ИИ широко применяется для анализа поведения сотрудников организаций. Отклонение в их поведении от обычного может свидетельствовать об инсайдерской деятельности. В таком случае у сотрудника может быть запрошен второй фактор, например, одноразовый пароль при доступе к информационной системе. DLP-система тоже на это способна обратить внимание и взять пользователя на особый контроль.
ИИ помогает выявлять аномалии в сетевом трафике. Прогнозировать, предсказывать атаки через анализ больших данных тоже возможно с применением моделей машинного обучения.
Внешним SOC такая автоматизация с ИИ позволяет снизить нагрузку на аналитиков за счёт автоматизации обработки миллиардов событий.
Также искусственный интеллект помогает обрабатывать естественный язык и, допустим, находить как связи между киберпреступными группировками, так и угрозы среди сообщений в мессенджерах.
ИИ используется и для снижения количества ложных срабатываний в киберзащитных системах. Такую ИИ-автоматизацию провели все крупные российские вендоры, работающие в информационной безопасности: Kaspersky, Positive Technologies, InfoWatch, Солар и другие.
Среди трудностей, которые возникают при применении ИИ-технологий в инструментах автоматизации процессов кибербезопасности, можно выделить проблему сложности,
а подчас невозможности сертифицировать
такие системы во ФСТЭК и ФСБ.