Positive Technologies разработала своего первого ИИ‑помощника

Positive Technologies выпустила ИИ‑помощника PT Naira на базе больших языковых моделей, развернутых в собственном защищенном облаке. Первым его внедрили в систему управления событиями и инцидентами информационной безопасности MaxPatrol SIEM и динамический анализатор приложений PT BlackBox. В пилотных проектах PT Naira уже ускорила расследование инцидентов на 50–60%, а начинающим специалистам сократила время на подготовку правил поддержки новых источников событий в MaxPatrol SIEM почти на 90%.

PT Naira берёт на себя рутинную часть работы аналитика: кратко описывает суть сработавших оповещений, оценивает важность и разбирает подозрительные команды и процессы, помогает готовить новые правила для добавления событий в MaxPatrol SIEM. В PT BlackBox ассистент помогает исправлять уязвимости. В отличие от универсальных больших языковых моделей вроде ChatGPT, ИИ‑помощник создан под конкретные задачи кибербезопасности и задействует экспертизу Positive Technologies, поэтому его ответы привязаны к реальной ситуации, а не носят общий характер.

В среднем, через SOC (Security Operations Center, центр кибербезопасности компании) проходит около 4000‑10000 алёртов в день, из которых анализируется только около 37%. При расследовании инцидентов ИИ-помощник избавляет аналитика от рутинной и монотонной работы: не нужно вручную собирать информацию по событию, переключаться между разными системами и составлять запросы. Именно за счёт этого расследование ускоряется на 50‑60% и позволяет проанализировать больше событий безопасности.

Кроме того, PT Naira помогает снизить вероятность человеческих ошибок. Например, аналитик открывает карточку события: известный процесс с типовым путём. Как правило, неопытные аналитики закрывают подобные карточки не глядя, но за этим может скрываться инсайдерская атака. Киберпреступники намеренно имитируют легитимные процессы, чтобы остаться незамеченными. Однако, после запроса аналитика, PT Naira способна обнаружить, что поведение процесса расходится с тем, чем он представляется.

PT Naira упрощает вход новичкам по созданию правил для добавления новых событий в SIEM. Во‑первых, PT Naira анализирует события через призму повышения эффективности информационной безопасности и помогает оценить, насколько полезен сбор данных из нового источника для результативной защиты. Во-вторых, ассистент помогает создавать правила по запросу специалистов с нуля. В среднем, время написания даже комплексных правил сокращается до десятков минут.

PT BlackBox проверяет работающие приложения на уязвимости, и обычно по итогам сканирования специалист получает объемный отчет, с которым ещё нужно разобраться. PT Naira объясняет найденные уязвимости и подсказывает, что и как исправить, превращая отчёт в понятный план действий.

PT Naira работает на основе открытых моделей с собственным программным стеком от Positive Technologies. LLM развернуты не на стороннем сервисе, а в защищенном облаке Positive Technologies, с изоляцией клиентских контуров. ИИ‑помощник не требует новых точек доступа к сети, поэтому подключить его можно без дополнительных согласований со службой безопасности.

Согласно исследованиям Positive Technologies, количество киберпреступных техник с использованием ИИ выросло в 2 раза за последний год: LLM и другие модели помогают автоматизировать нападения, писать вредоносный код и быстрее находить уязвимости. В ответ разработчики средств защиты тоже должны использовать лучшие ИИ-инструменты.

ИИ‑помощник доступен в PT BlackBox и в составе MaxPatrol SIEM с версии 27.6. В дальнейшем PT Naira появится и в других продуктах Positive Technologies.