В Сбере искусственный интеллект автономно отрабатывает 70% киберинцидентов

Сбер на Уральском форуме «Кибербезопасность в финансах» представил результаты внедрения мультиагентной ИИ-системы с рабочим названием «Кибераналитик» в работу Центра киберзащиты банка (Security Operations Center, SOC).

Данная система в 2025 году в автономном режиме близком к реальному времени обрабатывает 100% киберинцидентов и 70% из них закрывает самостоятельно – то есть без участия людей. В целом благодаря работе «Кибераналитика» банк за последние два года сократил время анализа киберинцидентов более чем в 20 раз, существенно ускорив разработку и реализацию мер противодействия ― время реагирования на угрозы сократилось в 6 раз.

«Кибераналитик» проводит анализ и предварительную обработку инцидента, формирует описание события, план реагирования и выполняет активные действия по этому плану, а также при необходимости самостоятельно общается с сотрудниками для уточнения информации. Система анализирует огромный массив внутренней и внешней информации о киберугрозах, проводит скоринг, классификацию, устраняет дублирующую информацию и формирует описание аналитических Threat Intelligence-кейсов по киберугрозам для облегчения работы сотрудников SOC.

Если ситуация требует подключения сотрудника SOC, «Кибераналитик» предоставляет эксперту подробное описание произошедшего события и детальные рекомендации с готовым планом действий. Благодаря использованию мультиагентной системы, также более чем в 20 раз сокращено время взаимодействия с пользователями-сотрудниками: система самостоятельно взаимодействует с ними, информирует о статусе инцидентов и рекомендациях, а также собирает обратную связь о предпринятых действиях.

«Системы киберзащиты будущего будут действовать автономно, – отметил Сергей Лебедь, вице-президент по кибербезопасности Сбербанка. – Наша мультиагентная система "Кибераналитик" уже демонстрирует впечатляющие результаты — самостоятельное закрытие 70% инцидентов и сокращение времени взаимодействия с пользователями в десятки раз. Это стало возможным благодаря синергии технологий машинного обучения, генеративного ИИ и автоматизации, это позволяет системе не только выявлять угрозы, но и самостоятельно принимать решения по их нейтрализации. Мы продолжаем развивать систему и планируем в ближайшем будущем обеспечить полностью автономную работу в типовых сценариях SOC».