Итак, сперва немного про кибербез, а потом как его вместе с АИ есть

В целом бытует мнение, что в киберсеке АИ в целом представлен недостаточно. На многих вебинарах, будь то от краудстрайка или сентинеля ван можно услышать данный тезис. И правда, тот же классический МЛ существует десятилетиями как фундамент, но компании зачастую не кричали об этом на каждом углу - не было хайпа, хоть и можно было увидеть в доЛЛМ эпоху у кого-то из аналитиков кустарные поделки для частного пользования, например для анализа сетевого траффика. Также я не углублялся в мир антивирусов, поэтому за их подкапот ничего не скажу. И мне кажется так и было до 2024-2025, когда настала эпоха агентов и осторожное киберкек коммунити присмотрелись к ЛЛМкам и агентированию и вот сейчас можно наблюдать рассвет с немалым количеством фреймворков для пентеста, всякого рода ллм-детектов и даже CTF (capture the flag) соревнований, и даже уже появились вирусы использующие ллм или ллм инфраструктуру жертвы (и офигительная тема - мисэлайнмент). Однако, мой домен уже чем весь киберкекс - сендбоксы. Даю вводную.

Что такое сэндбокс?
Если вкратце - это виртуальные машины для юзеров и SOC аналитиков где можно безопасно "сдетонировать" и пощупать подозрительный файл или письмо на предмет вредоносности, а сендбокс (и вся подкапотная магия) уже скажет свой вердикт - что за малваря/фиш, какой процесс/цепочка процессов его запускает, какие домены/цепочка редиректов, их семейство и т.д. Короче, когда приходит письмо "подпишите премию" - не стоит сразу кликать на "открыть документ" и авторизироваться в микрософте, сперва секурнее проверить в сендбоксе, чтоб потом не идти к девопсам с повинной или что еще хуже делать ошибку вида "да кому нужны мои данные". В среднем от момента утечки данных до проникновения в контур около 40мин, так что если уж опростоволосились - не думаем идти ли рассказывать, а сразу идём.

~~"Да кому нужны наши данные!"~~ Почему это важно?
В целом мы сейчас говорим о корпорациях, ваши данные как личности мошенникам тоже нужны, но копрораты и копр.акк вкуснее значительно. Возможность запустить рансомварину в крупной компании и затем требовать выкуп за дешифровку датки (у крупных игроков дешифратор даже действительно работает) - самая вкуснятина для мошенников, в зависимости от компании выкупы могут быть и 200 и 400млн баксов.
Порою, например как в случае с KNP Logistics Group (основана в 1865, 700+ сотрудников, 7 депо складов по Великобритании, вкусные контракты с правительством, годовой оборот ~£100млн), ценой существования может быть лишь один аккаунт и пароль от которого дальше разворачивалась атака. Не смогла контора заплатить выкуп в £5млн, вся датка, резервные копии, были уничтожена, работа парализована, потеряны контракты, и как итог закрыте компании спустя 158 лет существования, около тысячи разрушеных жизней, из-за паралича логистики пошла цепная реакция, парализован издательский сектор и появился логистический вакуум в 7 регионах, срывы сроков, банкротство десятка малых компаний. От момента проникновения до полной ликвидации прошел 91 день.
Как айтишники делятся на тех кто уже делает бекапы и тех, кто еще не делает, так и компании делятся на тех кто, уже вкладывает в кибербез и тех кто еще нет. Наши герои истории, к слову, вкладывалили около £60к/год но и системы защиты были не очень и ключевое - человеческий фактор подкачал.
Отдельно хочется сказать про разные законодательства в странах что по-разному подходят к сесурным инцидентам и зачастую лучше избежать даже минорного инцидента чем потом терпеть репутационные риски оповещая контрагентов и коллег об инциденте или что еще хуже - получать лютые штрафы и риск закрытия если при аудите найдут что недостаточно прозрачно отреагировали.

tl;dr: Однако хватит с пугалками, основной месседж - киберсек~~с~~ важен и полезен, в него необходимо вкладываться во избежания репутационных и финансовых потерь, а с новыми инструментами появляются новые вызовы, о чем мы и поговорим в последующих постах.