ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies

Искусственный интеллект, Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive Technologies. Программа работает уже год: студенты моделируют атаки, работают с ИИ-продуктами, проектируют защиту и собирают SOC на уровне инженерных решений. В статье рассказываем о том, как устроена магистратура и зачем она нужна инженерам с опытом.

По данным совместного исследования ЦСР «Северо-Запад» и Positive Technologies, несмотря на то что с 2016 по 2023 год число специалистов в ИБ удвоилось, дефицит кадров в этом сегменте вырос до 45% — примерно до 50 тысяч вакансий. Система образования выпускает 10–15 тысяч специалистов в год, но, чтобы закрыть потребность растущего рынка, этого мало. К 2027 году спрос может вырасти до 235–261 тысячи человек, а кадровый дефицит достигнет 54–65 тысяч человек ― даже с учетом роста количества выпускников и автоматизации труда.

Фундаментально ИТ-образование дает теоретические знания в области математики, компьютерных сетей, операционных систем — важную, но не всегда достаточную основу. Бизнесу же нужны специалисты, которые могут решать реальные задачи в реальных условиях. Вот здесь и возникает разрыв: вузы развиваются в одном темпе, а индустрия — в другом.

Чтобы закрыть этот разрыв, ИТМО и Positive Education запустили совместную магистратуру по кибербезопасности. Студенты работают с лабораториями, продуктами Positive Technologies и задачами, приближенными к реальным. А фундаментальную часть, включая курсы по математике, анализу данных и методологическим основам, обеспечивает ИТМО.

Ссылка на программу

Магистратура строится вокруг трех направлений, которые определяют новые стандарты на рынке:

• ИИ в кибербезе — как самая интересная для атаки и защиты технология;

• Purple Team — как метод прокачки защиты через наступательный опыт;

• SOC-архитектура — как опора для устойчивости бизнеса.

Эти направления выбраны неслучайно.

Развитие ИИ в 2023 году дало мощный импульс к пересборке инструментов кибербезопасности. Рынок вырос на треть, а модели машинного обучения начали использоваться в ежедневных задачах: от генерации текста до анализа данных. ИИ стал полноправным участником как атакующих, так и защитных процессов.

Как показывают исследования, искусственный интеллект ускоряет подготовку и проведение атак. Сценарии его использования развиваются по пяти уровням.

Реальные примеры подтверждают эти возможности. В 2023 году специалисты Positive Technologies с помощью ChatGPT нашли XXE-уязвимость. В 2024 году команда Иллинойсского университета показала, как LLM-агенты справляются с эксплуатацией как типовых, так и нулевых уязвимостей: метод HPTSA позволил разделить этапы атаки между ИИ-модулями и координировать их работу.

Алгоритмы ИИ также интегрируются в средства обнаружения, реагирования и анализа. Языковые модели помогают приоритизировать события, платформы запускают шаблонные сценарии реагирования, поведенческие модели выявляют отклонения от нормы. За счет этого растет скорость реакции, снижается количество выполняемой вручную аналитики, а защитные меры быстрее адаптируются к актуальным угрозам.

Эффективность зависит от качества обучения моделей и корректности их применения. ИИ-системы требуют точной настройки, контроля и регулярной актуализации. Ошибки в данных приводят к ложным срабатываниям, а доверие к механизму снижается. Согласно исследованиям Positive Technologies, автоматизация сокращает время реакции и освобождает ресурсы специалистов, но нуждается в управлении и верификации на каждом этапе.

В классической структуре кибербезопасности команды выполняют разные задачи. Blue Team отвечает за защиту: отслеживает события, реагирует на инциденты, контролирует инфраструктуру. Red Team непрерывно анализирует защищенность ИТ-активов: ищет и эксплуатирует уязвимости с помощью методов и инструментов, которые применяют APT-группировки.

Purple-подход строится на цикличном взаимодействии: атака, расследование, повторная атака с учетом нового уровня защиты. «Красные» демонстрируют инструменты и векторы, «синие» на этом обучаются и формируют устойчивые меры защиты. В центре внимания — конкретные сегменты инфраструктуры: подсети, облачные узлы, ключевые сервисы. Каждая зона проходит серию итераций и становится частью общей системы устойчивости. Внутри команды возможна смена ролей: участники выполняют обе задачи и развивают целостное понимание. Такой опыт формируется через практику и постоянное участие в рабочих сценариях.

В России Purple Teams распространены слабо, работают единичные команды, но устойчивой модели не сложилось. При этом запрос на универсальных специалистов внутри команд ИБ растет, и именно такой подход позволяет готовить сотрудников, способных видеть картину целиком, — и со стороны атаки, и со стороны защиты.

Макар Ляхнов, Product Owner, PT EdTechLab

Пример — сетевой аналитик, работающий с трафиком. Он лучше понимает поведение трафика, точнее выявляет аномалии и проектирует защиту под реальные сценарии. Такой специалист работает в собственной инфраструктуре, решает актуальные задачи и усиливает команду с каждым кейсом. Этот формат обеспечивает рост компетенций и позволяет удерживать экспертизу внутри компании.

Модель центра мониторинга уходит от пирамидального принципа. Если раньше на первой линии работало много операторов, которые вручную анализировали алерты (подозрения на инциденты), то сейчас этот уровень перестраивается в ромбовидную структуру: задачи автоматизируются, а человеческое участие смещается ближе к аналитике и принятию решений. Алгоритмы обрабатывают поток, фильтруют шум, запускают первичный анализ и передают сигналы на следующих этапах цепочки.

Современный SOC эволюционирует в сторону интеллектуальной архитектуры. Вместо скриптов — нейросети, языковые модели и платформы, способные выделять критичные события, оценивать риски и запускать сценарии реагирования. При высокой плотности ИТ-активов скорость реакции и согласованность действий обеспечиваются через автоматизированные системы. Именно они выстраивают цепочку от сигнала до ответа в реальном времени.

При этом техническое ядро современного SOC остается прежним — три ключевые технологии: SIEM, NTA и EDR. SIEM агрегирует события и строит корреляции. NTA отслеживает сетевое поведение и фиксирует подозрительную сетевую активность. EDR работает на конечных точках: блокирует действия, изолирует процессы, собирает данные об атаках. Вокруг этого ядра выстраивается расширенный стек.

IRP-системы управляют жизненным циклом инцидентов: распределяют роли, фиксируют статусы, обеспечивают взаимодействие между командами. SOAR автоматизирует реагирование, включая блокировку пользователей, узлов и учетных записей. Платформы Threat Intelligence интегрируются в SIEM и NTA, формируя контекст и добавляя данные об актуальных угрозах. BAS используется для симуляции атак и проверки эффективности детектирования. В крупных SOC работают deception-платформы и honeypot-среды: они показывают распространение вредоносного ПО и позволяют остановить его на ранней стадии. Весь стек работает как цельная система — с замкнутым контуром от обнаружения до ответного действия.

Информационную безопасность обеспечивают три столпа: конфиденциальность, целостность и доступность. Но для бизнеса все сводится к одному — обеспечить непрерывность деятельности. Если утекли данные или ушли деньги со счета, результат один: компания перестает работать. Именно этого нельзя допустить.

Константин Смирнов, советник управляющего директора по бизнес-консалтингу, Positive Technologies

Кибербезопасность развивается вместе с технологиями. Атаки становятся точными, комплексными и требуют зрелого подхода. Средства защиты уже включают машинное обучение, языковые модели и автоматические механизмы реагирования. Вокруг классических направлений формируются новые роли: MLSecOps, безопасность в облаке и финтехе, багхантинг-аналитика, обработка данных об угрозах. Компании ищут инженеров, способных собирать из этих элементов целостную систему защиты информации с правильной архитектурой.

Вместе с этим меняется роль специалиста по ИБ. Современная индустрия кибербезопасности включает десятки направлений: от сетевых аналитиков и специалистов по реагированию на инциденты ИБ до архитекторов, пентестеров, риск-менеджеров и специалистов по безопасности приложений. В статье «Карьера в кибербезопасности, или Как расти в ИБ» мы подробно разобрали карту профессий и возможные траектории развития — от технических до управленческих ролей.

Изменения в первую очередь затрагивают участки, где решения принимаются вручную и объем данных высок. Там искусственный интеллект уже упрощает работу: ускоряет фильтрацию событий, помогает классифицировать инциденты и предлагает сценарии реагирования. Критически важными остаются навыки, связанные с интерпретацией угроз, влияющих на ключевые бизнес-функции. Например, кейсы с дипфейками переходят из разряда экспериментов в бизнес-риски: компании теряют деньги, доверие и операционную стабильность.

Новые угрозы требуют специалистов, которые понимают, как они устроены, и умеют предлагать работающие решения. И в условиях, когда технологии постоянно перестраивают ландшафт ИБ, учеба остается самым эффективным способом двигаться вместе с изменениями и формировать востребованный профиль. Магистратура ИТМО — один из таких форматов: программа готовит специалистов, которые проектируют защиту под конкретную инфраструктуру, угрозы и бизнес-риски.