Как компания Vectra AI обнаруживает ИИ-угрозы в инфраструктуре

Согласно открытым исследованиям Vectra AI, киберпреступники все чаще полагаются на операции на основе протокола Model Context Protocol (MCP). Этот подход позволяет создавать архитектуры, в которых множество автономных агентов работают параллельно в формате «роевого поведения».

Некоторые компоненты отвечают исключительно за разведку целевой среды, другие ищут уязвимости или подготавливают инфраструктуру к эксфильтрации данных. Такая модель переводит кибератаки в асинхронный, событийно-ориентированный режим, где агенты подключаются только по необходимости для быстрого выполнения локальных задач и обмена разведданными.

Наибольшим вызовом для специалистов по безопасности является почти идеальная маскировка подобной активности. Такие операции генерируют трафик, который выглядит как легитимные обращения к корпоративным ИИ-инструментам, что лишает смысла использование традиционных сигнатурных методов обнаружения.

Кроме того, «роевой подход» усиливает возможности атак. Благодаря параллельной работе агентов они быстро обмениваются информацией и могут продолжать выполнять задачи даже тогда, когда один из них обнаружен или заблокирован.

Эффективность автоматизированных инструментов для атак подтверждают и практические эксперименты в крупных рабочих сетях. Исследователи под руководством Стэнфордского университета развернули ИИ-агента ARTEMIS в реальной сети с примерно 8000 хостов и поручили ему искать уязвимости вместе с профессиональными аналитиками.

В результате система искусственного интеллекта выявила 9 реальных проблем безопасности. Она заняла второе место в общем рейтинге и показала лучшие результаты, чем 9 из 10 экспертов, принимавших участие в исследовании.

Еще одним подтверждением масштабной автоматизации стал случай, о котором сообщила компания Anthropic. Она заявила о прекращении деятельности большой шпионской группы, использовавшей ИИ для управления своими операциями.

Все это свидетельствует о том, что атаки с использованием ИИ уже не являются лишь теоретической концепцией — такие подходы начали применять во время реальных киберинцидентов.

Несмотря на высокую автономность и способность к самообучению, инструменты киберпреступников имеют важное ограничение — они не могут достичь своей цели без взаимодействия с корпоративной инфраструктурой.

Такие этапы атаки, как разведка, перемещение внутри сети и доступ к чувствительным данным, всегда происходят через сетевые соединения. Поэтому независимо от того, человек это или система на базе ИИ, любая атака в конечном итоге проходит через сеть.

Автономные агенты могут действовать быстрее и требуют меньше ручного контроля, но для выполнения своих задач они все равно используют те же сетевые каналы.

Именно поэтому анализ сетевого поведения остается надежным способом обнаружения угроз: он фокусируется не на инструментах атаки, которые постоянно меняются, а на подозрительных действиях в сети.

Остановить современные агентные угрозы невозможно с помощью обнаружения конкретных промптов или классификации новых видов вредоносного ПО.

Решение NDR на основе искусственного интеллекта (Network Detection and Response) от компании Vectra AI фокусируется исключительно на анализе поведения в сети. Платформа использует расширенные модели машинного обучения для выделения реальной угрозы из общего информационного шума, что позволяет реагировать на активность злоумышленников до момента нанесения ущерба.

Дополнительно, инструментарий Vectra AI решает проблему теневых приложений. Платформа обеспечивает необходимую видимость внутреннего использования ИИ сотрудниками компании.

Благодаря этому специалисты по безопасности могут осуществлять мониторинг как санкционированных, так и скрытых сервисов в разветвленных гибридных средах.

Интеграция автономных систем радикально ускоряет и маскирует кибератаки, благодаря чему сложные многошаговые кампании могут разворачиваться почти без вмешательства человека. Асинхронность коммуникации и маскировка под легитимные запросы делают агентные угрозы невидимыми для устаревших сигнатурных систем контроля.

Компания iIT Distribution — это Value-Added дистрибьютор и надежный партнер, который помогает внедрять современные решения по информационной безопасности, в частности технологии Vectra AI.

Наша команда сопровождает проекты на всех этапах: от технических консультаций и оценки ИТ-инфраструктуры до обучения специалистов и полноценного внедрения систем NDR.

Благодаря опыту и прямому сотрудничеству с производителями компания помогает организациям создавать надежную систему обнаружения и противодействия киберугрозам в современных гибридных сетях.