Ще кілька років тому про штучний інтелект у кібербезпеці говорили радше теоретично. Зараз це вже звичайний робочий інструмент, яким користуються щодня. Його підключають там, де потрібно швидше зібрати інформацію, розібратися в коді або не проґавити нестандартну поведінку в системі. У багатьох випадках AI просто економить час і знімає ручну рутину.
У цій статті зібрані різні підходи – від експериментальних рішень до інструментів, які вже використовують у реальних проєктах. Частина з них підходить для пентестів і red team-задач, інші – для аналізу подій і захисту інфраструктури. Це не огляд «майбутніх технологій», а підбірка того, що вже працює на практиці й реально допомагає в роботі.
Рішення від Palo Alto Networks, яке дивиться на поведінку, а не лише на сигнатури. Платформа аналізує дії в системі й помічає те, що важко впіймати класичними засобами: безфайлові атаки, дивні ланцюжки подій, підозрілу роботу з обліковими даними. Найчастіше використовується в великих середовищах, де важлива загальна картина, а не окремі інциденти.
AutoSploit поєднує Shodan і Metasploit, а з доопрацюваннями може працювати ще розумніше. За допомогою ШІ його налаштовують так, щоб він сам визначав, які цілі виглядають цікавішими, і підбирав відповідні сценарії. Частіше використовується для досліджень і лабораторних середовищ, ніж у реальних мережах.
BloodHound давно знайомий тим, хто працює з Active Directory. Але з появою AI-елементів він став ще кориснішим. ШІ допомагає швидше знаходити нестандартні шляхи ескалації привілеїв і складні ланцюжки доступу, які важко помітити при ручному аналізі графів.
У складі Elastic Stack є модулі безпеки, які вміють працювати з машинним навчанням. Вони аналізують логи й підсвічують аномалії: дивні входи вночі, спроби брутфорсу, нетипові дії з даними. Головна перевага – гнучкість. Все можна підлаштувати під своє середовище, а не працювати «за шаблоном».
Цей інструмент корисний, коли є відчуття, що в мережі «щось не так», але явних ознак немає. AI-Hunter добре ловить тихі речі – маячки, повільний латеральний рух, нестандартний трафік. Його часто використовують як доповнення до класичного захисту, бо він бачить те, що зазвичай проходить повз брандмауери.
Це AI-помічник для фахівців з безпеки, інтегрований у екосистему Microsoft. Він допомагає швидше розбирати сповіщення, узагальнювати журнали та формувати запити або правила виявлення. По суті, це інструмент, який знімає частину рутини з аналітиків під час роботи з інцидентами.
