Искусственный интеллект уже не просто тренд — это рабочий инструмент, который сокращает время реагирования на атаки, автоматизирует рутину и даже предугадывает действия злоумышленников. Разбираемся вместе с Максимом Бузиновым, руководителем R&D-направления Центра технологий кибербезопасности ГК «Солар», как ML-алгоритмы внедряются в защиту данных, какие задачи уже решают, и что ждёт ИИ в информационной безопасности в ближайшие годы.
ИИ против утечек: как машинное обучение анализирует трафик и речь
По данным исследования «Солара», ежедневно через корпоративные системы проходят терабайты данных. Основными каналами утечек информации по вине инсайдеров являются: мессенджеры — 35% от всех инцидентов − и корпоративная электронная почта (23%). В 15% случаев утечка данных происходила через публикацию данных в открытых источниках в интернете, облачных хранилищах и на файлообменниках.
Современные компании генерируют миллионы событий ежедневно: действия пользователей, сетевой трафик, коммуникации. Вручную анализировать такой объём невозможно — здесь на помощь приходят AI/ML-алгоритмы. Использование искусственного интеллекта (ИИ) в DLP-системах позволяет снизить количество ложноположительных срабатываний.
Например, в DLP-системе Solar Dozor применяется модуль UBA, которая отвечает за:
ASR (Automatic Speech Recognition) — распознавание речи на 50 языках;
Computer Vision — анализ изображений (паспорта, печати, QR-коды, меддокументы) с точностью до 99%;
Digital Fingerprints — идентификация конфиденциальных данных даже в изменённых файлах.
Особый эффект приносит совместное использование ML-технологии с графическими процессорами.
Реальный кейс: в одном из банков внедрение GPU-ускорения позволило увеличить обработку трафика в 20–30 раз по сравнению с CPU. Причём система работала на обычных видеокартах — никакого «экзотического» железа не потребовалось. В результате клиент выйграл во времени и стоимости DLP-системы.
Таким образом, модуль ИИ не заменяет DLP-решение, а делает её «умнее». Технологии учатся понимать не только шаблоны, но и intent (намерения) пользователей.
Отслеживание аномалий: как ИИ выявляет подозрительное поведение
Ещё одна задача ИИ — анализ аномального поведения сотрудников и мониторинг их эффективности. В «Соларе» мы разработали и запатентовали собственную технологию анализа поведения — модуль Anomaly Detection и модель Unsupervised ML. Модуль UBA стоит под «капотом» в продукте Solar Dozor.
В DLP-система «Солара» с ИИ-модулем выявляет отклонения в поведении сотрудников:
необычная активность в корпоративных чатах;
подозрительные действия на рабочих станциях;
признаки увольнения или инсайда.
Эта же технология помогает при расследованиях — она восстанавливает хронологию событий и указывает на потенциальных внутренних нарушителей.
Защита сайтов: ИИ против ботов и фишинга
Атаки на веб-ресурсы — один из самых массовых векторов угроз. Эксперты «Солара», в I квартале 2025 года зафиксировали 801,2 млн веб-атак на сайты российских компаний – это в 2 раза больше, чем за аналогичный период прошлого года. Как правило, атаки на сайты были с помощью ботов — от парсинга до DDoS.
Одним из целевых направлений в кибербезопасности – использование ИИ-модели, которая участвует в обнаружении киберугроз и атак ботами на сайты. Так, в Solar webProxy работает «умная» категоризация веб-сайтов. Она используется для:
категоризации контента (более 70 категорий, от «недвижимости» до «мошенничества»);
блокировки ботов (модуль Antibot в платформе облачной киберзащиты Solar Space разворачивается за 30 минут в облаке и за секунды on-premise);
детектирования фишинга (анализ семантики, социнженерии, скоринг подозрительных писем).
Интересный момент: фишинговые атаки теперь генерируются ИИ. Поэтому защита информации тоже должна использовать машинное обучение, чтобы отрабатывать такие атаки в моменте. Можно сказать, что начинается «гонка вооружений» ИИ-алгоритмов.
Лучший друг ИБ-специалиста – это нейропомощник
Сегодня наблюдается бум ИИ-моделей — всевозможных нейропомощников на основе небольших моделей. Они помогают сэкономить время на рутинные задачи.
Сейчас в тестовом режиме работают ИИ-ассистенты, которые:
отвечают на вопросы по документации (аналог ChatGPT, но на внутренней базе знаний);
помогают настраивать политики безопасности;
автоматически корректируют детекторы угроз и поддерживают несколько языков.
Большинство публичных LLM (типа GPT) нельзя использовать в закрытом контуре компании из-за специфики и технических требований заказчиков. Поэтому ИБ-вендоры разрабатывают собственные адаптированные модели, которые будут отвечать большинству запросов клиента.
Что будет дальше?
Внедрение технологии ИИ происходит повсеместно. Предсказать тренды ИИ достаточно сложно, так как эта сфера динамически меняется. Но мы попробуем.
Сейчас наша команда проводит исследования по детектированию аномалий в сети, выявлению фишинга и таргетированных атак, цепочек разнородных атак с использованием технологий GAN, Deep Anomaly Detection, Graph neural networks, Autoencoders. У нас уже есть промежуточные результаты, где использование ИИ-агентов доказывает свою эффективность в сетевой безопасности и защите узлов при детектировании сложных атак на инфраструктуру.
На основе этих же полученных данных попробуем взглянуть в будущее использования ИИ-моделей:
ИИ станет автономнее — не только обнаружит угрозу, но и самостоятельно её нейтрализует.
Усилится кастомизация — компании будут дообучать модели под свои нужды (RAG, fine-tuning). Продолжат развиваться и оптимизироваться малые модели со средними объемами параметров (к примеру, наравне с GPT и его 1,7 трлн параметров в ИИ-сфере работают средние модели с 5-70 млн параметров).
Будет расти «теневой ИИ» — злоумышленники используют те же технологии. Поэтому отслеживать теневые разработки и учитывать их в своей работе придется всем, кто работает в сфере информационной безопасности и внедряет искусственный интеллект в борьбу с кибератаками.
Главный вызов — безопасность самих ИИ-моделей. Поэтому вендоры делают ставку на:
объяснимость решений (interpretability);
отказоустойчивость;
адаптивность под конкретные инфраструктуры
защиту от внешних атак.
Вывод: ИИ в кибербезопасности — уже не будущее, а настоящее. В ближайшее время мы ожидаем проникновения ИИ во все большее число продуктов и сфер бизнеса и жизни обычных пользователей. Технологии не просто ускоряют анализ, но и меняют сам подход к защите данных. Однако вместе с возможностями растут и риски — особенно с учётом того, что те же инструменты доступны и злоумышленникам.
А как у вас в компании используют ИИ для защиты? Доверяете нейропомощникам или пока предпочитаете «ручное» управление?
