Директор по информационной безопасности одной из компаний из списка Fortune 50 недавно рассказывал о том, как его команда подключила Claude к инструментам обнаружения угроз. Расследования отдельных инцидентов стали заметно качественнее. Но было и другое наблюдение, которое застряло в голове: архитектура отлично работала для небольшого процента алертов, требующих глубокого человеческого суждения, а всё остальное просто игнорировалось.
По пути домой на самолете попалась под руку книга Даниэля Канемана "Thinking, Fast and Slow". Психолог, получивший Нобелевскую премию по экономике в 2002 году, потратил карьеру на изучение того, как люди на самом деле принимают решения, а не того, как это представляют себе экономисты в учебниках. Центральная идея Канемана проста на словах и сложна на практике: человеческое мышление работает через две системы.
Система 1 автоматическая, бессознательная, ассоциативная. Она распознает паттерны мгновенно и работает почти без усилий, обеспечивая, по оценке Канемана, 95% всей человеческой когнитивной деятельности. Это что-то вроде фоновой операционной системы разума. Система 2 медленная, осознанная, требует усилий. Она включается для сложных задач, скажем, при чтении договора перед подписью, и отвечает лишь за 5% мышления. Может подавлять систему 1, но ресурс у неё ограничен. Когда система 2 истощается, управление автоматически перехватывает система 1.
Ключевая ошибка, по Канеману, случается не из-за того, что одна система хуже другой, а из-за того, что применяется не та система для не той задачи. Медленное обдумывание рутинных операций выматывает и всё равно упускает детали. Автоматическое мышление на сложных задачах порождает уверенные, но неверные выводы.
Теперь цифра, которая заставляет присмотреться внимательнее. Анализ более 25 миллионов корпоративных алертов показал: 98% из них можно закрыть автономно, и менее 2% реально требуют участия человека. Соотношение почти совпадает с пропорцией Канемана 95 к 5. Совпадение слишком точное, чтобы его игнорировать, и оно подсказывает, каким должен быть правильно спроектированный SOC.
Тот CISO из Fortune 50 фактически строил «однопроцессорный» SOC, где аналитики (система 2) занимались работой, свойственной системе 1. В результате команда выгорала, покрывая лишь часть алертов. При объёме в 450 000 алертов в год где-то внутри прячутся 54 реальные угрозы, замаскированные под обычный шум, который выглядит одинаково скучно и безопасно, пока не разберёшься.
Быстрый мозг SOC должен закрывать вопросы типа «этот файл уже известен как вредоносный», «поведение совпадает с известным паттерном», «у этого IP плохая репутация». Он работает непрерывно, без запроса от человека, на скорости машины. Это криминалистического уровня расследование каждого сигнала: сканирование памяти, анализ файлов, сопоставление сигналов между конечными точками, идентификацией, сетью и облаком. Такая система закрывает шум и выносит наверх настоящие угрозы уже с собранными доказательствами. Заявленная производительность: расследование всего массива данных и вынесение вердикта с точностью 98% меньше чем за две минуты.
Медленный мозг, тот самый, где место инструментам вроде Claude, Codex и Cursor, нужен для оставшихся 2%. Это сложный анализ кейсов, разработка правил обнаружения, составление отчётов об инцидентах, поиск угроз на основе отраслевых сводок. Здесь требуется синтез, суждение, понимание бизнес-контекста. Но есть условие: копилот должен получать полностью собранное расследование, с завершённым криминалистическим анализом, сопоставленными сигналами и черновиком реагирования, а не сырые алерты. Аналитики применяют суждение к уже подготовленным, подкреплённым доказательствами кейсам, а не тратят время на проверку необработанных срабатываний. Выводы, сделанные медленным мозгом, возвращаются и улучшают быстрый мозг, две системы усиливают друг друга.
Есть два варианта, как всё это может пойти не так. Первый, классическая перегрузка: люди застревают на ручной сортировке, когнитивный ресурс заканчивается раньше, чем аналитик доходит до случаев, требующих настоящего суждения. Пропускаются угрозы, появляются дыры в покрытии, а найм новых сотрудников только линейно масштабирует проблему, не решая её. Второй вариант, характерный для нынешней волны увлечения ИИ: в SOC ставят передовую языковую модель напрямую перед сырыми данными обнаружения и называют это «ИИ-центром безопасности». По сути это та же система 2, выполняющая работу системы 1, только быстрее и дороже. Каждое расследование по-прежнему инициирует человек. При текущей стоимости токенов прогонять фронтир-модель через каждый алерт экономически не имеет смысла в масштабе, поэтому команды тихо начинают пропускать алерты с низким приоритетом. Проблема не решена, она просто переименована.
Правильная архитектура на 2026 год выглядит иначе. Быстрый мозг — специально построенная система криминалистического расследования, а не универсальная языковая модель, покрывающая 100% сигналов автоматически и передающая собранные кейсы дальше. Медленный мозг — инструменты типа Claude, Cursor или Codex, получающие эскалированные случаи с полным контекстом; аналитики в этой схеме скорее наблюдают, чем сортируют. Обе части работают на общей базе знаний, создавая цикл накопительного улучшения.
Есть и стратегический вопрос, касающийся собственности на данные. Компании, отдающие безопасность на аутсорс провайдерам MDR, не владеют собственным слоем знаний. Правила обнаружения, история кейсов, логика сортировки, организационный контекст накапливаются на платформе поставщика, а не внутри компании. Подключение Claude или Codex к операциям безопасности, построенным на чужом фундаменте, означает, что системе 2 буквально не с чем работать. Разумнее вернуть расследования внутрь организации: это предварительное условие для того, чтобы аналитические копилоты приносили реальную пользу. Каждый расследованный алерт, каждый закрытый кейс, каждое настроенное правило должны накапливаться в собственной инфраструктуре компании.
Мысль Канемана в применении к кибербезопасности звучит так: лучшие люди, принимающие решения, знают, какой режим мышления требуется ситуации, и выстраивают процессы соответственно. Побеждать в 2026 году будут не команды с наибольшим числом аналитиков или самой мощной языковой моделью, а те, кто правильно спроектировал систему, где быстрый мозг обрабатывает объём, а медленный освобождён для суждения. ИИ исполняет. Люди наблюдают. И когда архитектура выстроена верно, наблюдение становится самой интересной частью работы.
По пути домой на самолете попалась под руку книга Даниэля Канемана "Thinking, Fast and Slow". Психолог, получивший Нобелевскую премию по экономике в 2002 году, потратил карьеру на изучение того, как люди на самом деле принимают решения, а не того, как это представляют себе экономисты в учебниках. Центральная идея Канемана проста на словах и сложна на практике: человеческое мышление работает через две системы.
Система 1 автоматическая, бессознательная, ассоциативная. Она распознает паттерны мгновенно и работает почти без усилий, обеспечивая, по оценке Канемана, 95% всей человеческой когнитивной деятельности. Это что-то вроде фоновой операционной системы разума. Система 2 медленная, осознанная, требует усилий. Она включается для сложных задач, скажем, при чтении договора перед подписью, и отвечает лишь за 5% мышления. Может подавлять систему 1, но ресурс у неё ограничен. Когда система 2 истощается, управление автоматически перехватывает система 1.
Ключевая ошибка, по Канеману, случается не из-за того, что одна система хуже другой, а из-за того, что применяется не та система для не той задачи. Медленное обдумывание рутинных операций выматывает и всё равно упускает детали. Автоматическое мышление на сложных задачах порождает уверенные, но неверные выводы.
Теперь цифра, которая заставляет присмотреться внимательнее. Анализ более 25 миллионов корпоративных алертов показал: 98% из них можно закрыть автономно, и менее 2% реально требуют участия человека. Соотношение почти совпадает с пропорцией Канемана 95 к 5. Совпадение слишком точное, чтобы его игнорировать, и оно подсказывает, каким должен быть правильно спроектированный SOC.
Тот CISO из Fortune 50 фактически строил «однопроцессорный» SOC, где аналитики (система 2) занимались работой, свойственной системе 1. В результате команда выгорала, покрывая лишь часть алертов. При объёме в 450 000 алертов в год где-то внутри прячутся 54 реальные угрозы, замаскированные под обычный шум, который выглядит одинаково скучно и безопасно, пока не разберёшься.
Быстрый мозг SOC должен закрывать вопросы типа «этот файл уже известен как вредоносный», «поведение совпадает с известным паттерном», «у этого IP плохая репутация». Он работает непрерывно, без запроса от человека, на скорости машины. Это криминалистического уровня расследование каждого сигнала: сканирование памяти, анализ файлов, сопоставление сигналов между конечными точками, идентификацией, сетью и облаком. Такая система закрывает шум и выносит наверх настоящие угрозы уже с собранными доказательствами. Заявленная производительность: расследование всего массива данных и вынесение вердикта с точностью 98% меньше чем за две минуты.
Медленный мозг, тот самый, где место инструментам вроде Claude, Codex и Cursor, нужен для оставшихся 2%. Это сложный анализ кейсов, разработка правил обнаружения, составление отчётов об инцидентах, поиск угроз на основе отраслевых сводок. Здесь требуется синтез, суждение, понимание бизнес-контекста. Но есть условие: копилот должен получать полностью собранное расследование, с завершённым криминалистическим анализом, сопоставленными сигналами и черновиком реагирования, а не сырые алерты. Аналитики применяют суждение к уже подготовленным, подкреплённым доказательствами кейсам, а не тратят время на проверку необработанных срабатываний. Выводы, сделанные медленным мозгом, возвращаются и улучшают быстрый мозг, две системы усиливают друг друга.
Есть два варианта, как всё это может пойти не так. Первый, классическая перегрузка: люди застревают на ручной сортировке, когнитивный ресурс заканчивается раньше, чем аналитик доходит до случаев, требующих настоящего суждения. Пропускаются угрозы, появляются дыры в покрытии, а найм новых сотрудников только линейно масштабирует проблему, не решая её. Второй вариант, характерный для нынешней волны увлечения ИИ: в SOC ставят передовую языковую модель напрямую перед сырыми данными обнаружения и называют это «ИИ-центром безопасности». По сути это та же система 2, выполняющая работу системы 1, только быстрее и дороже. Каждое расследование по-прежнему инициирует человек. При текущей стоимости токенов прогонять фронтир-модель через каждый алерт экономически не имеет смысла в масштабе, поэтому команды тихо начинают пропускать алерты с низким приоритетом. Проблема не решена, она просто переименована.
Правильная архитектура на 2026 год выглядит иначе. Быстрый мозг — специально построенная система криминалистического расследования, а не универсальная языковая модель, покрывающая 100% сигналов автоматически и передающая собранные кейсы дальше. Медленный мозг — инструменты типа Claude, Cursor или Codex, получающие эскалированные случаи с полным контекстом; аналитики в этой схеме скорее наблюдают, чем сортируют. Обе части работают на общей базе знаний, создавая цикл накопительного улучшения.
Есть и стратегический вопрос, касающийся собственности на данные. Компании, отдающие безопасность на аутсорс провайдерам MDR, не владеют собственным слоем знаний. Правила обнаружения, история кейсов, логика сортировки, организационный контекст накапливаются на платформе поставщика, а не внутри компании. Подключение Claude или Codex к операциям безопасности, построенным на чужом фундаменте, означает, что системе 2 буквально не с чем работать. Разумнее вернуть расследования внутрь организации: это предварительное условие для того, чтобы аналитические копилоты приносили реальную пользу. Каждый расследованный алерт, каждый закрытый кейс, каждое настроенное правило должны накапливаться в собственной инфраструктуре компании.
Мысль Канемана в применении к кибербезопасности звучит так: лучшие люди, принимающие решения, знают, какой режим мышления требуется ситуации, и выстраивают процессы соответственно. Побеждать в 2026 году будут не команды с наибольшим числом аналитиков или самой мощной языковой моделью, а те, кто правильно спроектировал систему, где быстрый мозг обрабатывает объём, а медленный освобождён для суждения. ИИ исполняет. Люди наблюдают. И когда архитектура выстроена верно, наблюдение становится самой интересной частью работы.