибок. Например, при разборе карточки события с известным процессом неопытный специалист может закрыть её без проверки. При этом злоумышленники могут имитировать легитимные процессы. PT Naira анализирует поведение процесса и выявляет расхождения с заявленными характеристиками.
Решение построено на открытых моделях и собственном программном стеке Positive Technologies. Модели развернуты в защищённом облаке компании с изоляцией клиентских контуров. Использование ассистента не требует создания новых точек доступа к сети.
По данным исследований Positive Technologies, за последний год количество киберпреступных техник с использованием ИИ выросло в два раза. Модели помогают автоматизировать атаки, создавать вредоносный код и искать уязвимости. В компании считают, что защитные решения должны использовать аналогичные технологии.
