Ежегодная статистика демонстрирует стремительный рост инцидентов информационной безопасности (далее – ИБ), в том числе это связано с повсеместным развитием технологий искусственного интеллекта. В таких условиях все больше компаний стремятся автоматизировать процессы, в том числе коммуникацию, связанную с реагированием на инциденты. В текущих реалиях одним из наиболее перспективных сервисов становятся чат-боты.
В контексте ИБ современные чат-боты можно условно разделить на две группы:
- сценарные чат-агенты, работающие на основе фиксированных сценариев, скриптов;
- интеллектуальные чат-агенты на базе LLM (Large Language Models – крупные языковые модели), обладающим пониманием контекста и способностью к обучению.
Обе категории чат-ботов предназначены для решения задач разных типов – от простого к сложному. Сценарные чат-боты довольно просты в настройке, надежны в работе и способны помочь в автоматизации рутинных задач и значительно сократить время реагирования на инциденты ИБ. Они обычно интегрируются с корпоративными мессенджерами (например, Teams), почтой и системами обработки обращений (например, Jira), выполняя следующие функции:
- создание тикетов при наступлении событий ИБ;
- автоматическое назначение ответственных;
- оповещение о статусах инцидента;
- рассылка уведомлений для участников процесса реагирования;
- информирование об иных вопросах, касающихся ИБ (например, информация о дежурных сменах ИБ).
Кроме того, подобные чат-боты используются в качестве части коммуникационного интерфейса к IRP (IncidentResponsePlatform – платформа реагирования на инциденты)или SOAR(SecurityOrchestration, AutomationandResponse – платформа оркестрации, автоматизации и реагирования)платформам, позволяя ускорить реагирование на инциденты ИБ и снизить количество действий, которые раньше приходилось выполнять вручную, например, автоматическую блокировку подозрительных IP-адресов, изоляцию зараженных устройств или запуск сканирования.
С появлением больших языковых моделей (например, GPT, GigaChat) стали возможны чат-боты, способные решать более сложные задачи. В частности, они могут быть встроены в систему через RAG (Retrieval-Augmented Generation– генерация с дополнением извлеченной информацией), что позволяет проводить анализ внутренней документации или данных из SIEM-систем и генерировать контекстно-точные ответы. Потенциально такие агенты могут стать цифровым аналитиком ИБ и связующим звеном между кросс-функциональными командами ИБ и бизнесом. Таким образом, интеллектуальные чат-боты берут на себя выполнение следующих функций:
- анализировать контекст тревоги или лог-файлы систем;
- составить план реагирования на инциденты в зависимости от их типа;
- давать пояснения как для специалистов ИБ и администраторов систем, так и для рядовых сотрудников без технической подготовки;
- формировать отчеты об инцидентах;
- работать в качестве справочной системы.
Не смотря на все плюсы, существуют также определенные риски при использовании чат-агентов, которые необходимо учесть и принять упреждающие меры для их митигации. Основным риском является утечка данных. В случае, если чат-бот подключен к внешнему источнику LLM (например, через облако), а внутри организации он имеет доступ к конфиденциальным данным, существует угроза их утечки. Особенно опасно это при работе с чувствительной информацией об инцидентах, уязвимостях и внутренней инфраструктуре. Следующий немаловажный риск, это ошибки или галлюцинации. Языковые модели часто могут «галлюцинировать» – ошибочно интерпретировать информацию, лог-файлы, додумывать факты или путать команды. Такие явления могут быть чрезвычайно опасны в контексте реагирования на инциденты, где важна скорость и точность. В зоне риска недостаточный контроль чат-бота, что ведет к выполнению действий без верификации, например, запуск команд или рассылка сообщений с высокой степенью важности. В таком случае, агент может принести больше вреда, чем пользы.
Если компания имеет потребность в автоматизации процессов коммуникации при реагировании на инциденты ИБ, рекомендуется двигаться постепенно, небольшими шагами. Можно начать с классических сценариев: автоматизировать создание заявок и рассылки уведомлений. К тому же настроить сценарного чат-агента довольно просто. Переходить к интеллектуальным чат-ботам стоит с осторожностью. Попробуйте использовать их для решения задач обучения сотрудников процессу реагирования, анализа событий и генерации отчетов, однако не стоит доверять им права на запуск команд или выполнения других критичных действий без дополнительной верификации. Помните, что все действия чат-ботов должны логироваться.
Необходимо регулярно использовать эти данные для анализа и уточнения сценариев реагирования. В случае, если безопасность сверхкритична, используйте локальные модели. Важный момент – это контроль безопасности, уделите внимание процессам аутентификации, правам доступа, контролем за журналированием и содержанием логов. Наконец, следует напомнить, что чат-боты не способны на данным этапе развития заменить квалифицированных ИБ-специалистов, инженеров и аналитиков. Вера в «интеллект» чат-ботов и легкомысленное следование их инструкциям могут привести к потере контроля над ситуацией. Роль чат-ботов – это поддержка и автоматизация, а не принятие стратегических решений.
Автор: Юлия Сонина, Старший аналитик АЦ.
Оригинал публикации на сайте CISOCLUB: "Использование чат-ботов для автоматизации коммуникации при инцидентах ИБ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
