Оглавление

Введение: почему искусственный интеллект — ваш новый союзник в ИБ?

Искусственный интеллект уже здесь — и он не ждет

Вы просыпаетесь утром, проверяете почту и видите 200 новых инцидентов в SIEM[1]. Фишинговые атаки, подозрительные подключения, уязвимости в коде… Знакомо? Теперь представьте, что 80% из них уже проанализированы — не вами, а искусственным интеллектом.

Пример:

В 2023 году ChatGPT сократил время анализа логов на 60% в одной из компаний из Fortune 500.

Не потому, что он умнее вас, а потому, что он быстрее.

Ваш вопрос: «А если я не разбираюсь в AI?»[2]

Ответ: Вам и не нужно. Эта книга — не про математику нейросетей, а про то, как заставить их работать на вас.

Следует отметить, что в 2024 году ChatGPT с обновлением GPT-4Turbo значительно улучшил анализ логов, позволяя компаниям из Fortune 500, таким как Adobe и Uber, ускорить обработку данных и выявление ошибок. Благодаря интеграции с Python и возможностям автоматизации, время анализа сократилось на 50—70% в зависимости от объема данных[3].

Однако, в России пока сохраняется некоторое недоверие в части применения искусственного интеллекта в деловых процессах организации. Особенно в сфере информационной безопасности (ИБ).

Я проанализировал множество книг и курсов на русском языке, посвященных искусственному интеллекту — все они либо посвящены применению одной из конкретных моделей AI (ChatGPT от OpenaAI) для генерации продающего контента, либо подробно рассказывают как устроены и работают нейросети и иные модели искусственного интеллекта языком сложной математики.

В этой связи, у меня появилась идея рассказть Вам, специалистам по информационной безопасности, как применять доступные модели искусственного интеллекта, в ваших практических задачах. Все свои мысли я постарался изложить простым языком и снабдить примерами.

Почему именно вы?

ИБ-специалисты[4] — идеальные кандидаты для работы с искусственным интеллектом. Почему?

Вы знаете контекст.

AI не понимает, что такое «нормальное поведение» в вашей информационной инфраструктуре. Вы — понимаете.

Вы умеете формулировать задачи.

Промпт-инжиниринг — это не программирование. Это навык ставить четкие задачи — то, чем вы занимаетесь каждый день.

Вы уже используете автоматизацию.

— SIEM, SOAR[5], EDR[6], сканеры уязвимостей… Искусственный интеллект — просто следующий шаг.

Что такое промпт-инжиниринг?

Промпт — это инструкция для модели искусственного интеллекта. Промпт-инжиниринг — искусство составлять эти инструкции так, чтобы модель делала именно то, что вам нужно.

Пример:

Плохой промпт: «Напиши политику безопасности».

Результат: Общие фразы, которые не подойдут вашей компании.

Хороший промпт: «Ты — CISO[7] банка. Напиши политику для сотрудников по работе с ChatGPT. Учитывай:

— Запрещено загружать клиентские данные.

— Все запросы должны логироваться.

— Санкции за нарушения: предупреждение, блокировка доступа, увольнение».

Результат: Готовый документ, который можно внедрить завтра.

Важно: Все промпты, которые вы найдёте в этой книге, работают не только в ChatGPT. Они адаптированы для использования в любых современных больших языковых моделях (так называемых LLM — large language model): Claude, Gemini, YandexGPT, GigaChat, Qwen и других. Это возможно, потому что все они построены на схожих принципах, хотя каждая имеет свои уникальные особенности. Например, Claude лучше справляется с анализом длинных текстов, а Qwen идеально подходит для локального (внутри организации или на вашем компьютере) использования. Вы сможете выбрать инструмент, который лучше всего подходит под ваши задачи и требования к безопасности.

Чем промпт-инженер отличается от Data Scientist и ML Engineer?

Data Scientist — это специалист, который строит модели машинного обучения с нуля. Он разбирается в алгоритмах, пишет код на Python, оптимизирует нейронные сети и работает с большими данными. Его задача — создать модель, которая решает конкретную задачу, будь то классификация изображений или прогнозирование спроса.

ML Engineer — это инженер, который внедряет модели, созданные Data Scientist, в реальные системы. Он отвечает за масштабирование, интеграцию с существующей инфраструктурой и обеспечение стабильной работы моделей при вводе и после ввода в эксплуатацию.

Промпт-инженер — это специалист, который не создаёт модели и не внедряет их. Он знает, как использовать уже готовые модели для решения задач. Его инструмент — не код, а язык. Он формулирует запросы так, чтобы модель искусственного интеллекта выдавала полезные и точные результаты.

Почему это важно для ИБ? Вам не нужно разбираться в тонкостях машинного обучения или писать код. Ваша экспертиза — в понимании контекста безопасности. Промпт-инжиниринг позволяет использовать искусственный интеллект как инструмент, не углубляясь в его устройство. По сути — промпт-инжиниринг, это больше навык (навык будущего), а не отдельная профессия. Освоение этого навыка поможет вам оставаться на плаву в быстро меняющемся мире.

Что вы получите от этой книги?

Готовые инструменты. Шаблоны промптов для анализа угроз, составления отчетов, настройки и внедрения средств защиты, обучения сотрудников и т. п.

Практические кейсы. Как с помощью искусственного интеллекта проанализировать исходный код, разработать пакет организационно-распорядительных документов, подготовиться к аудиту или сократить время анализа инцидентов.

Безопасность. Как использовать искусственный интеллект, не рискуя конфиденциальными данными.

Как читать эту книгу?

Если вы новичок в тематике исусственного интеллекта — читайте последовательно. Каждая глава — шаг к уверенной работе с AI.

Если у вас есть опыт: Переходите к кейсам и шаблонам.

Главное правило: Не просто читайте — пробуйте. Каждая глава заканчивается заданием, которое можно выполнить за 5–10 минут (а иногда и меньше).

Ваш первый шаг

Откройте ChatGPT или любой другой сервис с большими языковым моделями (например, chat.qwenlm.ai, chat.mistral.ai).

Введите: «Действуй как эксперт по кибербезопасности. Перечисли 5 самых частых векторов атак на FinTech-стартапы в 2024 году. Формат: Название/Пример/Рекомендации по защите».

Результат — ваш первый промпт.

Дальше будет только интереснее!

Резюме главы

Искусственный интелелкт (AI[8]) — не угроза вашей работе, а инструмент, который сделает её эффективнее. Эта книга — ваш гид по миру промпт-инжиниринга. Не важно, сталкивались ли вы с AI раньше — через несколько страниц вы начнёте использовать его в своей работе.

Каждая часть данной книги заканчивается «Практикумом» — заданием, которое можно выполнить, не отходя от книги.

Нет абстрактной теории — только то, что работает и именно в реалиях ИБ: от анализа кода до подготовки к аудиту.

И последнее

Пусть эта книга станет вашим настольным справочником. Вот простое соглашение: в ближайшие две недели каждый раз, когда перед вами встанет задача — будь то анализ угроз, составление отчетов, обучение сотрудников или подготовка к аудиту, — прежде чем браться за неё вручную, загляните в эту книгу. Проверьте, можно ли решить её с помощью AI.

А через две недели — проанализируйте, сколько часов вы сэкономили, сколько рутинных задач делегировали AI и какие идеи удалось реализовать быстрее.

 Security information and event management — система управления событиями информационной безопасности

 AI (Artificial Intelligence, искусственный интеллект) — это область технологий и науки, которая занимается созданием систем и программ, способных имитировать человеческие когнитивные способности, такие как обучение, анализ данных, принятие решений и решение проблем, на основе алгоритмов и моделей, обучающихся на больших объёмах информации.

 Источники: https://theseopub.com/using-chatgpts-code-interpreter-to-analyze-server-log-files/, https://openai.com/index/improvements-to-data-analysis-in-chatgpt/, https://bloomberry.com/i-analyzed-all-of-chatgpts-enterprise-customers-heres-what-i-learned/

 Специалисты по информационной безопасности

 Security Orchestration, Automation and Response — система оркестровки и автоматического реагирования на события (инциденты) информационной безопасности.

 Endpoint Detection and Response — это технология защиты информационных ресурсов, которая обеспечивает постоянный мониторинг и быстрое обнаружение угроз на конечных устройствах

 Chief Information Security Officer

 Далее по тексту я буду везде использовать английскую аббревиатуру AI

Часть 1. Основы промпт-инжиниринга

1.1. Промпт-инжиниринг — это не магия, а навык

AI — это инструмент, который работает только тогда, когда вы знаете, как им пользоваться. Он не умеет читать мысли, не знает контекста вашей компании и не понимает, что для вас важно.

Пример:

Плохо: «Напиши сценарий для тренировки SOC[1]».

Результат: Общий сценарий, который не учитывает специфику вашей инфраструктуры или текущих угроз.

Хорошо: «Ты — эксперт по кибербезопасности. Напиши сценарий для тренировки SOC, который включает:

— фишинговую атаку с использованием поддельного домена, похожего на наш корпоративный;

— попытку эксплуатации уязвимости в устаревшей версии VPN[2];

— действия злоумышленника после успешного проникновения: поиск и кража данных клиентов.

Учитывай, что наша инфраструктура включает облачные сервисы и локальные серверы».

Результат: Сценарий, который можно сразу использовать для тренировки вашей команды.

Почему это важно: AI не умеет читать мысли. Чем точнее ваш запрос, тем лучше результат.

Промпт-инжиниринг — это искусство формулировать задачи так, чтобы AI понимал, что от него хотят, и выдавал полезный результат.

 Security Operation Center — центр мониторинга и реагирования на компьютерные атаки и инциденты ИБ. В настоящее время в профессиональном сообществе специалистов по ИБ правильным считается термин ЦПК — центр противодействия кибератакам. Однако, в коммуникациях с языковыми моделями лучше использовать английскую аббревиатуру — SOC

 Virtual private network — виртуальная частная сеть

1.2. Как устроен промпт: 4 ключевых элемента

Каждый промпт — это мини техническое задание. Пропустите один элемент — AI «додумает» вместо вас. Чтобы получить предсказуемый результат, каждый запрос должен содержать четыре элемента.

Разберем их на примерах из практики ИБ:

1. Роль: Кто вы и зачем спрашиваете?

AI не знает вашу роль, компанию или текущие угрозы. Установка роли помогает ему «войти в положение».

Примеры:

Базовый уровень: «Ты (Действуй как) — аналитик SOC».

Проблема: Слишком общо. AI не поймёт, на чём фокусироваться.

Хороший вариант: «Ты (Действуй как) — senior-аналитик SOC в финтех-стартапе [энергетической компании, металлургическом предприятии и т.п.[1]]».

Почему работает: модель AI понимает, в роли какого эксперта и какой отрасли она должна выступать.

В большинстве случаев для специалиста по ИБ характерны такие роли: пентестер, аудитор, CISO, эксперт. Однако, большое преимущество применения AI моделей в том, что мы можем использовать и иные (не характерные для ИБ) роли: юрист, HR, Software Engineer, Data Scientist и даже роль промпт-инженера для создания продвинутых промптов (о них мы поговорим позже).

2. Задача: Что именно нужно сделать?

Чем конкретнее задача, тем меньше придется переделывать результат.

Примеры:

Плохо: «Проверь безопасность» — AI выдаст общие рекомендации по ISO 27001.

Хорошо: «Проанализируй этот фрагмент кода API на уязвимости типа IDOR (Insecure Direct Object Reference). Укажи номера строк с рисками и предложи патчи или меры по их устранению».

Ещё лучше: «Сгенерируй 5 реалистичных сценариев атак на наш VPN (версия х.х.х), которые могут использовать уязвимость CVE-2023-12345. Для каждого сценария укажи: вектор атаки, методы обнаружения, рекомендации по блокировке».

Типичные ошибки:

Расплывчатые глаголы: «Проверь», «Проанализируй», «Улучши».

Решение:

Заменяйте на конкретные действия: «Сравни с базой MITRE ATT&CK», «Классифицируй по CVSS», «Сгенерируй пошаговый план».

3. Ограничения: Чего AI делать не должен?

Без ограничений AI может предлагать нереалистичные решения или нарушать политики безопасности.

Примеры:

Технические ограничения: «Не предлагать решения, требующие обновления программного обеспечения: наша система работает на Windows Server 2012».

Бюджетные ограничения: «Максимальная стоимость внедрения — 500 000 рублей» или «Предлагай только Open Source. Не предлагай коммерческие инструменты».

Организационные оганичения: «Не использовать внешние сервисы для обработки данных. Все решения должны работать внутри нашего периметра».

Кейс из практики:

Промпт без ограничений: «Напиши политику паролей для сотрудников».

Результат выполнения промпта представлен на рисунке 1.

Модель AI предложит 12 символов, возможно биометрию или многофакторную аутентификаци, но у вас, к примеру, есть промышленные системы поддерживающие только 8 символов.

Промпт с ограничениями: «Учитывай: 1) Максимальная длина пароля — 8 символов. 2) Нет поддержки двухфакторной аутентификации.»

Результат выполнения скорректированного промпта представлен на рисунке 2.

4. Формат ответа: Как вы хотите получить результат (в какой форме)?

Модель AI может выдать ответ в виде эссе, таблицы или пошагового руководства. Ваш выбор формата сэкономит часы на обработке данных.

Примеры:

Для анализа логов: «Ответ предоставь в виде таблицы с колонками: Время события\IP-источник\Уровень угрозы (низкий/средний/высокий) \Рекомендуемое действие».

Для аудита политик: «Создай чек-лист соответствия 152-ФЗ в формате: Требование\Наш статус (соответствует/не соответствует) \Комментарий».

Результат выполнения промпта представлен на рисунке 3

На рисунке 3 обратите внимание, что так как не было задано условие оставить колонку «наш статус» пустой, модель сама поставила везде статус «соответствует».

Для генерации отчётов: «Напиши executive summary на 1 страницу. Структура: Основные угрозы за квартал. Топ-3 инцидента. Рекомендации для руководства».

Вы можете использовать шаблоны, которые уже работают в вашей компании. Если вы привыкли к определённому формату отчётов — просто скопируйте его структуру в промпт.