Почему центру кибербезопасности нужны два разных мозга?

Директор по информационной безопасности одной из компаний из списка Fortune 50 недавно рассказывал о том, как его команда подключила Claude к инструментам обнаружения угроз. Расследования отдельных инцидентов стали заметно качественнее. Но было и другое наблюдение, которое застряло в голове: архитектура отлично работала для небольшого процента алертов, требующих глубокого человеческого суждения, а всё остальное просто игнорировалось.
По пути домой на самолете попалась под руку книга Даниэля Канемана "Thinking, Fast and Slow". Психолог, получивший Нобелевскую премию по экономике в 2002 году, потратил карьеру на изучение того, как люди на самом деле принимают решения, а не того, как это представляют себе экономисты в учебниках. Центральная идея Канемана проста на словах и сложна на практике: человеческое мышление работает через две системы.
Система 1 автоматическая, бессознательная, ассоциативная. Она распознает паттерны мгновенно и работает почти без усилий, обеспечивая, по оценке Канемана, 95% всей человеческой когнитивной деятельности. Это что-то вроде фоновой операционной системы разума. Система 2 медленная, осознанная, требует усилий. Она включается для сложных задач, скажем, при чтении договора перед подписью, и отвечает лишь за 5% мышления. Может подавлять систему 1, но ресурс у неё ограничен. Когда система 2 истощается, управление автоматически перехватывает система 1.
Ключевая ошибка, по Канеману, случается не из-за того, что одна система хуже другой, а из-за того, что применяется не та система для не той задачи. Медленное обдумывание рутинных операций выматывает и всё равно упускает детали. Автоматическое мышление на сложных задачах порождает уверенные, но неверные выводы.
Теперь цифра, которая заставляет присмотреться внимательнее. Анализ более 25 миллионов корпоративных алертов показал: 98% из них можно закрыть автономно, и менее 2% реально требуют участия человека. Соотношение почти совпадает с пропорцией Канемана 95 к 5. Совпадение слишком точное, чтобы его игнорировать, и оно подсказывает, каким должен быть правильно спроектированный SOC.
Тот CISO из Fortune 50 фактически строил «однопроцессорный» SOC, где аналитики (система 2) занимались работой, свойственной системе 1. В результате команда выгорала, покрывая лишь часть алертов. При объёме в 450 000 алертов в год где-то внутри прячутся 54 реальные угрозы, замаскированные под обычный шум, который выглядит одинаково скучно и безопасно, пока не разберёшься.
Быстрый мозг SOC должен закрывать вопросы типа «этот файл уже известен как вредоносный», «поведение совпадает с известным паттерном», «у этого IP плохая репутация». Он работает непрерывно, без запроса от человека, на скорости машины. Это криминалистического уровня расследование каждого сигнала: сканирование памяти, анализ файлов, сопоставление сигналов между конечными точками, идентификацией, сетью и облаком. Такая система закрывает шум и выносит наверх настоящие угрозы уже с собранными доказательствами. Заявленная производительность: расследование всего массива данных и вынесение вердикта с точностью 98% меньше чем за две минуты.
Медленный мозг, тот самый, где место инструментам вроде Claude, Codex и Cursor, нужен для оставшихся 2%. Это сложный анализ кейсов, разработка правил обнаружения, составление отчётов об инцидентах, поиск угроз на основе отраслевых сводок. Здесь требуется синтез, суждение, понимание бизнес-контекста. Но есть условие: копилот должен получать полностью собранное расследование, с завершённым криминалистическим анализом, сопоставленными сигналами и черновиком реагирования, а не сырые алерты. Аналитики применяют суждение к уже подготовленным, подкреплённым доказательствами кейсам, а не тратят время на проверку необработанных срабатываний. Выводы, сделанные медленным мозгом, возвращаются и улучшают быстрый мозг, две системы усиливают друг друга.
Есть два варианта, как всё это может пойти не так. Первый, классическая перегрузка: люди застревают на ручной сортировке, когнитивный ресурс заканчивается раньше, чем аналитик доходит до случаев, требующих настоящего суждения. Пропускаются угрозы, появляются дыры в покрытии, а найм новых сотрудников только линейно масштабирует проблему, не решая её. Второй вариант, характерный для нынешней волны увлечения ИИ: в SOC ставят передовую языковую модель напрямую перед сырыми данными обнаружения и называют это «ИИ-центром безопасности». По сути это та же система 2, выполняющая работу системы 1, только быстрее и дороже. Каждое расследование по-прежнему инициирует человек. При текущей стоимости токенов прогонять фронтир-модель через каждый алерт экономически не имеет смысла в масштабе, поэтому команды тихо начинают пропускать алерты с низким приоритетом. Проблема не решена, она просто переименована.
Правильная архитектура на 2026 год выглядит иначе. Быстрый мозг — специально построенная система криминалистического расследования, а не универсальная языковая модель, покрывающая 100% сигналов автоматически и передающая собранные кейсы дальше. Медленный мозг — инструменты типа Claude, Cursor или Codex, получающие эскалированные случаи с полным контекстом; аналитики в этой схеме скорее наблюдают, чем сортируют. Обе части работают на общей базе знаний, создавая цикл накопительного улучшения.
Есть и стратегический вопрос, касающийся собственности на данные. Компании, отдающие безопасность на аутсорс провайдерам MDR, не владеют собственным слоем знаний. Правила обнаружения, история кейсов, логика сортировки, организационный контекст накапливаются на платформе поставщика, а не внутри компании. Подключение Claude или Codex к операциям безопасности, построенным на чужом фундаменте, означает, что системе 2 буквально не с чем работать. Разумнее вернуть расследования внутрь организации: это предварительное условие для того, чтобы аналитические копилоты приносили реальную пользу. Каждый расследованный алерт, каждый закрытый кейс, каждое настроенное правило должны накапливаться в собственной инфраструктуре компании.
Мысль Канемана в применении к кибербезопасности звучит так: лучшие люди, принимающие решения, знают, какой режим мышления требуется ситуации, и выстраивают процессы соответственно. Побеждать в 2026 году будут не команды с наибольшим числом аналитиков или самой мощной языковой моделью, а те, кто правильно спроектировал систему, где быстрый мозг обрабатывает объём, а медленный освобождён для суждения. ИИ исполняет. Люди наблюдают. И когда архитектура выстроена верно, наблюдение становится самой интересной частью работы.


Новое на сайте

Ссылка