По данным Gartner, в 2024 году только в 10% платформ для обнаружения, расследования и реагирования на инциденты были реализованы функции агентного ИИ, но прогнозируется, что к 2028-му показатель вырастет до 50%. Основное преимущество ИИ в сфере обнаружения киберугроз — в способности обрабатывать колоссальные объемы телеметрии: модели машинного обучения почти в реальном времени могут коррелировать события и сигналы от многочисленных сетей, устройств и сервисов, выявляя аномалии, которые человек может не заметить из-за «шума»: необычные события входа в систему, попытки обхода средств защиты и кражи данных.

На предприятиях рассчитывают, что ИИ значительно расширит возможности специалистов по безопасности: 45% участников опроса, проведенного в 2025 году Anvilogic и SANS Institute, сообщили, что в их организациях уже используют ИИ в процессах обнаружения угроз, а 88% высказали мнение, что ИИ станет играть важную роль в инженерии правил обнаружения угроз (detection engineering) в последующие три года.

По сведениям Accenture, в организациях уже сейчас активно применяют ИИ для автоматизации выполнения типовых задач младших аналитиков безопасности: анализ журналов, обработка оповещений, выявление признаков компрометации, корреляция событий, уведомление владельцев систем о ходе расследования. Обеспечиваемое ИИ сокращение времени, уходящего на подобную работу, в Accenture оценивают в 40-50%.

При обработке большого количества оповещений ИИ-агенты уменьшают свойственную людям потерю концентрации, выявляя закономерности и обеспечивая приоритизацию сигналов по уровню риска, а также коррелируя оповещения с обновлениями общедоступных ресурсов по киберугрозам. ИИ-агенты избавляют от необходимости составления специализированных запросов, использования аналитических панелей и ручного сопоставления данных, позволяя задавать вопросы на естественном языке и вместо шквала оповещений получать готовые аналитические выводы, подкрепленные доказательствами.

Но реальное преимущество ИИ — более оперативное сдерживание атак и снижение соответствующих ошибок. Достоверное выявление инцидентов благодаря корреляции слабых сигналов, автоматизация расследований и выдача рекомендаций по реагированию на основе четких правил позволяют снизить избыточные трудозатраты и получать реальные результаты.

Вместе с тем злоумышленники и сами активно берут на вооружение ИИ, который применяется ими для организации более убедительных фишинговых атак, автоматизации разведки и маскировки вредоносных программ. Соответственно, организациям нельзя отставать: например, стоит внедрять системы-ловушки, способные вводить в заблуждение ИИ, средства автоматического помещения скомпрометированных конечных точек в карантин для предотвращения «бокового перемещения», механизмы выявления фишинговых сообщений и пр.

Эксперты ожидают, что ИИ изменит требования к навыкам специалистов по безопасности — благодаря автоматизации типовых задач они будут больше заниматься инженерией правил обнаружения угроз и проектированием систем. В Google провели опрос среди 3,5 тыс. руководителей старшего звена, и большинство из тех среди них, кто уже внедрил агентный ИИ, сообщили об улучшении состояния безопасности в организации, в основном благодаря улучшению возможностей обнаружения угроз.