Бот, который отказался блокировать Red Team

Значимый прорыв формирует отрасль ИИ: VGrishkin 17 минут назад Бот, который отказался блокировать Red Team Средний 7 мин 598 Информационная безопасность * Искусственный интеллект Кейс История о том, как я строил SOAR и неожиданно получил урок про доверие к AI. AI Innovation Lab — серия практических кейсов о том, как AI становится частью операционной модели корпоративной ИТ и информационной безопасности. Первая глава — здесь.

Система мониторинга безопасности фиксирует: 50 неудачных попыток входа на контроллер домена за 90 секунд. Атакующий перебирает пароли к учётной записи администратора. Ты — дежурный SOC-аналитик.

Технические детали

Инструкция понятная: подтвердить, что это реальная угроза, потом позвонить сисадмину чтобы заблокировал атакующего на файрволе. Проверка занимает 3 минуты. Смотришь кто этот IP в глобальных базах угроз.

Строишь таймлайн на хосте. Убеждаешься, что это не тест. Сисадмин не берёт трубку.

Создаёшь тикет с пометкой «СРОЧНО: заблокировать атакующего». Атакующий уже на 200-й попытке. Сисадмин открывает консоль файрвола, вводит правило, нажимает Enter.

Отраслевые последствия

От начала атаки до блокировки — 15 минут. За это время — около 3000 попыток. Если хотя бы одна совпала с паролем из утёкшей базы — атакующий внутри.

Это тот самый зазор, из-за которого корпорации теряют миллиарды. Не потому, что защиты нет. Не потому, что аналитик некомпетентен.

А потому, что люди физически не успевают среагировать. Именно для сокращения этого зазора и существует класс программных решений для оркестрации (координации), автоматизации и реагирования в сфере информационной безопасности. SOAR — Security Orchestration, Automation, Response.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.