Как компания Vectra AI обнаруживает ИИ угрозы в инфраструктуре

Согласно открытым исследованиям Vectra AI, киберпреступники всё чаще полагаются на операции на основе протокола Model Context Protocol (MCP). Этот подход позволяет создавать архитектуры, в которых множество автономных агентов работают параллельно в формате «роевого поведения».

Некоторые компоненты ответственны исключительно за разведку целевой среды, другие ищут уязвимости или готовят инфраструктуру к эксфильтрации данных. Такая модель переводит кибератаки в асинхронный, событийный режим, где агенты подключаются только при необходимости для быстрого выполнения локальных задач и обмена разведданными.

Наибольшим вызовом для специалистов по безопасности является почти идеальное маскирование подобной активности. Такие операции генерируют трафик, который выглядит как легитимные обращения к корпоративным ИИ-инструментам, что лишает смысла использование традиционных сигнатурных методов обнаружения.

Кроме того, подход «роевой подход» усиливает возможности атак. Благодаря параллельной работе агентов они быстро обмениваются информацией и могут продолжать выполнять задачи даже тогда, когда один из них обнаружен или заблокирован.

Эффективность автоматизированных инструментов для атак подтверждает и практический опыт в крупных рабочих сетях. Исследователи под руководством Стэндфордского университета развернули ИИ-агента ARTEMIS в реальной сети с примерно 8000 хостов и поручили ему искать уязвимости вместе с профессиональными аналитиками.

В результате система искусственного интеллекта выявила 9 реальных проблем безопасности. Она заняла второе место в общем рейтинге и показала лучшие результаты, чем 9 из 10 экспертов, участвовавших в исследовании.

Ещё одним подтверждением масштабной автоматизации стал случай, о котором сообщила компания Anthropic. Она заявила об остановке деятельности большой шпионской группировки, которая использовала ИИ для управления своими операциями.

Всё это свидетельствует, что атаки с использованием ИИ уже не являются только теоретической концепцией — такие подходы начали применять при реальных киберинцидентах.

Несмотря на высокую автономность и способность к самообучению, инструменты киберзлоумышленников имеют важное ограничение — они не могут достигнуть своей цели без взаимодействия с корпоративной инфраструктурой.

Такие этапы атаки, как разведка, перемещение внутри сети и доступ к чувствительным данным, всегда происходят через сетевые соединения. Поэтому независимо от того, является ли атакующий человеком или системой на основе ИИ, любая атака в конечном счете проходит через сеть.

Автономные агенты могут действовать быстрее и требуют меньше ручного контроля, но для выполнения своих задач они все равно используют те же сетевые каналы.

Именно поэтому анализ сетевого поведения остается надежным способом обнаружения угроз: он фокусируется не на инструментах атаки, которые постоянно меняются, а на подозрительных действиях в сети.

Остановить современные агентные угрозы невозможно с помощью обнаружения конкретных промптов или классификации новых видов вредоносного ПО.

Решение NDR на базе искусственного интеллекта (Network Detection and Response) от компании Vectra AI фокусируется исключительно на анализе поведения в сети. Платформа использует расширенные модели машинного обучения для выделения истинной угрозы из общего информационного шума, что позволяет реагировать на активность злоумышленников до момента нанесения ущерба.

Дополнительно, инструментарий Vectra AI решает проблему теневых приложений. Платформа обеспечивает необходимую видимость внутреннего использования ИИ сотрудниками компании.

Благодаря этому специалисты по безопасности могут осуществлять мониторинг как санкционированных, так и скрытых сервисов в разветвленных гибридных средах.

Интеграция автономных систем радикально ускоряет и скрывает кибератаки, за счет чего сложные многокроковые кампании могут разворачиваться почти без вмешательства человека. Асинхронность коммуникации и маскировка под легитимные запросы делают агентные угрозы невидимыми для устаревших сигнатурных систем контроля.

Компания iIT Distribution — это Value-Added дистрибьютор и надежный партнер, который помогает внедрять современные решения по информационной безопасности, в частности технологии Vectra AI.

Наша команда сопровождает проекты на всех этапах: от технических консультаций и оценки ИТ-инфраструктуры до обучения специалистов и полного внедрения систем NDR.

Благодаря опыту и прямому сотрудничеству с производителями компания помогает организациям создавать надежную систему обнаружения и противодействия киберугрозам в современных гибридных сетях.