AI у кіберзахисті

Як AI змінює кіберзахист протягом усього життєвого циклу кіберінциденту

Кіберзахист спрямований на захист систем, мереж і даних від проникнення, порушення або знищення. У цьому контексті, в першу чергу, важливу роль відіграє життєвий цикл кіберінциденту пропонує корисний спосіб зрозуміти кіберзахист, розбиваючи його на чотири етапи:

Профілактика: запобігання та зниження ризику інцидентів і мінімізація їхніх потенційних наслідків.
Готовність: розробка планів, інструментів та можливостей для підтримки ефективного реагування.
Відповідь: зупинити інцидент і запобігти подальшій шкоді.
Одужання: швидке відновлення роботи та повернення до нормального або більш високого рівня безпеки.

Штучний інтелект (AI) став актуальним на всіх чотирьох етапах. На відміну від традиційних інструментів, які чітко вписуються в один етап, багато можливостей AI охоплюють весь життєвий цикл: той самий метод, який підтримує готовність, може також забезпечити швидке реагування або відновлення допомоги. Така інтеграція робить AI одночасно потужним і складним для класифікації: його цінність полягає не лише в удосконаленні окремих завдань, але й у більш тісному зв'язку між фазами.

Профілактика

Готовність

Відповідь

Відновлення

Картування поверхні атаки

Сканування коду

Узагальнення даних

Класифікація даних

Виявлення аномалій

Написання та аналіз

Синтетичні дані

Управління ідентифікацією та доступом

Аналіз журналу

Аналіз шкідливого програмного забезпечення

Навчання та лабораторії

У наступних розділах ми розглянемо конкретні застосування AI для кіберзахисту і покажемо, як вони відповідають різним фазам життєвого циклу інциденту, а в багатьох випадках охоплюють декілька фаз одночасно.

Картування поверхні атаки

Мапування поверхні атаки визначає всі активи, точки входу та вразливості, якими може скористатися противник під час атаки. Це дає захисникам уявлення про їхню вразливість і допомагає визначити пріоритети у захисті.

Як AI змінює мапування поверхні атаки:

AI трансформує мапування поверхні атаки, автоматизуючи великомасштабне сканування мереж та активів, значно зменшуючи ручну працю. Завдяки вдосконаленому розпізнаванню образів вона може виявляти приховані або забуті кінцеві точки, які традиційні методи часто пропускають. Системи AI можуть безперервно оновлювати карти в міру розвитку інфраструктури, зменшуючи сліпі зони і забезпечуючи захисників точною картиною середовища в реальному часі.

Профілактика. Зменшує вразливості до того, як ними скористаються зловмисники.

Готовність. Підтримує актуальну інформацію про інфраструктуру для планування інцидентів.

Висвітлено кейс: Використання LLM для виявлення активів у критичній інфраструктурі

У 2025 році, Луїджі Копполіно та ін. опублікувала дослідження, яке показує, як великі мовні моделі (LLM) можуть покращити виявлення активів у критично важливих інфраструктурах. Традиційні інструменти, такі як Nmap або промислові платформи безпеки, або ризикують порушити роботу чутливих систем через активне сканування, або не можуть виявити приховані пристрої, покладаючись лише на пасивний моніторинг.

Дослідники запропонували фреймворк на основі LLM, який поєднує дані пасивного спостереження за трафіком, ретельно обмежене активне зондування та фізичні сигнали, такі як електромагнітні випромінювання. Спеціалізовані агенти LLM інтерпретують ці дані: один зосереджується на промислових протоколах, інший - на вразливостях в ІТ/ОТ-мережах, а третій - на системній архітектурі та залежностях.

Система також може використовувати зовнішні джерела розвідки (такі як бази даних MITRE ATT&CK або CVE) для виявлення слабких місць і рекомендацій щодо заходів безпеки. У тестах на змодельованій промисловій мережі вона успішно класифікувала такі активи, як програмовані логічні контролери, роботизовані руки і принтери, одночасно позначаючи небезпечні практики, такі як незашифрований трафік Modbus.

Такий підхід перетворює мапування поверхні атаки на адаптивний і контекстно-залежний процес, який забезпечує видимість в реальному часі і зменшує ризики традиційного сканування. Знижуючи технічні бар'єри для захисників, він уможливлює більш комплексний моніторинг і посилює загальний рівень безпеки критично важливої інфраструктури.

Подальше читання

Вплив AI на виявлення загроз - "AI для оборони" (Donnie W. Wendt 2024)
У розділі показано, як AI вдосконалює виявлення та сортування загроз, де моделі машинного навчання обробляють величезні обсяги різнорідних даних для виявлення потенційних атак. Результати показують, що перші програми 2000-2010-х років були зосереджені на виявленні шкідливих програм, вторгнень і спаму, демонструючи силу AI в аналізі великих масивів даних і вдосконаленні існуючих систем виявлення, а також поступове посилення давно існуючих функцій кібербезпеки.
Виявлення загроз наступного покоління - "Революціонізація кібербезпеки: Розкриття можливостей штучного інтелекту та машинного навчання" (Manoharan & Sarker 2022)
У статті показано, як AI і машинне навчання революціонізують виявлення загроз, дозволяючи організаціям виявляти аномалії, аналізувати поведінкові патерни і прогнозувати потенційні атаки. Результати показують, як такі методи, як НЛП для отримання інформації про загрози та глибоке навчання для розпізнавання шаблонів, можуть автоматизувати виявлення та реагування, а реальні кейси підтверджують їхню ефективність.

Сканування та оцінка коду

Сканування коду перевіряє вихідний код для виявлення вразливостей, незахищених бібліотек або поганих практик безпеки до того, як вони можуть бути використані.

Як AI змінює сканування та оцінку коду:

AI прискорює виявлення вразливостей, виділяючи незахищені функції та визначаючи ризиковані шаблони кодування, отримані на основі попередніх експлойтів. Він також пропонує автоматизовані пропозиції щодо виправлення, допомагаючи розробникам писати більш безпечний код і зменшуючи вікно можливостей для зловмисників.

Профілактика. Усуває вразливості до того, як їх виявлять зловмисники.

Готовність. Посилює базову систему безпеки для забезпечення готовності до інцидентів.

Висвітлено кейс: Використання LLM для сканування коду та безпечної розробки

У 2025 році, Бєлозеров та ін. досліджували, як великі мовні моделі можуть підтримувати безпечні практики кодування. У дослідженні вони тестували ChatGPT на наборі даних DevGPT, який містив реальний код розробників, а також відомі вразливості, виявлені статичними сканерами. З 32 підтверджених вразливостей ChatGPT правильно виявив 18 і навіть запропонував виправлення для 17 з них.

Результати показують, як AI може зменшити ручні зусилля при перегляді коду, допомогти відсортувати ризиковані шаблони коду та надати автоматизовані пропозиції щодо виправлення. Це має потенціал для масштабування безпечних практик кодування та скорочення часового вікна, протягом якого вразливості залишаються доступними для використання.

Водночас дослідження підкреслило важливі обмеження: ChatGPT іноді видавав надто впевнені, але неправильні результати, створював нові вади під час спроб виправлення і був менш надійним, ніж статичний аналіз або експертна оцінка людини. Основний висновок цього дослідження полягає в тому, що AI може бути потужним помічником в оцінці коду, але лише в поєднанні з традиційними інструментами та належним контролем.

Подальше читання

Автоматизований перегляд коду - "Огляд застосування AI для кібербезпеки: Можливості, ризики та стратегії пом'якшення" (Ndibe & Ufomba 2024)
У статті показано, як AI та великі мовні моделі можуть підтримувати автоматизований перегляд коду та оцінку вразливостей, допомагаючи організаціям проактивно виявляти слабкі місця у вихідному коді та скорочувати час реагування. Результати також висвітлюють такі ризики, як небезпечний код, створений за допомогою AI, підкреслюючи необхідність людського нагляду та систем управління.
Інтерпретоване глибоке навчання для виявлення вразливостей - "Виявлення вразливостей за допомогою дрібнозернистих інтерпретацій" (Лі та ін., 2021)
У цій статті представлено IVDetect - модель глибокого навчання, яка виявляє вразливості в коді та визначає конкретні оператори та залежності, що їх спричиняють. IVDetect підвищує точність у порівнянні з найсучаснішими інструментами та надає детальні пояснення. Результати показують значний приріст продуктивності виявлення та більш точну ідентифікацію вразливого коду, що підтримує як автоматизований аналіз, так і виправлення розробниками.
Виявлення багатомовних вразливостей у коді - "Виявлення вразливостей коду на різних мовах програмування за допомогою моделей AI" (Humran & Sonmez 2025)
У цій статті досліджуються трансформаційні моделі, зокрема CodeBERT та CodeLlama, для виявлення вразливостей у різних мовах програмування. Завдяки точному налаштуванню на різноманітних наборах даних, моделі охоплюють як синтаксис, так і семантику, досягаючи точності до 97%. Дослідження також включає ансамблеві методи та пояснювальний AI, щоб зменшити кількість хибних спрацьовувань та підвищити довіру розробників. Воно демонструє, що моделі AI можуть перевершити традиційні статичні аналізатори у міжмовних середовищах, хоча залишаються проблеми з надійністю, точністю та готовністю до розгортання.

Узагальнення даних

Узагальнення даних конденсує великі обсяги технічних даних (наприклад, журнали, звіти та інформацію про загрози) у доступні інсайти.

Як AI змінює узагальнення даних:

AI зменшує когнітивне перевантаження, перетворюючи необроблену і неструктуровану інформацію на дієвий інтелект. Він може виявляти повторювані шаблони або аномалії у фрагментованих наборах даних. Він також може генерувати звіти простою мовою для неспеціалістів. Таким чином, AI робить інформацію простішою для споживання, передачі і дії.

Готовність. Допомагає обробляти інформацію про загрози та ефективніше планувати.

Відповідь. Впорядковує ситуаційну обізнаність в режимі реального часу.

Одужання. Готує резюме та звіти про отриманий досвід.

Виділений випадок: AI для узагальнення журналів та ситуаційної обізнаності

У 2024 році, Баласубраманіан та ін. представила CYGENT, діалогового агента на базі GPT-3, який може аналізувати та узагальнювати системні журнали. Замість того, щоб вимагати від аналітиків просіювати тисячі необроблених записів журналів, CYGENT конденсує їх у короткі, зрозумілі для людини результати, які висвітлюють ключові події та аномалії.

За результатами оцінок, CYGENT перевершив інші великі мовні моделі у створенні чітких і дієвих резюме. Система зменшила когнітивне перевантаження, підтримала ситуативну обізнаність під час реальних інцидентів і дозволила швидше приймати рішення.

Цей випадок ілюструє, як AI може перетворити необроблені технічні дані на доступну розвідувальну інформацію. Полегшуючи інтерпретацію журналів, це допомагає захисникам ефективніше готуватися, швидше реагувати та відновлюватися після інцидентів з кращою документацією.

Подальше читання

Узагальнюючі набори даних CTI - "CTISum: Новий еталонний набір даних для узагальнення розвідувальної інформації про кіберзагрози" (Пенг та ін., 2024)
У статті представлено CTISum - набір даних для узагальнення звітів розвідки кіберзагроз (CTI), який дозволяє узагальнювати складні звіти розвідки, щоб допомогти захисникам більш ефективно планувати і фіксувати отриманий досвід.
Видобуток ТТП - "TTPXHunter: Вилучення оперативної інформації про загрози у вигляді TTP з готових звітів про кіберзагрози" (Рані та ін., 2024 р.)
У статті пропонується TTPXHunter, інструмент на основі НЛП, який витягує тактику, методи і процедури зловмисників (TTP) зі звітів про загрози, щоб зрозуміти їхні способи дій, перетворюючи неструктуровані розвідувальні дані в структуровані, придатні для дій резюме.
НЛП для аналізу інцидентів - "Обробка природної мови для аналізу інцидентів кібербезпеки" (Ogundairo & Broklyn, 2024)
У статті розглянуто застосування НЛП для аналізу неструктурованих джерел даних за допомогою методів НЛП (наприклад, розпізнавання об'єктів, аналіз настроїв, узагальнення, сортування на основі чат-ботів). Виявлено, що НЛП може автоматизувати звітність про інциденти та зведення розвідданих про загрози, скорочуючи час реагування та покращуючи документування після інцидентів.

Класифікація даних

Класифікація даних упорядковує інформацію відповідно до її чутливості або вимог щодо відповідності, гарантуючи, що критичні активи отримують належний захист.

Як AI змінює класифікацію даних:

AI використовує обробку природної мови для автоматичного тегування конфіденційного контенту та виявлення некласифікованих або вразливих даних у масштабі.

Профілактика. Зменшує випадковий доступ до конфіденційних даних.

Готовність. Підтримує відповідність вимогам.

Виділений випадок: AI для класифікації конфіденційних даних

У 2024 році, Де Ренціс та ін. досліджували, як великі мовні моделі можна використовувати для покращення класифікації конфіденційної інформації. Основна проблема в цій галузі полягає в тому, що реальні персональні дані не завжди можуть бути використані для навчання через ризики конфіденційності. Автори запропонували генерувати синтетичні навчальні дані, які все ще відображають закономірності чутливих категорій, таких як здоров'я, політика чи релігія.

Їхній підхід дозволив підготувати точні класифікатори без розкриття реальних даних користувачів, демонструючи, як AI може допомогти організаціям дотримуватися таких нормативних актів, як GDPR, одночасно збільшуючи їхню здатність виявляти та захищати конфіденційну інформацію. Цей кейс ілюструє, як AI посилює як запобігання (зменшуючи випадковий витік даних), так і готовність (підтримуючи нормативно-правові рамки). Водночас він підкреслює важливість управління та валідації для забезпечення репрезентативності та надійності синтетичних даних та отриманих моделей.

Подальше читання

Тегування категорій GDPR на основі трансформатора - "Автоматичне виявлення чутливих даних з використанням класифікаторів на основі трансформаторів" (Петроліні та ін. 2022)
Це дослідження застосовує моделі AI для автоматичного маркування чутливого тексту, що охоплює такі сфери, як політика, охорона здоров'я, релігія та сексуальність, у великих колекціях документів. Воно демонструє, що підходи на основі трансформант можуть надійно класифікувати такі дані, підтримуючи дотримання GDPR і забезпечуючи широкомасштабне та автоматизоване маркування для класифікації даних, орієнтованої на дотримання вимог.
Семантичний аналіз для автоматизованого виявлення конфіденційних даних - "Автоматизована ідентифікація конфіденційних даних з неявної специфікації користувача (S3)" (Yang & Liang 2018)
У цій статті представлено S3 - систему, яка ідентифікує конфіденційні дані в мобільних додатках, аналізуючи семантику, а не покладаючись на ключові слова. Вивчаючи уподобання користувачів щодо конфіденційності, вона досягає вищої точності, ніж традиційні інструменти, ілюструючи, як AI може адаптувати класифікацію даних до реального контексту. У дослідженні підкреслюється, що чутливість інформації залежить як від контексту програми, так і від уподобань користувача, і що ефективний захист в епоху хмарних технологій вимагає в першу чергу вміння ідентифікувати такі дані.

Виявлення аномалій кінцевих точок або мережі

Виявлення аномалій відстежує кінцеві точки та мережевий трафік на предмет незвичної поведінки, яка може свідчити про компрометацію.

Як AI змінює виявлення аномалій кінцевих точок та мережі:

AI вивчає, як виглядає нормальна активність, і позначає відхилення, які можуть свідчити про зловмисну діяльність. На відміну від систем на основі сигнатур, вона може виявляти більш витончені вторгнення, які не піддаються традиційному виявленню. AI дозволяє швидше та ефективніше реагувати на інциденти, визначаючи пріоритетність сповіщень та зменшуючи кількість хибних спрацьовувань.

Готовність. Встановлює базові показники нормальної активності.

Відповідь. Виявляє аномалії в реальному часі, щоб позначити та локалізувати атаки.

Висвітлено випадок: Використання AI для виявлення аномалій у критично важливих системах

У 2024 році, Нвойе та Нвагвугіагву дослідили, як виявлення аномалій на основі AI може покращити кіберзахист кінцевих точок і мереж. Використовуючи моделі машинного навчання, навчені на звичайних моделях поведінки системи і мережевого трафіку, їхній підхід дозволив їм виявити тонкі відхилення, які традиційні системи, що базуються на сигнатурах, не помітили б, в тому числі, наприклад, ранні ознаки внутрішніх загроз і витоків даних.

У дослідженні представлені приклади з критично важливих секторів, які показують, що виявлення аномалій за допомогою AI скорочує час реагування і допомагає підтримувати безперервність бізнесу, позначаючи підозрілу активність до того, як вона завдасть серйозної шкоди. Автори також визнали виклики, включаючи помилкові спрацьовування і необхідність прозорості в складних моделях AI. Цей кейс демонструє, як AI сприяє як готовності (шляхом встановлення базових показників нормальної діяльності), так і реагуванню (шляхом виявлення та визначення пріоритетів аномалій в режимі реального часу).

Подальше читання

Виявлення аномалій на основі GAN - "TadGAN: Виявлення аномалій часових рядів за допомогою генеративних змагальних мереж" (Гейгер та ін. 2020)
У цій статті представлено TadGAN - некерований фреймворк, який застосовує циклічно узгоджені GAN для виявлення аномалій у даних часових рядів. Поєднуючи помилки реконструкції з критичними результатами, TadGAN генерує надійні оцінки аномалій та зменшує кількість хибних спрацьовувань. Протестований на 11 еталонних наборах даних з доменів, він постійно перевершував найсучасніші методи. Дослідження показує, як GAN можуть покращити виявлення тонких часових аномалій у різноманітних реальних системах.
Машинне навчання для виявлення аномалій в інфраструктурі - "AI Defenders: Виявлення аномалій на основі машинного навчання в критично важливих інфраструктурах" (Небебе та ін., 2024)
У цій статті порівнюються моделі машинного навчання для виявлення аномалій у критичній інфраструктурі, використовуючи часові ряди даних з симулятора гідравлічної системи. Вона відрізняє точкові аномалії (поодинокі відхилення) від контекстних аномалій (відхилення, помітні лише в контексті) і порівнює прості моделі, що піддаються інтерпретації (наприклад, логістична регресія, дерева рішень), з більш складними моделями "чорної скриньки" на основі послідовних наборів даних. Мета полягає в тому, щоб оцінити, які методи найкраще підходять для реальних промислових умов. У статті підкреслюється, що хоча складні моделі можуть давати вищі показники виявлення, простіші методи все одно мають переваги в інтерпретації та надійності у чутливих сферах інфраструктури.

Загальні завдання з написання текстів та збору/аналізу даних

Оборонні операції також передбачають велику кількість письмових робіт, досліджень і аналізу даних для документування інцидентів, прийняття рішень і навчання персоналу.

Як AI змінює загальні завдання з написання текстів та збору й аналізу даних:

AI може складати звіти, політики і брифінги щодо інцидентів, полегшуючи адміністративне навантаження на аналітиків. Він може автоматизувати збір розвідданих з відкритих джерел для навчань, дозволяючи студентам і фахівцям зосередитися на аналізі та стратегії більш високого рівня, а не на повторюваних завданнях.

Відповідь. Підтримує швидке звітування та ситуаційну обізнаність.

Одужання. Забезпечує ретельне документування після інциденту та засвоєння уроків.

Case Highlighted: Автоматизований збір даних та звітність

У 2024 році, Гао та ін. представила ThreatKG, систему на базі AI, яка автоматично збирає розвіддані про кіберзагрози з відкритих джерел, виокремлює ключові об'єкти, такі як суб'єкти та вразливості, і організовує їх у структурований граф знань. Замість того, щоб аналітики вручну читали довгі неструктуровані звіти, система надає консолідований огляд з можливістю пошуку. Це зменшує адміністративний тягар оборонних операцій, сприяє швидшому створенню брифінгів щодо інцидентів і покращує ситуаційну обізнаність під час активних загроз. Перетворюючи фрагментарну інформацію на доступні інсайти, ThreatKG дозволяє персоналу витрачати більше часу на інтерпретацію і прийняття рішень. Дослідження ілюструє, як AI може змінити повсякденну оборонну роботу, роблячи збір розвідданих більш ефективним і дієвим, водночас підкреслюючи необхідність контролю для забезпечення точності і релевантності.

Подальше читання

Управління, етичні, правові та соціальні наслідки AI в OSINT - "Розвідка з відкритих джерел і AI: систематичний огляд" (Ghioni та ін. 2023)
У статті проаналізовано 571 дослідження про використання AI в OSINT, про використання AI в розвідці з відкритим вихідним кодом (OSINT), проаналізовано його управлінські, етичні, правові та соціальні наслідки. В огляді показано, що AI розширила можливості OSINT завдяки машинному навчанню, інтелектуальному аналізу даних і візуальній криміналістиці, але також викликала нагальні занепокоєння щодо конфіденційності, підзвітності, упередженості і зловживань. Автори звертають увагу на прогалини в регулюванні, нагляді і прозорості і закликають до посилення нормативно-правової бази для забезпечення того, щоб OSINT на базі AI підтримував розвідувальні операції, не підриваючи при цьому права, довіру і демократичну підзвітність.
Автоматизована генерація звітів - "AGIR: Автоматизація звітності про кіберзагрози за допомогою генерації природної мови" (Перріна та ін., 2023 р.)
У статті представлено AGIR, систему генерації природної мови, яка створює вичерпні звіти CTI на основі формальних графів сутностей. AGIR скорочує час написання звітів більш ніж на 40%, зберігаючи при цьому високу точність і плавність мови, демонструючи, як AI може автоматизувати завдання складання та аналізу звітів, звільняючи аналітиків для зосередження на більш високому рівні інтерпретації та стратегії.

Створення синтетичних даних

Синтетична генерація даних створює штучні набори даних для навчання, тестування або моделювання, не розкриваючи конфіденційну інформацію реального світу.

Як AI змінює генерацію синтетичних даних:

AI може створювати реалістичні зразки мережевого трафіку або шкідливого програмного забезпечення для лабораторних досліджень, заповнювати прогалини там, де реальні дані недоступні, і захищати конфіденційність, дозволяючи проводити експерименти. Це допомагає освітянам і захисникам підготуватися до реальних інцидентів без ризику витоку конфіденційних даних.

Профілактика. Дозволяє безпечно експериментувати, не розкриваючи конфіденційну інформацію.

Готовність. Підтримує навчання та симуляції з реалістичними наборами даних.

Одужання. Відтворює сценарії атак для тестування та вдосконалення після інциденту.

Виділений кейс: Використання GAN для створення безпечних і реалістичних навчальних даних

У 2022 році, Nukavarapu et al розробили MirageNet, фреймворк, який використовує генеративні мережі суперників (GAN) для створення реалістичного синтетичного мережевого трафіку. Система може відтворювати шаблони трафіку DNS та інших протоколів у спосіб, що дуже нагадує реальні дані, але не розкриваючи конфіденційну інформацію з реальних мереж.

Ця інновація важлива, оскільки захисники та викладачі часто потребують реалістичних даних для тренувань, тестування та експериментів, але не завжди можуть використовувати оперативний трафік з міркувань конфіденційності чи безпеки. MirageNet дозволяє проводити безпечні симуляції, які готують аналітиків до реальних атак, уникаючи при цьому ризиків розкриття інформації. Використання AI, а в даному випадку GAN, дозволяє проводити більш безпечні і масштабовані експерименти. У той же час, залишається важливим підтвердити, що синтетичні дані дійсно відображають реальні операційні умови, гарантуючи, що навчання і тестування залишаються надійними.

Подальше читання

Глибоке навчання для синтетичного моделювання мережевого трафіку - "STAN: Синтетична мережева генерація трафіку за допомогою генеративних нейронних моделей" (Сюй та ін., 2021)
У статті представлено STAN (Synthetic network Traffic generation with Autoregressive Neural models) - нейронну архітектуру, яка моделює часові та атрибутивні залежності в мережевому трафіку для генерації реалістичних наборів даних. Результати показують, що моделі виявлення аномалій, навчені на синтетичному трафіку STAN, досягли майже порівнянної точності з моделями, навченими на реальних даних, демонструючи, як глибоке навчання дозволяє створювати високоякісні синтетичні набори даних для тренувань і моделювання готовності, зберігаючи при цьому конфіденційність.
Оцінка методів синтетичної генерації трафіку - "Синтетична генерація даних про мережевий трафік: Порівняльне дослідження" (Ammara та ін., 2025)
Дослідження оцінює дванадцять методів синтетичної генерації трафіку, включаючи статистичний, класичний AI та генеративний AI підходи, використовуючи стандартні набори даних. Результати показують, що моделі на основі GAN забезпечують вищу точність і корисність, тоді як статистичні методи підтримують баланс класів, але не враховують структурну складність.

Управління ідентифікацією та доступом (IAM)

Управління ідентифікацією та доступом (IAM) гарантує, що тільки авторизовані користувачі мають відповідний доступ до систем і ресурсів.

Як AI змінює управління ідентифікацією та доступом:

AI посилює IAM, виявляючи аномальні шаблони входу, які можуть свідчити про зловживання обліковими даними, рекомендуючи адаптивні політики автентифікації та автоматизуючи рутинні перевірки. Під час інцидентів він може швидко позначити скомпрометовані облікові записи і запустити посилений контроль для стримування загроз.

Профілактика. Забезпечує надійнішу автентифікацію та зменшує несанкціонований доступ.

Відповідь. Адаптується в режимі реального часу при підозрі на зловживання обліковими даними.

Case Highlighted: Виявлення незвичного та неналежного доступу

У 2024 році, Продам провела дослідження для підтвердження концепції застосування AI в системах IAM. Інтегрувавши модель виявлення аномалій у діючу платформу IAM, система змогла виявити незвичну поведінку при вході в систему та невідповідні привілеї доступу. Такий підхід дозволяє організаціям швидше виявляти скомпрометовані акаунти або зловживання з боку інсайдерів, а також динамічно адаптувати політики автентифікації при виявленні ризиків. Дослідження виявило очевидне підвищення ефективності, підкресливши при цьому постійну потребу в людському нагляді для інтерпретації виявлених аномалій та уникнення непотрібних збоїв. Таким чином, AI дозволяє посилити повсякденний контроль доступу і може перетворити IAM на більш адаптивну та проактивну лінію захисту.

Подальше читання

Аудит об'єктів критичної інфраструктури - "IAM-аудит на базі AI для виявлення аномалій у критично важливій інфраструктурі" (Родрігес та ін., 2025)
У статті пропонується система IAM-аудиту на базі AI, яка поєднує в собі функціональну інженерію, неконтрольоване виявлення аномалій і контрольовану класифікацію для аналізу журналів IAM. На синтетичному наборі даних, змодельованому за зразком критично важливої інфраструктури, система досягла показника виявлення 92% з рівнем помилкових спрацьовувань нижче 3%. Результати демонструють, як AI покращує аудит журналів IAM, дозволяючи проактивно виявляти внутрішні загрози і тонкі аномалії доступу, які традиційні методи часто пропускають.

Аналіз журналу

Аналіз журналів вивчає системні журнали та журнали безпеки для виявлення, розслідування та розуміння інцидентів.

Як AI змінює аналіз логів:

AI може обробляти величезні обсяги журналів у режимі реального часу, виділяти незвичайні послідовності подій і створювати стислі зведення. Це покращує виявлення і дозволяє швидше навчати та моделювати інциденти.

Готовність. Встановлює базові показники та визначає потенційні слабкі місця.

Відповідь. Прискорює розслідування та підтримує обробку інцидентів у режимі реального часу.

Одужання. Інформує про аналіз та звітність після інцидентів.

Висвітлено випадок: Агенти AI для аналізу логів і виявлення шаблонів загроз

У 2025 році, Караарслан та ін. досліджували, як агенти AI можуть допомогти в аналізі великих логів, що генеруються Cowrie honeypots. Ботнети навмисно імітують вразливі системи, щоб привабити зловмисників, але в результаті отримують величезний обсяг необроблених даних, які складно інтерпретувати людям-аналітикам.

Дослідники показали, що агенти AI можуть автоматично аналізувати та узагальнювати ці журнали, виділяючи повторювані шаблони атак і створюючи стислі звіти. Така автоматизація зменшує ручну працю, підвищує обізнаність про ситуацію і дозволяє захисникам виявляти тенденції та швидше коригувати заходи безпеки. Дослідження ілюструє, як AI може перетворити некеровані набори даних на дієву розвідувальну інформацію, водночас підкреслюючи необхідність ретельної перевірки результатів, щоб не допустити неправильного тлумачення нових або оманливих тактик супротивника.

Подальше читання

Самоконтрольований аналіз журналу - "Аналіз каротажних діаграм, керованих AI, з використанням трансформаторних конструкцій" (Пан 2023)
У цьому дослідженні розглядається, як AI може підтримувати аналіз журналів для виявлення та розслідування інцидентів. Використовуючи модель Transformer, навчену на звичайних записах логів, підхід застосовує доповнення логів для самоконтрольованого навчання ознак, а потім допрацьовує модель за допомогою навчання з підкріпленням на невеликому наборі мічених даних. Результати показують, що цей метод може подолати проблеми, пов'язані з неоднорідними джерелами журналів і дефіцитом мічених даних, що свідчить про його перспективність для практичного і реального застосування в операціях з кібербезпеки.
Аналіз логів на основі глибокого навчання для виявлення вторгнень - "Класифікація журналів подій кібератак за допомогою глибокого навчання з аналізом семантичних ознак" (Alzu'bi та ін. 2025)
Це дослідження пропонує фреймворк на основі глибокого навчання, що використовує семантичну векторизацію та вбудовування BERT для аналізу журналів подій з метою виявлення вторгнень. Класифікуючи журнали за типами подій та атак з поясненням AI, підхід покращує точність виявлення, досягаючи більш ніж 99%, і перевершує існуючі моделі.

Аналіз шкідливого програмного забезпечення

Аналіз шкідливого програмного забезпечення досліджує шкідливе програмне забезпечення, щоб зрозуміти його поведінку, походження та потенційний вплив.

Як AI змінює аналіз шкідливого програмного забезпечення:

AI прискорює класифікацію, виявляючи схожість коду в різних сімействах шкідливих програм і генеруючи пояснення виконання в пісочниці. Це допомагає аналітикам швидко зрозуміти, як працює шкідливе програмне забезпечення, що сприяє швидшому реагуванню та ефективнішому усуненню загроз.

Відповідь. Прискорює виявлення та стримування шкідливого програмного забезпечення.

Одужання. Сприяє накопиченню знань для майбутньої оборони.

Висвітлено випадок: Демонтаж шкідливого програмного забезпечення за допомогою AI

У 2025 році, Апвріль і Наков оцінили R2AI, плагін AI для дизасемблера Radare2, на останніх зразках шкідливого програмного забезпечення для Linux та IoT. Система інтегрує LLM в процес зворотного проектування, допомагаючи аналітикам декомпілювати функції, перейменовувати змінні та виявляти підозрілу поведінку. Їхнє дослідження показало, що допомога AI може скоротити час аналізу з декількох днів до приблизно половини, зберігаючи при цьому таку ж або кращу якість, ніж при аналізі, який виконується лише людиною. Наприклад, у випадку зі шкідливим програмним забезпеченням Linux/Devura, AI правильно визначив формати аргументів, які пропустили аналітики. Однак обмеження залишалися: моделі час від часу видавали галюцинації, перебільшення або пропуски і потребували постійної перевірки кваліфікованими експертами. Отримані дані свідчать про те, що розбирання за допомогою AI є найбільш ефективним як мультиплікатор сили, що прискорює сортування і швидше виявляє деталі, але все ще покладається на людський нагляд для забезпечення точності і уникнення неправильної інтерпретації.

Подальше читання

Семантична сегментація для класифікації - "Глибоке навчання з семантичною сегментацією для класифікації шкідливих програм" (Чен та ін. 2025)
Дослідження демонструє, що застосування AI до окремих частин файлів шкідливого програмного забезпечення, а не до цілих послідовностей файлів, може значно підвищити продуктивність. Зосередившись на даних заголовків портативних виконуваних файлів, модель досягла точності класифікації сімейств шкідливих програм на рівні 99,54%. Це свідчить про те, що фокусування на найбільш інформативних ділянках коду дозволяє швидше та надійніше виявляти загрози.
Навчання для нового шкідливого програмного забезпечення "Підхід до класифікації шкідливого програмного забезпечення для розпізнавання невідомих сімейств за допомогою візуалізації ознак шкідливого програмного забезпечення" (Конті та ін., 2022 р.)
У статті пропонується використовувати навчання з невеликою кількістю пострілів для класифікації сімейств шкідливих програм на невеликій кількості прикладів, що дозволяє уникнути необхідності перенавчання моделей щоразу, коли з'являється нове шкідливе програмне забезпечення. Візуалізуючи двійкові файли шкідливих програм як 3-канальні зображення та тестуючи дві архітектури (CSNN та Shallow-FS), дослідження демонструє високу точність класифікації як традиційних, так і нових шкідливих програм. Це демонструє потенціал підходів з кількома пострілами для покращення адаптивності та швидкості виявлення нових загроз.

Навчання та лабораторії

Тренінги та лабораторії забезпечують контрольоване середовище для практичних вправ та симуляцій з кібербезпеки.

Як AI змінює навчання та лабораторії:

AI може генерувати динамічні лабораторні сценарії, адаптовані до прогресу учня, створювати адаптивні завдання різної складності та автоматизувати зворотній зв'язок і оцінювання. Це сприяє більш реалістичному та масштабованому навчанню.

Готовність. Посилює готовність за допомогою адаптивних симуляцій.

Одужання. Включає в навчання уроки з реальних інцидентів.

Висвітлено випадок: Кіберполігони на базі AI для адаптивного навчання

У 2025 році, Сісодія та ін.представила кіберполігон на базі AI, призначений для підвищення реалістичності та ефективності навчання з кібербезпеки. На відміну від традиційних статичних лабораторій, платформа використовує AI для регулювання складності сценаріїв відповідно до прогресу учнів, впровадження реалістичних подій атак і забезпечення автоматизованого зворотного зв'язку.

Дослідження показало, що студенти, які навчалися в цьому середовищі, досягли вищої точності виявлення та скоротили час ліквідації наслідків порівняно з традиційними підходами. Для викладачів система дає можливість масштабувати вправи, персоналізувати завдання та включати уроки з реальних інцидентів у симуляції.

З технічної точки зору, дослідження також продемонструвало, що гібридні архітектури, які поєднують хмарну масштабованість з точністю фізичних систем, забезпечують більш реалістичні та адаптивні сценарії. Отримані результати підкреслюють, як AI може трансформувати навчання з фіксованих вправ у динамічні навчальні середовища, які краще готують студентів і фахівців до реальних кіберзагроз.

Подальше читання

Методи навчання з кібербезпеки - "Систематичний огляд сучасних методів навчання з кібербезпеки" (Прюммер та ін. 2024)
У статті показано, що широкий спектр підходів до навчання з кібербезпеки, включно з ігровими методами, покращує поведінку кінцевих користувачів і результати організаційної безпеки. Результати підкреслюють ефективність структурованих навчальних програм, але також виявляють такі проблеми, як малий розмір вибірки і неекспериментальний дизайн. Це підкреслює цінність інтеграції AI у тренінги та лабораторії для масштабування втручань, персоналізації контенту та створення адаптивних вправ, які долають обмеження традиційних методів.

Питання для обговорення

Яка фаза життєвого циклу кіберінциденту (запобігання, готовність, реагування, відновлення), найімовірніше, буде трансформована за допомогою AI в майбутньому, і на якій фазі AI наразі має найбільший вплив? Де AI здається найменш ефективною?
Чи зміщує AI баланс сил у кіберпросторі на користь захисників, чи, навпаки, допомагає зловмисникам утримувати перевагу?
Чи вирівняють відкриті та широкодоступні інструменти AI ігрове поле для малих захисників, чи просунуті пропрієтарні системи все ще надаватимуть перевагу великим організаціям?
Як здатність AI автоматизувати виявлення, сортування і реагування змінює швидкість і характер оборонних операцій? Чи може це зробити "традиційні моделі SOC" застарілими?
Чи можуть захисники стати занадто залежними від AI, що призведе до сліпих зон, якщо моделі вийдуть з ладу, будуть отруєні або обмануті ворожими даними?
Хто несе відповідальність, якщо системи AI пропускають критичні загрози або дають помилкові рекомендації: розробники, організації, що розгортають системи, або люди-аналітики, які покладаються на них?
Як політики можуть заохочувати відповідальне використання AI в обороні, не стримуючи інновації і не обмежуючи доступ для освітян і менших організацій?
Чи перетвориться кіберконфлікт на змагання "автономний захист проти автономного нападу", коли і зловмисники, і захисники перейдуть на AI?