Использование (ИИ) в антивирусных программах: каким образом нейронные сети трансформируют защиту от киберугроз.

Десятилетие назад системы защиты сталкивались с необходимостью реагировать на сотни тысяч новых вредоносных программ ежемесячно. В настоящее время эксперты AV-TEST регистрируют свыше 450 000 новых образцов вредоносного ПО ежедневно. Это подобно попытке просеять вручную весь песок на огромном пляже – традиционные сигнатурные методы уже не справляются с таким объемом данных.

Современные атаки характеризуются кратковременностью, вирусы быстро изменяются, а киберпреступники активно используют инструменты автоматической генерации кода. Для эффективной борьбы с этим потоком угроз в антивирусные программы интегрирован искусственный интеллект – специально обученные алгоритмы, способные идентифицировать угрозы не по их сигнатурам, а по характеру действий.

Современная обстановка в области кибербезопасности диктует необходимость применения гибких и оперативных решений: организованные хакерские группы создают уникальные версии вредоносного ПО для каждой отдельной цели, генерируя миллионы различных комбинаций кода. Согласно информации, предоставленной исследовательским центром Fortinet FortiGuard Labs, время между обнаружением уязвимости и началом ее масштабного использования сократилось с нескольких недель до нескольких часов.

Почему традиционные подходы к информационной безопасности теряют свою эффективность.

Принцип работы классического антивируса аналогичен действиям сотрудника правоохранительных органов, использующего фоторобот: обнаружив файл, он сопоставляет его с имеющейся базой известных угроз (сигнатур) и, при совпадении, блокирует. Однако злоумышленники постоянно совершенствуют свои методы, маскируя вредоносный код посредством шифрования, упаковки и разделения на фрагменты. Каждая новая версия вредоносного ПО может не отличаться по функциональности, но иметь уникальную сигнатуру. Это приводит к следующим проблемам:

Размер баз сигнатур стремительно увеличивается, достигая гигабайтных объемов, и требует более частых обновлений.

Новые вирусы успевают нанести ущерб в течение нескольких часов до выхода соответствующих обновлений.

Команды SOC в корпоративном секторе сталкиваются с ростом количества инцидентов, требующих ручной обработки.

У традиционной эвристики также есть недостатки. Опытные злоумышленники научились обходить стандартные проверки, откладывая вредоносную активность или активируя ее только при определенных условиях. Полиморфизм позволяет вредоносному ПО изменять свой код при каждой установке, сохраняя функциональность, но при этом полностью меняя цифровой отпечаток. Специализированные инструменты, такие как Shellter или Veil-Evasion, автоматизируют процесс обхода сигнатурных механизмов, делая его доступным даже для киберпреступников с базовыми техническими знаниями.

Статистика инцидентов информационной безопасности показывает, что среднее время между проникновением в систему и обнаружением вторжения (dwell time) для организаций, использующих традиционные методы защиты, составляет примерно 280 дней. За этот период злоумышленники успевают получить доступ к конфиденциальным данным, установить бэкдоры и подготовить крупномасштабную атаку.

Что скрывается за аббревиатурами EDR, XDR и другими?

EDR (Endpoint Detection & Response) – это система, устанавливаемая на конечные точки (ноутбуки, серверы) для мониторинга действий программ и пользователей с целью обнаружения отклонений от нормы. XDR (Extended Detection & Response) расширяет возможности EDR, охватывая сетевую инфраструктуру, облачные сервисы и электронную почту, для формирования целостного представления о событиях.

В основе анализа данных в EDR и XDR лежат модели машинного обучения (ML). Они не ограничиваются поиском известных угроз, а оценивают поведенческие характеристики: последовательности команд, необычные системные вызовы, внезапные всплески сетевой активности. Это позволяет обнаруживать даже новейшие вредоносные программы, отсутствующие в базах сигнатур.

Современная ситуация в области кибербезопасности обусловила появление новых важных инструментов. NDR (Network Detection & Response) специализируется на анализе сетевого трафика, выявляя подозрительные соединения и попытки злоумышленников перемещаться между узлами сети. MDR (Managed Detection & Response) сочетает технологические решения с опытом экспертов – команда аналитиков постоянно отслеживает оповещения и оперативно реагирует на инциденты.

Особую роль играют SOAR-системы (Security Orchestration, Automation and Response), автоматизирующие стандартные процедуры реагирования на инциденты. Например, при обнаружении подозрительного IP-адреса система может автоматически создать правило блокировки, уведомить администраторов и запустить дополнительное сканирование затронутых систем, что занимает всего несколько секунд.

Как ИИ «обитает» в антивирусной программе.

Для понимания работы защитного решения разделим ее на три уровня, каждый с собственным модулем ИИ:

Анализ статики. Еще до запуска файла система изучает его структуру, заголовки и особенности кода разработчика. При обнаружении подозрительных элементов – блокировка.

Анализ поведения. После запуска программы ИИ следит за ее действиями: какие процессы запускаются, какие изменения вносятся в реестр. Обнаружение последовательности cmd → PowerShell → шифрование – сигнал тревоги.

Лингвистическая модель (LLM). После предупреждения LLM анализирует ситуацию, формирует описание инцидента на понятном языке и предлагает варианты действий. Это значительно экономит время аналитика.

Рассмотрим глубже эти уровни. На этапе статического анализа нейросети обрабатывают множество характеристик файла: энтропию, наличие определенных строк в коде, структуру PE-заголовка, таблицу импорта функций и т.д. Модели, такие как Random Forest или XGBoost, сравнивают эти параметры с миллионами предыдущих образцов, оценивая вероятность угрозы.

В поведенческом анализе используются передовые методы глубокого обучения. Рекуррентные нейросети (RNN), включая LSTM и GRU, отслеживают последовательность действий в системе, выявляя необычные цепочки событий, даже если они не соответствуют известным атакам. К примеру, алгоритм может заметить, что программа открывает множество файлов определенного типа, изменяет их содержание и расширение – характерный признак программ-вымогателей.

Лингвистические модели, применяемые в современных системах защиты, обычно представляют собой специализированные версии коммерческих LLM, адаптированные для задач кибербезопасности. Они не только переводят техническую информацию на доступный язык, но и дополняют уведомления данными из внешних источников: баз знаний MITRE ATT&CK, отчетов CERT и аналитики от поставщиков.

Какова цена “интеллекта” и его ценность для бизнеса?

По прогнозам The Business Research Company, к 2025 году объем рынка систем кибербезопасности на основе ИИ достигнет 30,8 миллиарда долларов. Компании инвестируют в это не просто из-за тренда: переход на ИИ позволяет сократить среднее время выявления угроз с нескольких дней до считанных минут, уменьшить количество ложных срабатываний примерно на треть и облегчить работу SOC-команд.

Финансовая сторона внедрения ИИ в кибербезопасность не ограничивается стоимостью лицензий. Согласно оценкам IBM Security, средняя утечка данных обходится компании в 4,35 миллиона долларов. Однако, организации, активно применяющие автоматизацию и ИИ в этой области, снижают эти затраты в среднем на 65%. Ускорение обнаружения инцидентов и реагирования на них напрямую ведет к уменьшению ущерба, а сокращение ложных срабатываний позволяет оптимизировать ресурсы отдела безопасности.

Передовые компании внедряют ИИ-решения, ориентируясь на долгосрочные выгоды. Исследование Ponemon Institute показывает, что компании, вложившие средства в интеллектуальные антивирусные программы, отмечают снижение среднего времени восстановления после инцидентов (MTTR) на 78% по сравнению с традиционными средствами защиты. Это особенно важно в ситуации, когда каждая минута задержки при атаке шифровальщика увеличивает итоговые финансовые потери.

Действующие решения: что актуально к 2025 году

SentinelOne Singularity с Purple AI

На конференции RSA в апреле 2025 года SentinelOne презентовала Purple AI Athena, систему, которая автоматически фильтрует предупреждения, анализирует инциденты и, при необходимости, возвращает систему к исходному, безопасному состоянию. В демонстрации, выявление и локализация тестового шифровальщика заняла всего 87 секунд, без какого-либо участия человека.

Платформа Singularity основана на многоуровневой архитектуре нейросетей, ежедневно обрабатывающих свыше 20 терабайт телеметрических данных. Ключевой особенностью Purple AI является механизм мультимодального анализа, который объединяет текстовые, бинарные и поведенческие данные в унифицированном векторном пространстве. Специализированные модели, разработанные для конкретных типов атак, функционируют параллельно, что обеспечивает высокую точность классификации угроз. Благодаря интеграции с облачными системами защиты, атаки блокируются на границе сети, прежде чем вредоносное ПО достигнет конечных устройств.

CrowdStrike Falcon, усиленный Charlotte AI, теперь автоматизирует изоляцию устройств, анализирует журналы сторонних систем и расставляет приоритеты для задач центра SOC. По заявлению разработчика, это уменьшает время, затрачиваемое на расследование, на 44%, значительно облегчая нагрузку на аналитиков в повседневных операциях.

Falcon построен на облачной платформе, которая обрабатывает свыше триллиона сигналов ежедневно. Charlotte AI использует современную технологию трансформеров с дополнительным уровнем проверки, минимизируя вероятность ошибок при автоматической реакции. Также присутствует интерактивный режим обратной связи, в котором система обучается на действиях экспертов, постепенно расширяя диапазон автоматизированных процессов.

Falcon Identity Protection углубленно изучает потоки аутентификации, идентифицируя аномальную активность учетных записей, основываясь на предыдущих моделях поведения. В 2025 году CrowdStrike расширила функциональность сервиса возможностью автоматического устранения уязвимостей, теперь он самостоятельно оценивает риски, связанные с патчами, и определяет наиболее подходящий момент для их развертывания.

Microsoft Defender XDR с Copilot Security: Новая Эра в Киберзащите

Microsoft интегрировала компоненты защиты своей экосистемы в унифицированную платформу, управляемую интеллектуальным помощником Copilot Security. Этот инструмент анализирует потоки данных между облачными сервисами Microsoft 365, локальными сетями и устройствами пользователей, создавая автоматические карты атак и предлагая оптимальные стратегии защиты.

Copilot Security служит как интерфейсом для взаимодействия специалистов по безопасности, так и автономным аналитиком, способным проводить независимые исследования. В отличие от других решений, Microsoft акцентирует внимание на глубокой интеграции со своими сервисами, такими как Exchange Online, SharePoint и Azure Active Directory. Это обеспечивает возможность обнаружения угроз на начальных этапах, например, при взломе учетных записей или фишинговых атаках.

Ключевым нововведением является функция автоматизированного поиска угроз (Automated Threat Hunting). Система активно сканирует среду на предмет признаков компрометации, используя актуальную базу данных о тактиках и методах злоумышленников. Согласно исследованию Forrester, пользователи Microsoft Defender XDR с включенным Copilot Security добились снижения успешных атак на 83% и уменьшили затраты на расследование инцидентов на 68%.

Преимущества, активно продвигаемые маркетологами:

Высокая оперативность. В отличие от ручного изучения логов, ИИ способен практически моментально выявлять отклонения от нормы.

Возможность расширения. По мере увеличения объема обрабатываемой информации, точность прогнозов модели возрастает благодаря эффекту “машинного обучения”.

Сокращение монотонной работы. Вместо утомительного просмотра бесконечных перечней событий, SOC-аналитикам предоставляется готовая сводка.

Превентивная оборона. Системы, базирующиеся на ИИ, обладают способностью прогнозировать вероятные направления атак, позволяя действовать на опережение.

Гибкость в настройке. Алгоритмы адаптируются к конкретной инфраструктуре предприятия, принимая во внимание уникальные особенности и бизнес-процессы.

Централизованное управление. Объединение информации из разрозненных систем безопасности в единую, комплексную картину угроз.

Недостатки, которые нельзя упускать из виду

Чем более сложна нейросеть, тем сложнее понять, как она принимает решения. Это создаёт определённые риски:

«Непрозрачность». Решения, логика которых не до конца понятна даже разработчикам, могут вызывать недоверие.

Отравление данных. Внедрение вредоносных данных в процесс обучения может привести к тому, что модель начнёт игнорировать реальные угрозы.

ИИ в руках злоумышленников. Преступники используют генеративные модели для автоматизации фишинга, выявления слабых мест в защите и обхода систем обнаружения.

Высокие требования к ресурсам. Для работы полноценных ИИ-систем необходимы значительные вычислительные мощности, что может быть недоступно для небольших компаний.

Привязка к поставщику. Использование SaaS-решений создаёт зависимость от облачной инфраструктуры вендора и риски при прекращении сотрудничества.

Предвзятость в обучении. Неполнота данных для обучения может привести к игнорированию определённых видов атак или, наоборот, к избыточному количеству ложных срабатываний.

Вопросы конфиденциальности. Передача телеметрических данных в облако для обеспечения работы ИИ может противоречить требованиям регуляторов в некоторых сферах.

Тенденции развития технологий указывают на усиление роли искусственного интеллекта в кибербезопасности.

Прогнозируется распространение автономных киберсражений, где ИИ для обнаружения угроз и вредоносные ИИ будут мгновенно противостоять друг другу, а человеку будет предоставляться только отчет о результатах. Для поддержания безопасности в этой сфере вендоры сосредотачиваются на трех ключевых направлениях:

Разъясняемый ИИ (XAI). Модели будут демонстрировать логику своей работы, используя понятные правила и визуализации.

Защищенное обучение. Алгоритмы, критически важные для безопасности, будут обучаться в изолированных средах с использованием проверенных данных, что снизит риск преднамеренного искажения обучающих данных злоумышленниками. Это обеспечит стабильность и надежность защитных механизмов даже при попытках манипуляций.

Интеллектуальные ассистенты для команд SOC. Современные голосовые и текстовые помощники будут поддерживать специалистов по безопасности на всех этапах работы, от выявления угрозы до полного устранения последствий. Они будут автоматически документировать инциденты и предлагать оптимальные решения на основе мирового опыта.

Активно изучается применение квантовых технологий в кибербезопасности. Эти вычислительные системы способны быстро обрабатывать огромные объемы данных и обнаруживать незаметные аномалии. Некоторые производители уже экспериментируют с гибридными решениями, сочетающими классические компьютеры с квантовыми ускорителями, что открывает новые возможности для машинного обучения.

Широкое распространение получает федеративное обучение, при котором ИИ-модели обучаются одновременно на множестве устройств, не передавая конфиденциальные данные в единый центр. Это позволяет сочетать защиту личной информации и высокую точность обнаружения угроз благодаря разнообразию данных.

В ближайшие годы стандартом, вероятно, станут мультимодальные системы, способные одновременно анализировать текст, код, сетевой трафик и графические элементы.

Советы для организаций по внедрению “умных” антивирусов

Прежде чем приобрести “интеллектуальный” антивирус, задайте поставщику (скорее всего, разработчику) три ключевых вопроса:

Как происходит обучение модели и где размещаются данные? Обратите внимание на упоминания о локальном хранении или “доверенных облаках”.

Предусмотрена ли в решении функция объяснения принимаемых решений? Прозрачность критически важна для расследований и соблюдения нормативных требований.

Какие показатели производительности предоставляет поставщик: уровень ложных срабатываний, среднее время обнаружения угрозы (MTTD), время реагирования (MTTR)? Сопоставьте их с результатами независимых исследований, например, отчётами AV-Comparatives или AV-TEST.

При внедрении ИИ в корпоративную инфраструктуру рекомендуется начинать с комбинированного подхода, поддерживая работоспособность традиционных систем как резервного механизма контроля. Постепенный переход позволит снизить риски и оценить практическую эффективность новых инструментов в реальных условиях.

Первостепенное значение имеет интеграция с существующими процессами кибербезопасности. ИИ-система должна органично интегрироваться в общую стратегию защиты компании, охватывая процессы управления инцидентами, контроля доступа и реагирования на нештатные ситуации.

Необходимо уделить внимание обучению сотрудников. Специалисты по информационной безопасности должны понимать принципы работы ИИ-инструментов, критически оценивать их результаты и эффективно взаимодействовать с интеллектуальными системами. Современные решения призваны расширить возможности команды безопасности, а не заменить экспертов.