SOC будущего: ключевые тренды 2026 - 2028

За последние несколько лет Security Operations Center (SOC) прошел заметную эволюцию: от ручных операций, лог-менеджмента, анализа атомарных событий к системному видению вредоносной активности в сети, автоматизации и внедрению интеллектуальных технологий. Сегодня ландшафт угроз и технологий продолжает меняться еще быстрее. На первый план выходят новые инструменты и подходы, которые не только расширяют возможности SOC, но и задают новые правила игры в кибербезопасности. В предыдущем исследовании мы показали, как рынок движется к созданию Автономных SOC и какие задачи требуют автоматизации для повышения эффективности центров мониторинга. В этом исследовании мы изучили, что изменилось за год, собрали ключевые тренды, которые будут определять развитие SOC в ближайшие несколько лет, и рассмотрели, как они повлияют на трансформацию центров мониторинга — от инструментов и до процессов.

Атакующие активно развивают инструменты, сокращающие время, необходимое на проведение атаки (Time to Attack). Согласно исследованию Unit 42 Global Incident Response Report 2025, по итогам 2024 года почти в каждом пятом случае (19%) утечка данных происходила в течение первого часа после взлома. А по данным отчета CrowdStrike 2025 Global Threat Report, время, необходимое злоумышленнику от первоначального доступа и закрепления в инфраструктуре до начала движения по сети (lateral movement), за последний год достигло рекордно низких значений: среднее время сократилось до 48 минут, а минимальное зафиксированное время составило всего 51 секунду.
Такие результаты достигаются несколькими способами, в том числе за счет использования технологий искусственного интеллекта. Ранее мы уже рассказывали о потенциале применения ИИ в кибератаках. Наиболее успешно в настоящее время ИИ применяется для проведения фишинга, позволяя создавать реалистичные письма, сайты-двойники официальных ресурсов компаний, голосовые и видеозвонки. Дипфейки и вишинг сейчас являются одним из наиболее популярных направлений, и, по результатам исследования специалистов направления Data science & ML Positive Technologies, высококачественную подделку голоса теперь можно выполнить не только через коммерческие API, но и с помощью open-source-инструментов. А на теневых форумах даже существует отдельное направление Deepfakes as a Service, где дипфейк-инструменты, наподобие Swapface, можно получить по подписке стоимостью до 249 $ в месяц.

Кроме того, в исследовании, посвященном трендам в развитии вредоносного ПО, мы также отметили растущую тенденцию использования злоумышленниками больших языковых моделей (далее также — LLM) для разработки и улучшения вредоносного ПО. Такие модели помогают не только создавать исходный код, но и автоматизировать его изменение и сокрытие от систем защиты. К примеру, в августе 2025 года компанией ESET была обнаружена программа-вымогатель PromtLock, созданная с помощью большой языковой модели gpt-oss-20b. 

ИИ также показывает высокий потенциал возможностей автоматизации компрометации защищаемой инфраструктуры. Такая оценка дается на основании тестирования ИИ в программах Bug Bounty и CTF-соревнованиях. Так, в июне 2025 года ИИ-ассистент Xbow занял первое место в рейтинге платформы HackerOne, обнаружив наибольшее количество ошибок в коде, что является первым случаем в истории платформы. Сервис учитывает количество и важность уязвимостей, обнаруженных в ПО крупных компаний. Другой пример — по данным исследователей из Palisade Research, агентный ИИ принял участие в CTF, смог решить 19 из 20 задач в соревновании на 400 команд и вошел в Топ-5% участников. Во втором CTF почти на 8000 команд лучшему ИИ-агенту удалось захватить 20 флагов из 62 и оказаться в Топ-10%. А совсем недавно на теневых форумах начал активно обсуждаться новый инструмент Hexstrike-AI: он состоит из более чем 150 ИИ-агентов, способен автоматически сканировать периметр инфраструктуры, эксплуатировать уязвимости, в том числе уязвимости нулевого дня, и закрепляться в скомпрометированных системах, — и все это менее чем за десять минут. Эти факты говорят о том, что ИИ обладает огромным потенциалом, и его стремительное развитие уже сейчас показывает лучшие результаты, чем мы видели еще год назад.

Помимо этого, мы отмечаем, что киберпреступники все чаще реализуют более сложные многоэтапные атаки. Например, злоумышленники используют загрузчики для многоэтапного развертывания вредоносного ПО с целью затруднить обнаружение и анализ угрозы. На первых этапах атаки используются обфусцированные компоненты, которые скрывают свое назначение от антивирусных программ. Только на финальном этапе загружается полезная нагрузка — стилеры, трояны удаленного доступа или вирусы-шифровальщики. Кроме того, большая часть современной цепочки атак с использованием шифровальщиков теперь реализуется с применением LOTL-техник. Так, согласно отчету компании SANS, в 2025 году техники LOTL были замечены в 49% атак с использованием программ-вымогателей (по сравнению с 42% в 2024 году). Изменилась и тактика проведения атак: согласно отчету компании ThreatDown, киберпреступники атакуют организации в ранние утренние часы, когда службы ИТ и ИБ, как правило, отсутствуют на рабочем месте. Помимо этого, рост доступности моделей Malware as a Service (MaaS) и Ransomware as a Service (RaaS), который мы уже отмечали в исследовании теневого рынка, а также автоматизация инфраструктур распространения позволяют злоумышленникам с минимальными техническими навыками запускать собственные вредоносные кампании.

Говоря о последствиях кибератак, необходимо отметить общую тенденцию как в российском, так и в международном киберпространстве к разрушительным атакам, направленным на нарушение функционирования инфраструктуры и нанесение крупного ущерба компаниям и государству. Согласно исследованию Positive Technologies об актуальных киберугрозах в первой половине 2025 года, доля атак, приводящих к нарушению основной деятельности компаний увеличилась на 13 процентных пунктов по сравнению с предыдущим полугодием и на 15 процентных пунктов по сравнению с первым полугодием 2024 года, что объясняется увеличением активности вымогателей и хактивистов. По данным отчета Global Cybersecurity Outlook 2025, почти половина (45%) директоров по информационной безопасности (далее также — CISO) опасается нарушения функционирования систем в результате кибератак, совершенных на фоне обострения геополитических конфликтов. А по данным отчета IBM 2025 Cost of a Data Breach Report, несмотря на снижение средней стоимости утечки информации в 2025 году на 9% в сравнении с уровнем 2024 года, отмечается, что 86% компаний столкнулись с нарушением бизнес-процессов в результате утечки информации.

Описанные тренды в проведении кибератак — сокрытие механизмов работы ВПО, активное развитие технологий искусственного интеллекта и их применение при планировании и проведении кибератак, обострение геополитической обстановки и многие другие — все это приводит к необходимости ответного совершенствования инструментов и процессов защиты инфраструктуры и реагирования на инциденты. Увеличение сложности кибератак и уровня потенциального ущерба в результате их реализации находит свое отражение и в потребности компаний в экспертной поддержке при расследовании инцидентов. Так, согласно нашему исследованию, спрос на проекты по расследованию инцидентов постоянно растет — в 2023 году прирост проектов составил 176%, а за первые три квартала 2024 года их число выросло на 24% по сравнению с аналогичным периодом 2023 года. 

Далее рассмотрим, с какими сложностями продолжают сегодня сталкиваться центры мониторинга и реагирования на киберугрозы.

Сторона защиты стремится максимально усложнить процесс проведения атаки для злоумышленников и увеличить время атаки (Time to Attack) за счет выстраивания эшелонированной системы защиты, а также путем раннего выявления и устранения уязвимостей. При этом основной задачей SOC является максимально снизить время, необходимое для обнаружения угрозы (Time to Detect), ее расследования (Time to Investigate) и реагирования, начиная от экстренных мер по сдерживанию атакующего (Time to Contain) вплоть до полного устранения киберпреступника из инфраструктуры (Time to Eradicate, Time to Respond).

По данным исследования Positive Technologies, по итогам 2024 года в 40% проводимых командой Incident Response экспертного центра безопасности Positive Technologies (PT ESC IR) проектов по расследованию инцидентов время, которое потребовалось компании на первичное обнаружение угрозы (далее также — TTD), составило более одного месяца. Только 21% команд удалось обнаружить вредоносную активность в первые сутки после начала атаки. При этом только треть компаний (29%) смогла полностью устранить инцидент за неделю, большинству же потребовалось значительно больше времени — почти половина SOC (47%) затратила более одного месяца, при этом 25% из них — более шести месяцев. 

Такая задержка в обнаружении и реагировании на угрозы связана с рядом причин. В исследовании о развитии автономных SOC мы уже рассказывали о сложностях, с которыми сталкиваются инженеры и аналитики традиционных центров мониторинга и реагирования. Все эти задачи остаются актуальными для SOC и сегодня, в большей или меньшей степени это зависит от используемых инструментов автоматизации, размера инфраструктуры, состава и квалификации аналитиков и других факторов в каждом конкретном SOC. К примеру, по данным отчета SANS 2024 Incident Response Survey, основными сложностями SOC продолжают оставаться ложноположительные срабатывания (63,8%), большой объем данных (62,5%), недостаток квалификации специалистов (58,8%), изощренность угроз (44,7%) и неподходящие инструменты (35,6%). Согласно другому исследованию, State of AI in Security Operations 2025, проведенному компанией Prophet Security, 57% SOC в ответ на растущее число алертов просто подавляют шумные правила обнаружения, и, как следствие, в среднем около 40% генерируемых алертов вообще не анализируются.

Prophet Security в своем исследовании в Топ-3 проблем SOC отмечают медленный триаж и расследование, которое в среднем составляет 70 минут, проблемы с покрытием SOC 24/7 и выгорание аналитиков. По данным отчета SANS 2025 SOC Survey, средняя численность SOC составляет от двух до десяти аналитиков. При этом более половины опрошенных респондентов (62%) отметили, что организации прилагают недостаточно усилий, чтобы удерживать таланты в компании. SANS говорит о том, что аналитики в среднем работают в SOC от трех до пяти лет, однако, согласно отчету SOC Maturity Report 2025, от трех до пяти лет работает только треть (31%) аналитиков. Более половины (58%) выдерживают в таком режиме высокой нагрузки не более трех лет и затем уходят из SOC. Вместе с тем, по данным того же отчета, 63% компаний требуется от двух до шести месяцев на наем новых аналитиков в команду, а каждая четвертая компания тратит на это более полугода. В итоге центры мониторинга постоянно испытывают кадровый голод, вынуждены тратить время на наем и обучение новых аналитиков, сталкиваются с проблемами недостаточной квалификации и сверхнагрузки на команду, что, в свою очередь, ведет к снижению общей эффективности работы SOC и пробелам в обеспечении надлежащего мониторинга круглые сутки. Все это создает благоприятные условия для киберпреступников, которые, как мы уже отметили ранее, используют это в своих целях.

Если резюмировать все описанные проблемы и расширить этот перечень несколькими дополнительными пунктами, о которых мы расскажем далее в исследовании, то в итоге получаем следующий список актуальных проблем, над решением которых работают как современные вендоры инструментов для SOC, так и сами команды центров мониторинга своими силами:

• увеличение потока входных данных, появление новых форматов логов и типов активов, рост числа non-human identities в связи с активным внедрением ИИ и ИИ-агентов в разных отраслях экономики;

• слепые зоны инфраструктуры — отсутствие полной видимости и связей между разными компонентами, действиями пользователей и иных учетных записей (identities);

• ручные операции по подключению новых источников, созданию контента обнаружения и реагирования, а также верификация корректности созданных коннекторов и правил;

• ложные срабатывания, ручной триаж алертов, недостаток квалификации аналитиков для корректной приоритизации — и, как следствие, ошибки и пропуск реальных инцидентов;

• немасштабируемые технологии поиска данных, что усложняет ретроспективный анализ;

• ротация специалистов в команде и длительный поиск подходящих кандидатов, сложность поиска высококвалифицированных кадров, таких как threat hunters, сильных специалистов по расследованию и реагированию со стратегическим видением киберугроз, сложности выстраивания процесса передачи опыта и знаний в команде.

Технологии меняют мир кибербезопасности и особенно — работу центров мониторинга и реагирования на инциденты. Мы уже не раз отмечали, что трансформация инструментов и процессов SOC стала насущной необходимостью. Это движение развития получило разные названия: SOC нового поколения, SOC 2.0, Автономный SOC, а в 2025 году все чаще звучит еще один термин — AI SOC. Именно последнее определение наиболее полно отражает текущие тренды модернизации SOC: сегодня искусственный интеллект стремятся внедрять на всех этапах — от предобработки данных до мониторинга событий и реагирования на угрозы. Однако ИИ — не единственный фактор, влияющий на развитие SOC, существует и ряд других тенденций.

В этом исследовании мы рассмотрим, как меняется SOC сегодня и какие тренды будут определять его развитие в ближайшие несколько лет.

Чтобы выстроить эффективный процесс мониторинга киберугроз, для начала необходимо убедиться в том, что все критические ресурсы и компоненты защищаемой инфраструктуры подключены в качестве источников телеметрии и логов к конвейеру сбора и обработки данных в составе SIEM. В SOC для этой задачи даже используется отдельная метрика — Coverage of Key Assets (или Visibility — Monitoring Coverage). Важно оценить, насколько зрело выстроен процесс управления активами, есть ли автоматическое обнаружение новых активов в сети и их подключение к мониторингу. От выстроенного процесса управления активами зависит и то, насколько быстро SOC определяет, скомпрометированы активы или нет, то есть метрика Time to Detect. 

В современных SOC помимо традиционных типов активов стандартом стал мониторинг безопасности контейнерных и облачных сред, а также различных внешних SaaS-сервисов. Мы наблюдаем, как усиливается внимание киберпреступников к этим типам активов, поскольку они часто защищаются и контролируются не в полной мере. К примеру, согласно исследованию Red Canary, в течение первой половины 2025 года компания зафиксировала почти на 500% больше сработок системы мониторинга, связанных с облачными аккаунтами, чем за весь предыдущий год. А по данным отчета Prophet Security State of AI in Security Operations 2025, 65% респондентов отметили, что испытывают сложности с покрытием мониторинга облачных активов, и практически столько же (61%) респондентов подтвердили наличие пробелов в контроле различных Identities. Помимо этого, сложности мониторинга современных активов, таких как контейнеры, связаны с ограниченным временем их существования. Так, по данным отчета Sysdig’s 2025 Cloud-Native Security and Usage Report, 60% контейнеров в облачных средах живет не дольше одной минуты, что создает вызов для современных центров реагирования, требуя обеспечивать все процессы — от сбора данных и обнаружения до реагирования — в режиме, приближенном к реальному времени.

В ближайшем будущем мы ожидаем, что SOC будут плотно встраивать в свои процессы мониторинг киберугроз в приложениях на базе технологий искусственного интеллекта и в особенности ИИ-агентов — обеспечивать контроль безопасности ИИ-моделей данных, сетевых взаимодействий и окружения, в котором они функционируют. По данным того же отчета Sysdig, за последний год число рабочих процессов, использующих AI/ML-пакеты в облачных средах их клиентов, выросло на 500%. Также перспективным направлением является мониторинг serverless-вычислений. К примеру, эксперты PT ESC недавно разобрали технику атаки в облачной среде AWS с применением AWS Lambda и API Gateway. Атака реализуется путем создания временной Lambda-функции, способной создавать новых IAM-пользователей с правами администратора. Такие техники показывают, насколько опасно недооценивать serverless-вычисления в защищаемой среде. 

Кроме того, повсеместное внедрение инструментов на базе искусственного интеллекта, которое во многих случаях реализуется без выстроенного процесса контроля их функционирования и управления безопасностью, привело к появлению понятия теневого ИИ — Shadow AI, что создает дополнительные потенциальные риски кибербезопасности. К примеру, согласно отчету IBM 2025 Cost of a Data Breach Report, каждая пятая компания сообщила, что столкнулась с утечкой информации в результате инцидента, связанного с Shadow AI. И эти риски фактически касаются не только бизнес-приложений и ключевых информационных систем, но и самого SOC тоже. По данным отчета SANS 2025 SOC Survey, более трети опрошенных аналитиков, инженеров и CISO (39%) признаются, что используют ИИ-инструменты для решения рабочих задач, однако их применение официально не регламентировано в компании.

Темой будущего становятся легковесные агенты безопасности для 5G- и edge-computing-устройств, где мы наблюдаем рост интереса к технологиям Edge AI , особенно в сферах промышленности, транспорта, здравоохранения и умных городов. Как мы отмечали в нашем исследовании о новых технологиях в ИИ, Edge AI активно развивается и в долгосрочной перспективе внедрение таких решений будет становиться все более распространенным, благодаря активному развитию малых языковых моделей (далее также — SLM) и архитектуры Vision Transformer (далее также — ViT). Перенос вычислений и ИИ-аналитики ближе к источникам данных позволяет снизить задержки и повысить автономность систем. Однако это создает новые векторы атак: устройства на периферии сети ограничены в ресурсах, работают в распределенных и разнородных средах, а их физическая доступность повышает риск компрометации. В этих условиях мониторинг безопасности Edge AI становится критически важным элементом SOC — необходимо следить за обновлениями прошивок и зависимостей, выявлять аномальное поведение агентов и предотвращать использование периферийных устройств как точек входа для атак.

Отдельного внимания заслуживает стремительный рост числа машинных учетных записей, который напрямую связан с распространением ИИ-агентов и автоматизированных сервисов. По данным отчета CyberArk 2025 Identity Security Landscape, машинные учетные записи уже значительно превосходят человеческие по количеству — в среднем в 80 раз, а согласно отчету Sysdig, в некоторых облачных средах эта разница достигает 40 000 к одному. Такая динамика объясняется тем, что каждый агент, модель или микросервис требует собственных токенов, сертификатов и ключей доступа, при этом жизненный цикл этих идентификаторов становится все короче и сложнее для управления. Быстрый рост и фрагментация машинных учетных записей увеличивают поверхность атаки и приводят к росту числа инцидентов.

В исследовании, посвященном автономным SOC, мы уже писали о необходимости интеллектуальной автоматизации подключения новых источников телеметрии к мониторингу. Под автоматизацией подключения источников в целом подразумевается как настройка самих источников данных, так и конфигурация на стороне SIEM: генерация парсеров, правил нормализации или коннекторов (зависит от терминологии, применяемой каждым вендором инструментов для мониторинга). В этом разделе речь пойдет именно о подключении источников на стороне SIEM, когда перед инженерами SOC встает задача настроить SIEM так, чтобы система начала понимать, какие данные в нее отправляются, и умела преобразовать их в нужный формат (модель данных). 

Потребность в интеграции интеллектуальных технологий для задач автоподключения активов, по мнению экспертов, назревала уже давно, однако практических реализаций было довольно мало. Сейчас, в 2025 году, мы видим больше реальных примеров того, как компании внедряют искусственный интеллект для автогенерации парсеров и правил нормализации. Например, Gurucul внедрил Data Pipeline AI Agent, который полностью автоматизирует обнаружение и классификацию данных, нормализацию и обогащение. Агент автоматически строит или оптимизирует пайплайны для любых источников (межсетевые экраны, облака, конечные устройства, identities) и интегрирован с ML-моделями обнаружения (корреляции), обеспечивая интеграцию новых потоков данных с поведенческими моделями без участия аналитиков. В другом решении, Elastic Security, заявлена возможность автоматического импорта (Automatic Import) — с применением open agentic framework система автоматически строит интеграции на основе примеров логов, используя agentic workflows для нормализации и маппинга. AI выполняет основную работу, а пользователь лишь проверяет и корректирует.

Для MaxPatrol SIEM разрабатывается ИИ-ассистент, способный генерировать экспертный контент на языке XP, используемом в SIEM для создания правил нормализации, агрегации и корреляции. Данный ИИ-ассистент сначала проводит кластеризацию исходных журналов событий, извлекая и категорируя данные, а затем генерирует правила нормализации и комментарии к нему с применением больших языковых моделей (LLM) и метода файн-тьюнинга LORA.

Тема автоматизации подключения источников к мониторингу и общей модернизации ETL-процесса в SIEM в 2025 году стала одним из ключевых трендов на международном рынке. В ближайшие годы мы ожидаем развитие таких модулей среди как крупных enterprise-решений на рынке, так и молодых стартапов, которые специализируются исключительно на создании конвейеров данных безопасности (security data pipeline — SDPP), такой тренд отмечается экспертами. И SIEM, и SDPP-решения в ближайшие годы будут активно обогащаться технологиями ИИ для автоматизации ETL. Например, в июле 2025 года Realm.Security объявили о создании Industry-first AI-native security data pipeline platform. Другой SDPP-вендор DataBahn.ai в июне 2025 года сообщил о получении инвестиций в раунде A на развитие security data management с применением технологий ИИ.

Возвращаясь к вопросу автоматизации настройки самих активов, можем отметить, что в этом направлении активно развивается подход Infrastructure as Code. Глобально это тренд автоматизации развертывания серверных компонентов любых инструментов SOC, будь то SIEM, SOAR, NTA/NDR или любой другой. Но он также применим и в отношении источников телеметрии. Для решения этой задачи применяются известные инструменты автоматизации, такие как Ansible или Terraform, которые позволяют управлять процессом подключения источников «как кодом», со всеми присущими атрибутами — версионирование, отладка, верификация и финальный запуск на реальных устройствах. К примеру, с помощью Ansible можно настроить активы для подключения к мониторингу в MaxPatrol SIEM.

В настоящий момент SOC должен обеспечивать сбор и анализ данных с источников в реальном времени, а объем поступающих данных в SIEM уже измеряется петабайтами в сутки. Чтобы справиться с такой нагрузкой, необходимы решения, которые могут работать с большим объемом данных, обеспечивают высокую производительность и отказоустойчивость, а также реализуют интеллектуальный менеджмент обрабатываемых событий ИБ.

Вместе с тем ситуация осложняется из-за растущего числа активов, которые могут быть затронуты в ходе атаки. Как показывает исследование Positive Technologies, в 2024 году в трети проектов по расследованию инцидентов (32%) данные собирались и анализировались более чем с сотни узлов, в 12% — более чем с 1 тыс., а максимальное число проанализированных в рамках одного проекта узлов составило почти 44 тыс. При этом, согласно отчету SANS SOC Survey 2025, 42% SOC загружают в SIEM все данные без возможности поиска по ним и без плана по их менеджменту.

Перед SOC встала задача менеджмента качества загружаемых данных: Telemetry Improvement — те ли данные мы загружаем, достаточно ли входной телеметрии для комплексного мониторинга инфраструктуры и всех векторов атак, все ли логи необходимы и как можно уменьшить их объем. Решениями становятся дедупликация активов и событий ИБ, фильтрация, маскирование чувствительных данных, обогащение данными TI и данными об уязвимостях. Каждый вендор выбирает собственный подход к оптимизации обработки и маршрутизации данных в SOC. Так, Securonix предлагает модуль Data Pipeline Manager (DPM), который интеллектуально классифицирует, фильтрует и направляет телеметрию, обеспечивая приоритетную обработку критических событий в реальном времени и снижая нагрузку на хранилища. По сути, DPM гарантирует, что нужные данные поступают нужному агенту в нужный момент, повышая эффективность анализа и снижая стоимость владения инфраструктурой. В свою очередь, Panther реализует интеграцию со сторонним инструментом Observo AI, использующим технологии искусственного интеллекта для трансформации потоков данных и автоматического маскирования конфиденциальной информации. Такой подход позволяет улучшить качество телеметрии, обеспечивая при этом соответствие требованиям безопасности и конфиденциальности. Также мы наблюдаем общее движение к стандартизации формата данных — использованию OCSF, что упрощает интеграцию источников и унификацию. Универсальный стандарт вместо закрытых моделей данных.

В будущем мы ожидаем, что активно будет развиваться направление по созданию AI Data Engineer. И в данном случае речь уже идет не только об автогенерации парсеров и коннекторов, но также об интеллектуальной фильтрации и отсечении ненужной информации, обогащении данных, маскировании чувствительных данных и других возможностях.

SIEM по-прежнему остается ядром центра мониторинга и реагирования, где аккумулируются огромные объемы событий и телеметрии. Эти данные необходимы для оперативного обнаружения угроз в реальном времени, что требует высокой скорости записи, чтения и возможности объединять разнородные источники. Однако с ростом масштабов инфраструктуры и разнообразия логов стоимость владения SIEM стремительно растет. Все больше команд SOC сталкиваются с необходимостью оптимизировать не только сами данные, но и процессы хранения, архивации и поиска.

Параллельно формируется новый тренд — переход от ценности среднесрочного «холодного хранения» к долгосрочному на срок от нескольких лет. Если раньше длительное хранение диктовалось в первую очередь регуляторными требованиями, то сегодня оно становится инструментом для ретроспективного анализа и расследования инцидентов. По данным исследования Positive Technologies, практически в каждом пятом проекте по расследованию инцидентов (17%) экспертами PT ESC было установлено, что злоумышленники оставались в инфраструктуре жертв от одного года до трех лет, — и без исторических логов такие атаки достаточно сложно раскрыть. Импульс этому направлению придает развитие ИИ — технологии уже сегодня способны анализировать терабайты данных и находить в них закономерности. В ближайшей перспективе SIEM и другие инструменты SOC все активнее будут использовать ИИ для анализа логов, в том числе длительного хранения. А значит, хранилища должны обеспечивать AI-ready-состояние данных, быстрый доступ и гибкие инструменты поиска.

Под влиянием этих факторов все больше вендоров SIEM переходят к архитектурам хранения на базе Data Lake, а также гибридному формату Data Lakehouse. SIEM в таком случае может не выступать единственным центром хранения данных, а стать частью более широкой аналитической экосистемы. Реализация подхода у разных вендоров различается: кто-то использует сторонние платформы, кто-то строит собственное озеро данных. Например, Devo предлагает иерархическое хранилище на базе собственной инженерной технологии HyperStream с возможностью полнотекстового поиска по всем данным без традиционного деления на «горячие» и «холодные» слои — архитектура nested file-storage обеспечивает одинаковую скорость выборки при сроке хранения до 400 дней. Другой вендор, DataDog, тоже использует собственное распределенное хранилище Husky, построенное поверх плоских объектных хранилищ, таких как Amazon S3. При этом DataDog, напротив, разделяет уровни хранения на indexing, flex и flex frozen, а максимальный срок хранения внутри их хранилища составляет до семи лет. Новые игроки рынка, такие как Hunters, Panther и LimaCharlie, наоборот, предпочитают использовать сторонние платформы данных, такие как Snowflake и Databricks. Например, в Hunters данные с on-prem-источников собираются сначала в S3, после чего SIEM подключается к хранилищу для анализа событий ИБ. Независимо от того, выбирает ли вендор путь создания собственного хранилища или использования внешнего, общий тренд заключается в переходе к разделению слоя хранения и анализа данных. Нормализованные события ИБ, сырые логи, сетевой трафик и другие сведения записываются в единую платформу данных, куда затем подключаются специализированные аналитические инструменты, позволяя тем самым строить сложные запросы для проверки любых гипотез.

Такой формат единой платформы данных, обеспечивающей гибкость, масштабируемость, не требующей дублирования данных для решения аналитических задач, и получил название Data Lakehouse. Классические хранилища, реализующие OLAP-подход, обеспечивают высокую структурированность и скорость аналитики, но плохо масштабируются под огромные объемы событий безопасности. В свою очередь, Data Lake позволяют сохранять неструктурированные логи и файлы в огромных объемах, но страдают от фрагментированности, низкой скорости и эффективности аналитических запросов. Data Lakehouse же объединяет преимущества обоих подходов и предоставляет универсальную платформу долгосрочного хранения и анализа, не требующую дублирования данных под каждую отдельную аналитическую задачу. Для SOC это означает более быструю корреляцию событий, сокращение задержек между сбором и анализом данных и AI-ready-состояние хранимых данных. В ближайшем будущем мы ожидаем активное развитие направления Data Lakehouse и его широкое внедрение в жизнь центров мониторинга и реагирования.

Например, в ряде продуктов Positive Technologies уже используется единая платформа данных на базе технологий Data Lakehouse, развернутая в частном облаке, что позволяет эффективно анализировать данные с использованием ИИ и ИИ-агентов. Так, ядро метапродукта MaxPatrol O2 перенесено в облако, и за счет горизонтально масштабируемого конвейера система сможет работать с большими объемами нагрузки. Используя современную платформу данных, MaxPatrol O2 длительно хранит информацию разного вида, в том числе big data, может обрабатывать ее с помощью ML-алгоритмов и тем самым повышать качество обнаружения и расследования атак. Кроме того, с использованием единой платформы данных функционирует сервис PT X — облачное решение для мониторинга киберугроз и реагирования на инциденты. Продукт помогает организациям, которым требуется быстро повысить уровень информационной безопасности без развертывания дополнительных ИБ-систем или увеличения команды специалистов. В будущем такая платформа данных уровня Data Lakehouse будет доступна для всех облачных версий продуктов компании Positive Technologies.

Переход к единой платформе данных позволяет решить ряд проблем в SOC. Во-первых, обеспечивается единый контур данных — они сохраняются один раз в одной копии и используются для всех возможных задач без необходимости репликации. Во-вторых, реализуется принцип масштабируемости и гибкости — cloud-native-архитектура в основе и поддержка развертывания в публичных, приватных и гибридных облаках, а также отсутствие vendor lock-in за счет открытых протоколов и форматов хранения. В-третьих, обеспечивается высокая производительность действий с данными — загрузка сотен тысяч событий в секунду и всегда горячее состояние данных, доступных для поиска и продвинутой аналитики (UEBA, ML, ИИ-агенты и прочее).

Другая тенденция — поиск по архивным данным и развитие федеративного поиска, когда SOC может выполнять запросы сразу по разным хранилищам, распределенной инфраструктуре и даже по нескольким уровням хранения. Например, Elastic предлагает технологию Searchable Snapshots для анализа архивных логов, DataDog — механизм Logs Rehydration, позволяющий разморозить данные для поиска. Стандартной практикой SOC теперь становится хранить данные не год или два, а значительно дольше. Для реализации федеративного поиска некоторые решения, например DataDog и Google Chronicle, интегрируются со специализированными сервисами, такими как Query.ai, обеспечивающими единый слой поиска и соединения данных между различными источниками. Это постепенно меняет роль SIEM — от центра сбора и хранения событий к интеллектуальному слою корреляции и аналитики, способному работать поверх распределенных хранилищ и озер данных. Другие вендоры создают собственные решения. К примеру, Gurucul предлагает инструмент Universal Federated Search, который предоставляет единый интерфейс для поиска по любым подключенным хранилищам и источникам. Этот механизм логично развивает поддерживаемую компанией концепцию BYO Data Lake (Bring Your Own Data Lake). В MaxPatrol SIEM также реализуется распределенный кросс-кластерный поиск по нескольким конвейерам обработки событий.

Основную ценность в SOC несет заложенная в используемые инструменты логика обнаружения, будь то правила корреляции в SIEM или сигнатуры обнаружения вредоносной активности в NTA/NDR. На практике в этой области центры мониторинга опираются на создаваемый человеком контент обнаружения. Это может быть логика обнаружения, поставляемая вендором, или комьюнити и партнерами, а также детектирующие правила создаются непосредственно аналитиками центров мониторинга с учетом контекста инфраструктуры и отрасли. Вендоры и SOC стремятся максимально использовать свою экспертизу для создания новых правил и сигнатур, опираются на данные TI и тренды в новых уязвимостях, чтобы как можно быстрее создавать контент обнаружения и поставлять его в систему. При этом мы все равно видим ложные срабатывания, которые приходится фильтровать и приоритизировать только действительно опасные сработки.

Но в современном мире, где злоумышленники создают новые инструменты, находят уязвимости нулевого дня и используют ИИ, а время на проведение атаки стремительно сокращается от года к году, остро встает потребность в комплексном применении ИИ для снижения зависимости от ручного создания детектирующих правил и снижения когнитивной нагрузки экспертов и аналитиков при анализе сработок. Разберем подробнее, какие сценарии развития мы наблюдаем уже сейчас и как они улучшают показатели точности и скорости обнаружения угроз безопасности.

Поведенческий анализ прочно занял место в числе необходимых механизмов обнаружения угроз в современном SOC и активно внедряется в решения класса SIEM/XDR, NTA/NDR и Sandbox. Алгоритмы машинного обучения способны выявлять отклонения в действиях пользователей и запускаемых процессах, что позволяет находить аномалии и угрозы, которые невозможно выявить с помощью традиционных правил обнаружения. При этом модули поведенческого анализа (UEBA) могут не только выявлять угрозы самостоятельно, но также выступать в качестве инструмента для верификации сработок правил корреляции и оценки риска (risk scoring). Например, в Gurucul реализован динамический риск-скоринг, где каждому объекту (пользователь, устройство, сессия и так далее) система присваивает динамический риск-балл с учетом всех связанных аномалий и угроз. Этот единый интегральный рейтинг (0-100) постоянно пересчитывается по мере поступления новых данных. Другой вендор, Devo в модуле Behavior Analytics, формирует два типа risk score: по техникам MITRE ATT&CK (Alert Technique Risk Score) и по сущностям (Entity Risk Score), учитывая важность identity и поведенческие отклонения. 

В MaxPatrol SIEM интегрирован модуль поведенческого анализа MaxPatrol BAD, который самостоятельно обнаруживает атаки в инфраструктуре с помощью ML-моделей и снижает время реагирования (Time to Response), фокусируя внимание оператора на самых опасных событиях и предоставляя расширенную аналитику по ним. Для этого он анализирует активность процессов запускаемых в операционных системах на предмет аномальности их действий и присваивает всем событиям определенную оценку риска (risk score). Важнейшей частью модуля является механизм, способный объединять разные типы событий в единую сущность, что позволяет учитывать разрозненные вердикты моделей в контексте общей активности. Модуль MaxPatrol BAD способен выявлять сложные целенаправленные атаки, в том числе с использованием разных техник обхода правил корреляции; новые тактики, техники и процедуры, еще не покрытые детектами; постэксплуатацию неизвестной ранее уязвимости, атаки с применением AI, LOTL-атаки, в том числе DLL Hijacking, а также случайный или чрезмерный вайтлистинг правил корреляции со стороны пользователей. 

Поведенческий анализ и выявление ложноположительных срабатываний, а также помощь в их приоритизации на уровне сетевого трафика могут быть реализованы непосредственно в инструментах класса NTA/NDR. К примеру, благодаря использованию ML в PT Network Attack Discovery (PT NAD) теперь можно создавать пользовательские правила профилирования и обнаруживать приложения в шифрованном трафике. А алгоритмы градиентного бустинга в PT Sandbox позволяют выявлять вредоносное ПО на основе анализа размеченных данных и при этом выявлять угрозы, не обнаруженные человеком и сигнатурными правилами. Важным критерием применения ИИ является доказательность и объяснимость. Поэтому в PT Sandbox мы внедрили метод интерпретации моделей машинного обучения SHAP для корректной интерпретации результатов работы ML-моделей. Возвращаясь к исходному тезису этого раздела — о снижении зависимости от экспертизы аналитиков, чтобы обеспечить независимость результативности обнаружения от уровня экспертизы, которой обладают аналитики, в PT NAD мы внедрили плейбуки, которые предоставляют пошаговые инструкции для операторов. Например, какие действия необходимо выполнить, чтобы понять, что это была за атака? Была ли атака успешной и достигла ли она финального этапа Impact по MITRE ATT&CK (произошла ли утечка информации или наступило ли нарушение функционирования каких-либо систем и компонентов в инфраструктуре)?

В перспективе ближайших лет модули поведенческого анализа будут развиваться в сторону мониторинга расширенного перечня типов активов: помимо пользователей, хостов и процессов, моделям необходимо учитывать другие «сущности» — контейнеры, облачные сервисы, сервис-аккаунты и ИИ-агентов. Другими словами, мы будем наблюдать движение от модели user-centric- к модели entity-centric.

Ложноположительные срабатывания все еще остаются реальной проблемой SOC. Поэтому фактически борьба с ложноположительными срабатываниями продолжается, и мы видим, как появляются разные механизмы для решения этой задачи. Есть базовые методы, такие как подавление правил, генерирующих много срабатываний (false positive suppression), группировка однотипных срабатываний по временному окну и создание белых списков для создания исключений в правилах обнаружения. Такие методы решают свои локальные задачи, но глобально требуются другие решения. 

На фоне развития генеративного и агентского ИИ мы наблюдаем, что ряд решений предлагает модули, анализирующие срабатывания и выявляющие неэффективные детектирующие правила. Например, Sumo Logic внедрили механизм Insight Trainer на основе ML-алгоритмов, который предлагает рекомендации по изменению правил детектирования для повышения их эффективности. Рекомендации включают корректирующие выражения и изменение степени значимости правил. Раз в неделю Insight Trainer предоставляет новые рекомендации на основе анализа данных за последние 60 дней. Другой вендор, Securonix, внедрил ИИ-агентов для этой задачи — Noise Cancelation Agent определяет, какие правила (policies) создают много FP, и дает рекомендации по изменению логики правил детектирования, отключению неэффективных правил, а также дает рекомендации для настройки whitelisting. Еще одно решение, платформа CardinalOps, автоматически анализирует все имеющиеся в SIEM/XDR правила и политики безопасности, выявляя слепые зоны и нефункционирующие детекты, строит граф соответствия настроенных правил матрице MITRE ATT&CK и показывает, какие техники не покрыты обнаружением. А также генерирует готовые исправления, например предлагает скорректированный QL-запрос для некорректного правила или советует включить нужный тип регистрации событий в системе.

Ранее в исследовании по автономным SOC мы уже писали, что логика обнаружения угроз в некотором будущем сможет создаваться с применением ИИ. Пока детекты все еще пишутся в основном вручную, но уже появляются реализации, которые с помощью технологий ИИ могут обеспечить возможность анализа и улучшения существующих правил обнаружения или даже их создания. К примеру, в Microsoft Sentinel реализован механизм многоступенчатого обнаружения атак Fusion, в котором ML-based-правила выявляют многоэтапные атаки путем корреляции множества алертов низкой точности (low-fidelity) в инциденты true positive (high-fidelity). А вот компания Gurucul совсем недавно внедрила агентный ИИ и представила Detection Engineering Agents, которые отслеживают цепочки атак и при необходимости создают новую логику обнаружения. Агенты совершенствуют существующие модели машинного обучения, генерируют новые правила и сигнатуры и даже рекомендуют дополнительные источники данных, которые могут повысить точность обнаружения. Еще одна реализация была представлена CrowdStrike для Falcon Next-Gen SIEM — вендор заявляет о переходе на AI-powered-индикаторы атак (Indicators of Attack), число которых превышает 10 000 IOA. По заявлениям вендора, сотни корреляционных правил и AI-обогащенные IOA охватывают почти все типы атак, и ручное создание правил корреляции не требуется.

Еще один путь — это использовать специализированные сервисы, которые помогают в создании контента обнаружения, например могут преобразовать индикаторы компрометации (TI IOC) в правила обнаружения. Такой способ выбрали в Cortex XSIAM и реализовали интеграцию с сервисом Uncoder AI, который преобразует данные об угрозах в логику обнаружения, анализируя структурированные индикаторы компрометации и выявляя соответствующие вредоносные модели поведения. Такие сервисы будут в будущем чаще встраиваться в SIEM как часть процесса Detection as Code, когда ИИ не только помогает писать код в IDE, но и может помочь в создании правил обнаружения — и даже верифицировать корректность создаваемого правила.

ИИ-ассистенты логически развивают тему эволюции detection engineering и общий тренд на автоматизацию, снижение уровня требований к компетенциям аналитиков и снижение когнитивной нагрузки на них. ИИ-ассистенты применимы для большого спектра задач — от создания правил обнаружения (корреляции) и триажа алертов до расследования инцидентов и Threat Hunting. Даже несмотря на то, что уже появляются решения, которые стремятся полностью перевести на ИИ создание контента обнаружения, его модернизацию и адаптацию, триаж срабатываний и их приоритизацию, в большинстве SOC существует множество задач, в которых аналитикам требуется иметь полный контроль над ситуацией и самостоятельно экспертно анализировать угрозы, срабатывания, создавать логику обнаружения. Вот как раз для всех этих задач создаются универсальные помощники — ИИ-ассистенты (AI-assistant) или, другими словами, вторые пилоты (AI Copilots).

Рассмотрим подробнее, как ИИ-ассистенты помогают аналитикам SOC в решении этих задач. Сегодня мы наблюдаем следующие функциональные возможности среди ИИ-помощников:

• функционирование в режиме чат-бота и предоставление ответов на вопросы аналитиков;

• объяснение сработок правил обнаружения;

• предоставление саммари и выделение ключевых трендов в данных;

• предоставление рекомендаций по дальнейшим действиям;

• конвертация запросов на естественном языке в синтаксис Query Language;

• объяснение сохраненных QL-запросов — ИИ объясняет, как работает сохраненный запрос и распаковывает его на естественном языке, что помогает аналитикам понять существующие в системе задачи на поиск и обнаружение угроз, а затем на этой основе улучшать существующие запросы или создавать новые;

• генерация виджетов для дашбордов и отчетов.

ИИ-ассистенты могут в том или ином виде помогать аналитикам, решая разные задачи в SOC, например генерировать экспертный контент, делать выводы о значимости сработок правил корреляции, отвечать на вопросы и предлагать рекомендации по дальнейшим действиям. Так, например, Elastic AI Assistant объединяет контекст, включая данные TI, прошлые инциденты, схемы реагирования, резервные копии конфигураций, чтобы обобщить, объяснить и рекомендовать дальнейшие шаги. Elastic Security использует RAG с векторным поиском Elasticsearch и эмбедингами (ELSER или другой на выбор) для добавления контекста к каждому ответу искусственного интеллекта. Другой вендор, Panther, предлагает функцию AI Triage, активируемую по запросу или настраиваемую на автоматический запуск, которая собирает идентификационную информацию пользователей, исторические паттерны алертов, логику правил обнаружения, обогащения TI и все события, соответствующие правилу. Затем ассистент предоставляет саммари в формате тайм-лайна зарегистрированных событий ИБ, сведения об IP-адресах и выводы о наличии признаков компрометации, а также дает рекомендации, какие еще промпты стоит запустить и какие действия предпринять для расследования или улучшения качества детектирования. А вот, к примеру, ИИ-ассистент в MaxPatrol O2 помогает аналитику на всех этапах анализа. От общего описания расследования — что произошло в анализируемой цепочке активности, на что важно обратить внимание и почему, какие гипотезы необходимо проверить и какие выполнить действия по реагированию — и до детального разбора процессов, участвующих в анализируемой цепочке событий, — за что они отвечают и каков ожидаемый результат от их запуска с указанными параметрами командной строки.

Предоставляемые ИИ-ассистентами описания алертов или инцидентов затем могут использоваться для отправки оповещений аналитикам через соответствующие настроенные системы, будь то электронная почта или специализированные сервисы вроде Slack, Jira, — или сразу отправляться в систему управления инцидентами (Incident Management).

Помимо этого, ИИ-ассистенты могут помогать аналитикам, предоставляя ответы на любые вопросы, связанные с документацией и функциональными возможностями используемых инструментов. Так или иначе, как мы уже отметили ранее, людям необходим полный контроль над процессом мониторинга и реагирования, поэтому для оптимизации работы аналитиков и инженеров SOC документация на используемые продукты может предоставляться как интерактивный интерфейс, где по запросу можно быстро найти все необходимое для конфигурации элементов системы или создания логики детектирования или реагирования. Поэтому в будущем такая функция станет базовой для многих ИИ-ассистентов в инструментах SOC.

Конвертация запросов на естественном языке в синтаксис Query Language в ближайшем будущем станет базовой функцией ИИ-ассистента в SOC, и это легко объяснимо. В каждой SIEM, присутствующей на рынке, используется какой-либо Query Language. Многие SIEM используют свой язык запросов, создаваемый с целью оптимизации под задачи обнаружения угроз и повышения эффективности в сравнении с базовым синтаксисом SQL. Получается, что аналитикам SOC требуется хорошо знать синтаксис конкретного языка, используемого в SIEM, чтобы создавать сложные запросы для триажа алертов и расследования инцидентов. Но обучение требует времени, как и составление самого запроса, а языки запросов постоянно развиваются. Кроме того, во многих решениях один и тот же язык запросов используется и для создания правил обнаружения угроз, и для расследования инцидентов, в таком случае применение ИИ-ассистента решает сразу несколько задач и заметно ускоряет работу аналитиков. 

К примеру, в Google SecOps (Chronicle SIEM) в качестве ИИ-ассистента применяется Gemini AI, который по запросу пользователя генерирует правила обнаружения YARA-L. Также Gemini обеспечивает Natural Language Search — помогает создавать, редактировать и запускать поисковые запросы, ориентированные на релевантные события, используя подсказки на естественном языке. Помимо этого, этот ИИ-ассистент также может помочь выполнить поиск повторно, настроить область поиска, расширить временной диапазон и добавить фильтры. Похожими возможностями обладают и другие ИИ-ассистенты, например Cortex Copilot, Elastic AI Assistant, DataDog Bits AI Security Analyst и другие.

Запросы на естественном языке на деле необходимы не только в SIEM, но и в других инструментах SOC. К примеру, тот же Gemini AI может выступать помощником в анализе threat intelligence и ответить на конкретные вопросы по TI feeds, например: «Существуют ли какие-либо известные инструменты для взлома, которые используют протокол RDP для принудительного входа в систему?», «Является ли IP O.Y.Q.Z подозрительным?», «Какие типы атак могут быть связаны с CVE-2025-12345?», «Помоги найти признаки активности APT X» и другие.

Обратной задачей к конвертации запросов на естественном языке является объяснение сохраненных QL-запросов. Эта функция является важной с точки зрения сохранения и приумножения опыта SOC. Мы уже говорили о том, что кадры могут меняться каждые один-три года, после чего в центре мониторинга остается наследие в виде настроенных источников, парсеров, логики обнаружения и ретроспективных запросов. Далеко не всегда новым аналитикам удается погрузиться во все эти вещи, а кроме того, увидеть в них пользу для дальнейшего развития SOC. Пока таких реализаций немного, но в будущем мы ожидаем, что их станет больше, например Splunk AI Assistant умеет переводить SPL-запросы в текст на естественном языке, что позволяет аналитикам в команде понимать запросы коллег и адаптировать их под новые сценарии. Помимо этого, этот ассистент позволяет общаться в формате чата и углубленно анализировать данные для получения более детальных выводов.

ИИ‑ассистенты, построенные на агентной архитектуре, уже могут превращать запросы аналитиков в полноценные аналитические представления: от виджетов до полноценных дашбордов. Например, Visualization Agent от Exabeam или Exabots в составе платформы Exaforce — такого ИИ-помощника можно попросить: «Покажи все подозрительные подключения с новых IP за последние 30 дней», и он сформирует готовый дашборд с графиками, фильтрами и экспортируемыми таблицами. А инструменты вроде FortiAI‑Assist дают аналитикам возможность генерировать развернутые отчеты. Это сокращает путь от гипотезы до визуального подтверждения, ускоряет итерации анализа и уменьшает ручную работу по написанию запросов и построению отчетов. Параллельно появляются агенты, ориентированные на руководящий уровень и операционные процессы, к примеру Advisor Agent в составе Exabeam формирует ежедневные стратегические сводки о состоянии безопасности, покрытию сценариев MITRE ATT&CK и дальнейших рекомендациях.

ИИ-ассистенты и Copilot-системы уже несколько лет являются одним из самых заметных направлений развития технологий для SOC. Первые версии таких ассистентов выполняли ограниченный набор функций, однако за последние годы технологии генеративного ИИ (GenAI), основа, на которой работают ассистенты, прошли значительный путь развития. Новые архитектуры моделей, подходы к обучению и интеграции сделали возможным переход от простых подсказок к интеллектуальному сопровождению аналитиков и автоматизации сложных аналитических задач. Базой для большинства современных Copilot-решений остаются большие языковые модели (LLM), которые обеспечивают понимание естественного языка и генерацию связных, контекстно зависимых ответов. 
Параллельно появились новые направления, расширяющие границы возможностей ИИ-ассистентов. Подход Mixture of Experts (MoE) делает ИИ-ассистентов более эффективными и адаптивными. Вместо одной универсальной модели используется несколько специализированных «экспертов», каждый из которых отвечает за свою область — обработку сетевой телеметрии, анализ логов приложений, работу с инцидентами или объяснение результатов. Следующий этап — это внедрение Language Action Models (LAM), которые развивают идею LLM, добавляя способность не только понимать и генерировать текст, но и выполнять действия — например, автоматически запускать поиск контекста об инциденте, оценить значимость цепочки событий ИБ и выполнить генерацию скриптов реагирования.

Одним из самых перспективных направлений эволюции автопилотов в SOC является активная интеграция агентского ИИ — это позволяет декомпозировать и распараллелить задачи, предоставляя автономным агентам возможность самостоятельно собирать необходимые данные, делать выводы, а затем объединять результаты с другими агентами. Мы уже привели много примеров, как агентный ИИ используется в SOC. Это выводит уровень автоматизации в SOC на новый уровень. И мы ожидаем, что этот тренд будет стремительно развиваться в ближайшие несколько лет.

Фактически мы наблюдаем, как постепенно стираются границы между ИИ-ассистентами, вторыми пилотами и ИИ-агентами. Вторые пилоты обогащаются агентами, и мы получаем новые гибридные форматы таких помощников.

В перспективе 2026 года мы будем наблюдать появление и развитие инструментов для создания ИИ-агентов, то есть агенты будут не только предустановленными вендором, но и управляемыми самими аналитиками. Такие агенты создаются, например, на Python и обращаются к SIEM или единой консоли управления через специализированный MCP Server. Уже сейчас мы видим появление реализаций, к примеру компания Lima Charlie представила механизм AI Agents Engine, который позволяет аналитикам создавать агентов на YAML или Python, которые работают с API и выполняют запросы исторических данных с любого сенсора, извлекают и анализируют данные с помощью LimaCharlie Agent в режиме реального времени или выполняют активные меры по сдерживанию угрозы вроде изоляции конечной точки от сети или остановки процессов. Такие же механизмы создания агентов уже представили Google и Microsoft. По сути, аналитиком пишется небольшой скрипт, в котором задаются общие параметры и добавляется строка с запросом на естественном языке, задача отправляется в центральный узел системы и далее уже распределяется нужному агенту. Появляются и реализации No Code, где по аналогии с построением плейбуков в SOAR в визуальном редакторе создаются agentic workflows, например CrowdStrike недавно представили реализацию Charlotte AI AgentWorks.

Далее рассмотрим подробнее, как продвинулись возможности автоматизации расследования и реагирования на инциденты в контексте применения ИИ-агентов.

Для автоматизации триажа алертов и расследования инцидентов в первую очередь важны полная видимость инфраструктуры, выстроенный менеджмент активов, качество и полнота собираемой телеметрии и интеграция между инструментами SOC. И только при наличии всего этого мы можем накладывать дополнительные инструменты. Все, о чем мы писали ранее в исследовании по автономным SOC — графовое представление инфраструктуры, динамическое построение карты активов и построение цепочек атак, — эти инструменты выступают основой для построения SOC будущего, способного выявлять и останавливать атаки быстрее, чем злоумышленник успеет достичь критические узлы и реализовать недопустимое событие в инфраструктуре.

В последние пару лет с развитием технологий искусственного интеллекта мы наблюдаем тенденцию к переходу от AI-assisted SOC к AI-driven SOC, по сути это движение к автопилоту. В достижении этого перехода перспективным является применение ИИ-агентов.

Уровень автоматизации, который уже стал реальным и будет в ближайшем будущем активно внедряться в жизнь SOC, это применение генеративного ИИ и агентов для автоматического триажа алертов. ИИ-агенты используют Language Action Models (LAM) и специализированные reasoning-модели, которые анализируют события ИБ, собирают контекст инцидента, а затем сопоставляют новые алерты с историческими данными, данными Threat Intelligence, описаниями MITRE, связями между активами. На этой основе они принимают решения о том, является ли цепочка событий ИБ вредоносной или легитимной. Агенты также могут генерировать скрипты реагирования и выполнять действия: например, создать задачу в системе Incident Management, заблокировать учетную запись, сетевые порты или остановить процесс. Встраиваемые технологии рассуждения (reasoning) и дообучения (reinforcement learning или RAG-подход) позволяют агентам самообучаться, запоминать результаты ранее принятых решений и обновлять собственные правила и контекст. По сути, сегодня ИИ-агенты могут вести себя как цифровой SOC-аналитик первого уровня.

Так, например, Exaforce внедрил специализированных агентов — Exabots, которые могут работать в трех режимах: human-led investigations, copilot или autonomous. В основе Exaforce лежат семантические модели данных, статистические ML-модели и модель экспертизы (knowledge model), которые обучены на реальных данных компаний разных размеров. Это позволяет агентам автоматически обрабатывать поступающие алерты, добавлять контекст, группировать алерты по связным событиям и делать выводы об их важности. Еще один вендор, Radiant Security, аналогичным образом сортирует срабатывания на ложные и положительные, а затем для положительных сработок проводит углубленный анализ, включая поиск источника атаки в инфраструктуре, и может автоматически инициировать меры, например блокировку учетных записей, сброс сессий и уведомление пользователей. Radiant Security стремится обеспечить прозрачность ИИ и поэтому демонстрирует всю логику рассуждений модели, что позволяет верифицировать эффективность работы ИИ.

Похожим образом работает MaxPatrol O2: ИИ-агент позволяет автоматически провести расследование инцидента и собрать весь необходимый контекст — процессы, участвующие в анализируемой цепочке событий, учетные записи и привилегии, с которыми запускаются процессы, а также установить последовательность шагов, проделанных для перехода к целевому узлу от точки проникновения в инфраструктуру. На основании этого контекста система затем выносит итоговый вердикт — вредоносна или легитимна выявленная активность.

На сегодняшний день автоматизация работы SOC достигла заметных успехов на уровне L1, где современные платформы способны быстро обрабатывать большинство оповещений и существенно снижать нагрузку на аналитиков. Например, MaxPatrol O2 выявляет реальные инциденты со стопроцентной точностью, совпадая с вердиктами аналитиков SOC, и корректно отсекает 40% ложных срабатываний из числа тех, которые были верифицированы специалистами. Автоматизация задач следующего уровня по расследованию и реагированию активно развивается за счет ИИ-агентов, которые могут собирать контекст об угрозах и предлагать динамические скрипты реагирования. Вместе эти достижения уже сейчас позволяют значительно снизить объем нагрузки на команды мониторинга и реагирования.

В долгосрочной перспективе на три-пять лет направлением развития инструментов в задачах расследования и реагирования на инциденты является мультиагентный подход, когда каждая LLM-модель или ИИ-агент обучен на выполнение узкоспециализированных задач и может самостоятельно обмениваться данными и решениями с другими агентами. Каждый агент — это автономная сущность с собственными целями, контекстом, инструментами и зонами ответственности. Агенты могут работать параллельно или иерархически. Одни модели или агенты подключаются к платформе данных или связанным инструментам в SOC и собирают данные, другие анализируют события и выявляют угрозы, третьи создают и отправляют оповещение аналитикам о том, что требуется реагирование, четвертые динамически генерируют скрипт для response workflow и запускают его. 

Например, платформа Intezer Autonomous SOC включает в себя несколько специализированных агентов под разные задачи: Evidence Collection Agent, Analysis Agent, Correlation and Triage Agent, Response Planner Agent и Remediation Agent. Клиентам нужно только подключить свои источники оповещений с помощью API-ключей, а затем скорректировать результаты, предоставив отзыв в течение одной или двух недель. Платформа имитирует процесс принятия решений людьми-аналитиками SOC —анализирует алерты, отфильтровывает ложные срабатывания и автономно реагирует на инциденты, связанные с конечными точками, учетными записями, сетевыми устройствами и облачной безопасностью.

Автоматизация аналитиков первого уровня — это часть пути, который необходимо пройти, чтобы создать автопилот. Следующим этапом встает задача автоматизации деятельности аналитиков L2 и L3, под этим мы подразумеваем анализ сложных инцидентов, выявление первопричины атаки и полное устранение злоумышленника из инфраструктуры. Такой анализ требует высокого уровня экспертизы от аналитиков, а также подробного изучения всех связанных событий. Между тем мы видим, что появляется отдельное направление автоматизации. Некоторые молодые стартапы пошли в сторону создания отдельного вида AI SOC Analyst, которые собирают и накапливают экспертизу старших аналитиков центров мониторинга, подсматривая за их ежедневными действиями. В качестве примера можно привести платформу Legion, в основе которой лежит браузерный агент, записывающий сессии аналитиков. По мере того как аналитики изучают инциденты, система фиксирует весь процесс расследования, включая анализ данных, предпринятые шаги и принятые решения. Платформа становится живым инструментом, который может быть повторно использован в будущих расследованиях. В результате команды могут постепенно создавать библиотеку агентов, отражающую их знания и стандарты расследования инцидентов. Вместе с тем виртуальные аналитики AI SOC, работающие в формате браузерного расширения, пока являются скорее экспериментальным форматом.

В реальности атакующие оперируют маршрутами атак в инфраструктуре жертвы — все активы в сети взаимосвязаны, и злоумышленник, получив первоначальный доступ на одном из них, начинает свою активность по закреплению и перемещению по пути к цели. Атакующие прокладывают маршрут и ищут уязвимые активы на пути к целевой системе, и с учетом развития технологий и применяемых инструментов они делают это все эффективнее, незаметнее и быстрее. По данным исследования Positive Technologies — CODE RED 2026, в 72% проектов по тестированию на проникновение, проведенных экспертами PT SWARM, маршрут проникновения в корпоративную инфраструктуру включал менее пяти шагов. Более того, каждый пятый (19%) сценарий атаки состоял всего из одного шага. Показательно, что в 44% случаев для захвата максимальных привилегий в домене специалистам PT SWARM было достаточно менее десяти шагов. Поэтому стороне защиты необходимо действовать на опережение и заранее выявлять возможные маршруты атак еще до наступления кибератаки (before attack), а в случае компрометации инфраструктуры быстро обнаруживать и останавливать угрозу до наступления недопустимого события. Граф атак является одним из наиболее перспективных из существующих на сегодняшний день методов, применяемых для прогнозирования вероятных и значимых маршрутов атак и превентивного повышения защищенности ИТ инфраструктуры.

Инструменты проактивной защиты должны развиваться вместе с инструментами мониторинга и расследования инцидентов, и фактически они выступают неотъемлемой и необходимой частью общего процесса выстраивания киберустойчивой инфраструктуры. Сегодня многие команды ИБ задаются вопросами: «На каких активах необходимо исправить уязвимости в первую очередь? Какие компенсирующие меры необходимо принять, включая конфигурации межсетевых экранов, микросегментацию сети, изменение привилегий учетных записей и так далее? Как расставить приоритеты и оценить киберустойчивость инфраструктуры в конкретный момент времени?» Поэтому критически значимым становится внедрение возможностей интеллектуального прогнозирования атак.

Нам снова придется обратиться к графовому представлению инфраструктуры и построению динамической карты активов. Как мы видим, это важно сделать как на этапе «во время атаки», так и на этапе «до атаки», чтобы выявить кратчайшие пути до критических узлов и максимально усложнить кибератаку. Например, Datadog представил Security Graph, который позволяет оценить избыточность привилегий доступа и небезопасные конфигурации на защищаемых активах. Другой вендор Microsoft недавно внедрил Microsoft Sentinel Graph, который отвечает на такие вопросы, как «Что может произойти, если будет взломана конкретная учетная запись пользователя?» или «Каков blast radius скомпрометированного документа?».

В MaxPatrol Carbon реализована технология моделирования угроз — PT Threat Modeling Engine, в основе которой лежит граф атак (граф TME), — цифровая модель инфраструктуры с точки зрения атакующего. Она строится на основе данных сетевой достижимости, учитывает настройки программного обеспечения, уязвимости и права пользователей, а также возможные действия злоумышленников по захвату активов и перемещению между ними. С учетом большого количества данных, граф получается огромных размеров, и для поиска и расчета маршрутов атак на нем применяется метод Монте-Карло, в основе которого лежит построение цепей Маркова. В конечном итоге построенные цепи Маркова соответствуют возможным сценариям атак. На основе анализа опасности этих маршрутов появляется возможность наиболее эффективно приоритизировать задачи превентивной нейтрализации потенциальных путей атак и повысить тем самым уровень защищенности целевых систем. Операторам остается только задать в системе, какие узлы необходимо считать критически значимыми и к которым нельзя допустить атакующего.

Граф TME не пытается построить полное число существующих маршрутов в инфраструктуре, на практике это ресурсоемко и неэффективно. Гораздо важнее определить репрезентативное множество маршрутов, которое позволит оценить вероятность прохождения атакующего через узлы инфраструктуры. Кроме того, важно определить кратчайшие пути на графе, поскольку именно они представляют собой наиболее опасные пути движения к целевым системам.

Анализ путей атак (Attack Path Management) предоставляет организациям ценную возможность прогнозировать варианты развития атак и предупреждать их заранее, лишая хакера возможностей быстро и незаметно добраться до цели. Такой подход позволяет не только своевременно принимать меры для повышения киберустойчивости инфраструктуры, но и объективно оценивать текущий уровень защищенности, выявлять уязвимости и другие источники угроз.

Обстоятельства, в которых компаниям приходится защищать свои информационные активы, стремительно меняются. За последний год характер кибератак претерпел существенные изменения: злоумышленники действуют быстрее, агрессивнее используют автоматизацию и искусственный интеллект. Центрам мониторинга приходится адаптироваться под новые условия: растет число сервисов и компонентов в инфраструктуре, объем собираемых логов и трафика исчисляется терабайтами в сутки, а скорость анализа приближается к режиму реального времени.
Технологии становятся ключевым фактором адаптации SOC к этим вызовам. Автоматизация и платформенные подходы радикально меняют принципы построения SOC. То, что вчера было нормой — ручной триаж, разрозненные системы и зависимость от компетенций конкретных специалистов, — сегодня уступает место новым возможностям и задачам.

Изменения начинаются с ключевой фигуры — аналитика SOC. Сегодня меняется его роль и зона ответственности. Первичный триаж алертов может быть передан ИИ, который способен автоматически отфильтровывать ложные срабатывания и выделять действительно значимые события. Это снижает нагрузку на команды и позволяет аналитикам сосредоточиться на анализе инцидентов и проактивных задачах.

ИИ-ассистенты становятся повседневным инструментом SOC-аналитиков. Они объясняют QL-запросы, помогают извлекать нужные данные по запросам на естественном языке, выявляют тренды и закономерности в больших объемах данных. Алгоритмы машинного обучения способны находить аномалии в поведении пользователей, процессов, сетевого трафика и файловой активности, а агентный ИИ — собирать контекст инцидента и представлять полную картину атаки. Все это снижает долю ручных операций и дает специалистам возможность сосредоточиться на стратегических задачах.

Роль SOC-аналитика L1 не исчезает, но меняется ее содержание. Если раньше основная часть времени уходила на сбор контекста и восстановление последовательности событий ИБ, а также монотонный ручной труд по фильтрации ложноположительных срабатываний, то теперь акцент смещается на стратегическое развитие и Threat Hunting. SOC становится все более автоматизированным, нагрузка на аналитиков снижается, что освобождает время и ресурсы для комплексного развития специалистов. Формируется новый стек требований к навыкам и знаниям аналитиков SOC — умение формулировать запросы и инструкции к генеративному ИИ, оценка и интерпретация результатов работы ИИ, создание сложных аналитических запросов к разнородным данным и другие. Исследование SANS SOC Survey 2025 подтверждает эти тенденции: по результатам проведенного опроса осмысленность работы и возможности профессионального роста стали важнее размера заработной платы.

SOC будущего — это не набор разрозненных инструментов, а единая платформа обработки данных безопасности. Ключевая идея — полная совместимость и нативная интеграция между компонентами, которая выражается в создании комплексных платформ, чьи функциональные возможности покрывают весь цикл TDIR (Threat Detection, Investigation & Response). Для того чтобы обеспечить интеграцию различных источников данных и средств защиты, важно поддерживать открытые протоколы и форматы хранения на всех уровнях. Это в свою очередь решает проблему vendor lock-in, когда инструменты SOC, такие как SIEM, NTA/NDR, EDR и другие, перестают быть совместимы только в рамках экосистемы одного вендора, но становятся открыты к взаимодействию со сторонними решениями. Централизованное хранилище всех данных безопасности на базе платформ Data Lakehouse разгружает основные ИБ-системы и решает проблему долговременного хранения, а объединение информации из разных сенсоров открывает новые возможности для глубокого анализа и проактивной защиты.

В современных условиях центрам мониторинга необходимо обрабатывать колоссальные объемы телеметрии, обеспечивая при этом высокую производительность и отказоустойчивость систем. Эти требования формируют устойчивый тренд на переход к облачным решениям. SIEM и другие ключевые компоненты SOC все чаще создаются по cloud-native-архитектуре: они разворачиваются в облаке, легко масштабируются, поддерживают высокую доступность и гибкость конфигурации.

Эффективность таких решений напрямую зависит от качества интеграции между продуктами и сервисами. Для ее обеспечения необходим единый процесс развертывания и управления инфраструктурой. Важными элементами становятся легковесные агенты, сквозные политики безопасности, централизованный мониторинг и возможность тонкой настройки платформы под потребности организации. Это также означает переход к модели «единого окна» управления инцидентами — когда все инструменты и процессы SOC объединены в общей платформе, обеспечивающей прозрачность, согласованность и ускорение реагирования.

Обеспечение киберустойчивости инфраструктуры компании должно обеспечиваться задолго до момента атаки. Согласно исследованию Positive Technologies, в проектах по расследованию инцидентов в 2024 году наиболее частыми причинами успешных атак были использование устаревших версий ОС и ПО (47% проектов), отсутствие двухфакторной аутентификации (41%) и недостаточная сегментация сети (38%). Эти проблемы часто возникают из-за отсутствия полной видимости инфраструктуры и неэффективной приоритизации задач защиты. 

Для снижения рисков компании переходят к концепции Shift Left Security, когда угрозы предотвращаются на ранних этапах, а взаимодействие между командами администрирования инфраструктуры, обеспечения информационной безопасности и мониторинга киберугроз становится непрерывным. В этом контексте все больше внимания уделяется динамическому моделированию многоэтапных атак — подходу, который позволяет выявить возможные маршруты атак до их реализации. Такой анализ помогает рационально распределять ресурсы и фокусироваться на тех мерах защиты, которые дают максимальный эффект, следуя принципу Fix less — secure more.

При этом важно, чтобы модели атак обновлялись вместе с изменениями инфраструктуры. Это достигается за счет постоянной верификации маршрутов атак — через тесты на проникновение, кибериспытания, программы Bug Bounty или автоматизированные пентесты. Последние, например с помощью PT Dephaze, позволяют регулярно проверять безопасность конфигураций, полноту логирования и эффективность средств защиты. Таким образом, SOC получает инструмент для оценки реальной киберустойчивости компании, а также возможность подтверждать эффективность своих процессов.

Технологии искусственного интеллекта открывают перед центрами мониторинга новые горизонты возможностей, однако они все же имеют свои ограничения. Одной из ключевых проблем остаются галлюцинации моделей — случаи, когда ИИ генерирует недостоверные или вымышленные данные. Для борьбы с этим создаются методы, направленные на повышение точности ответа и уменьшение ошибок, например дообучение моделей с помощью метода RAG. 

Не менее важен вопрос качества и состава обучающих данных: чтобы ИИ мог выявлять не только известные, но и ранее неизвестные угрозы, необходимо сформировать корректную и постоянно обновляемую базу знаний, а также применять соответствующие ML-алгоритмы к тем задачам, которые не может решить генеративный ИИ. При этом важно четко определить, где заканчиваются полномочия ИИ и начинается ответственность человека. Поэтому трендом будущего становится объяснимость и доказательность ИИ, где с помощью конкретных подходов можно измерить точность и достоверность выводов ИИ-решения. 

Отдельного внимания заслуживают вопросы безопасности самого ИИ. Уже сегодня исследователи фиксируют специализированные атаки на ИИ-агентов, такие как Indirect Prompt Injection via Log Files, Bypassing AI Agent Defenses With Lies-in-the-Loop, Parallel Poisoned Web Only for AI Agents и другие. В перспективе ожидается появление и новых векторов атак, в частности на MCP-серверы, которые фактически становятся стандартом взаимодействия для агентных ИИ-систем. Это говорит о необходимости внимания к уровню защищенности разрабатываемых решений для SOC, где безопасность ИИ ставится на приоритетное место.

До недавнего времени генеративный ИИ применялся в основном для повышения эффективности существующих кибератак, а не создания принципиально новых угроз. Однако ситуация меняется: внедрение агентных ИИ-моделей, способных самостоятельно планировать, рассуждать и использовать инструменты, может кардинально трансформировать ландшафт угроз. Появление таких моделей знаменует собой переход от «помощников» к ИИ-коллегам, которые способны решать задачи без участия человека. Это требует от специалистов по безопасности переосмысления стратегий защиты и активного использования AI-driven-подходов к обнаружению и предотвращению угроз. Cогласно исследованию SOC Maturity Report 2025, 41% компаний планируют внедрить ИИ для автоматизации SOC в течение ближайшего года. Это показывает, что рынок переходит из стадии экспериментов в фазу осознанной трансформации, где искусственный интеллект становится не дополнением, а центральным элементом архитектуры SOC нового поколения.