Улучшаемые навыки
Agentic SOC
Анализ угроз (Threat Hunting)
Обратная разработка (Reverse Engineering)
DLP
Выявление deepfake
Промпт-инжиниринг
Анализ инцидентов (Incident Response)
Безопасность LLM
Shadow AI
Чему вы научитесь
01
Отличать атаку, совершенную с помощью ИИ, от рядового инцидента.
02
Использовать ИИ-агентов (Copilot для безопасности) для снижения нагрузки на аналитика и сокращения времени реагирования (MTTR).
03
Писать промпты для анализа вредоносного кода и дампов памяти, не подвергая компанию риску утечки данных.
04
Выявлять риски использования публичных LLM сотрудниками и настраивать политики DLP для перехвата трафика к API нейросетей.
05
Создавать сигнатуры (Sigma- и YARA-правила) с помощью ИИ-помощника.
06
Разграничивать инциденты, связанные с атаками через ИИ и с утечками через «теневой ИИ».
Программа курса
01
Ландшафт угроз 2026. ИИ как оружие и как цель
Тренды 2026: Автономные ИИ-агенты в руках злоумышленников. Концепция "великого комбинатора" (стратег-человек + ИИ-исполнитель) .
Эволюция фишинга: Генерация идеальных писем и deepfake-видео/аудио в реальном времени. Обход MFA с помощью ИИ .
Целостность модели: Отравление данных (data poisoning) и промпт-инъекции. ИИ как новая поверхность атаки
Практика: Лабораторная работа "Охота на deepfake".
Задание: Используя открытые инструменты (или кейсы), проанализировать подозрительное видеообращение "руководителя" и выявить признаки синтеза (артефакты мимики, тон, нехарактерные речевые обороты).
Результат: Составление чек-листа признаков deepfake-атаки для рядовых сотрудников.
02
Эволюция защиты. От SIEM к Agentic SOC
Что такое "Agentic SOC": ИИ-агенты как "цифровые стажеры", берущие на себя Tier-1 анализ .
Обзор топ-инструментов 2026: Возможности CrowdStrike Falcon (Agentic Security), Microsoft Security Copilot (агенты для триажа фишинга), SentinelOne Singularity, Dropzone AI .
Технологии: Пов Поведенческий анализ (UEBA) на базе ИИ vs. сигнатурный анализ .
Практика: Лабораторная работа "Триаж инцидента с AI-ассистентом".
Задание: Получить "сырой" поток алертов (лог-файлы). С помощью интерфейса, имитирующего Security Copilot, выполнить запросы на естественном языке: "Сгруппируй алерты по типу атак", "Покажи временную шкалу подозрительной активности пользователя Ivanov".
Результат: Аналитик учится ставить задачи ИИ для сокращения времени MTTR (среднего времени реагирования) .
03
Анализ инцидентов и реагирование с помощью LLM
Использование LLM для обратной разработки (reverse engineering) простых скриптов-вымогателей.
Написание сигнатур (Sigma-правил) и YARA-правил с помощью ИИ-помощника.
Автоматизация сбора форензик-данных: ИИ-агент собирает логи с скомпрометированной машины по инструкции аналитика.
Практика: Лабораторная работа "Расследование с нуля".
Задание: Дамп памяти и логи. Необходимо выяснить, что сделал злоумышленник. Студенты используют "песочницу" с локальной LLM (чтобы не утекать данные) . Они просят ИИ объяснить подозрительные строки PowerShell, переписать вредоносный макрос на понятный Python и предложить правила детекта.
Результат: Ускорение анализа за счет делегирования рутинных задач по разбору кода ИИ
04
Shadow AI и безопасность использования ИИ в корпоративной среде
Проблема Shadow AI: Сотрудники копируют код и коммерческую тайну в публичные ChatGPT. Риски утечек и компрометации модели .
Безопасная архитектура: Внедрение корпоративных прокси-серверов с DLP-модулями для анализа промптов.
Создание "чистых" промптов: Обучение сотрудников безопасному взаимодействию с ИИ (не раскрывать чувствительные данные).
Практика: Лабораторная работа "Ловим утечки".
Задание: Настроить политику DLP-системы на перехват трафика к API OpenAI. Проанализировать перехваченные промпты и найти среди них те, где пользователь случайно вставил фрагмент кода с API-ключами или паспортными данными.
Финальный кейс (зачет): Студентам выдается смешанный кейс: часть логов от ИИ-атак, часть логов от обычных атак, и промпты из Shadow AI. Нужно разделить инциденты на три категории и предложить план реагирования.
05
Итого на курс 16 часов: теория – 8 ч (50 %), практика – 8 ч (50%)
Для кого
Специалист по кибербезопасности
DevOps-инженер
Предварительная подготовка
Для специалистов с базовым пониманием SOC, администрирования сетей или информационной безопасности.
