ИИ, Purple Team и архитектура SOC: из чего собрана магистратура по кибербезопасности от ИТМО и Positive Technologies

Искусственный интеллект ^[1], Purple Team и архитектура SOC — три ключевых тренда, которые сейчас определяют развитие кибербеза. Вокруг них строится магистратура «Кибербезопасность» от ИТМО и Positive Technologies. Программа работает уже год: студенты моделируют атаки, работают с ИИ-продуктами, проектируют защиту и собирают SOC на уровне инженерных решений. В статье рассказываем о том, как устроена магистратура и зачем она нужна инженерам с опытом ^[2].

Как появился запрос на магистратуру по кибербезу

По данным совместного исследования ^[3] ЦСР «Северо-Запад» и Positive Technologies, несмотря на то что с 2016 по 2023 год число специалистов в ИБ удвоилось, дефицит кадров в этом сегменте вырос до 45% — примерно до 50 тысяч вакансий. Система образования выпускает 10–15 тысяч специалистов в год, но, чтобы закрыть потребность ^[4] растущего рынка, этого мало. К 2027 году спрос может вырасти до 235–261 тысячи человек, а кадровый дефицит достигнет 54–65 тысяч человек ― даже с учетом роста количества выпускников и автоматизации труда.

Фундаментально ИТ-образование дает теоретические знания в области математики ^[5], компьютерных сетей, операционных систем — важную, но не всегда достаточную основу. Бизнесу же нужны специалисты, которые могут решать реальные задачи в реальных условиях. Вот здесь и возникает разрыв: вузы развиваются в одном темпе, а индустрия — в другом. 

Чтобы закрыть этот разрыв, ИТМО и Positive Education запустили совместную магистратуру по кибербезопасности ^[6]. Студенты работают с лабораториями, продуктами Positive Technologies и задачами, приближенными к реальным. А фундаментальную часть, включая курсы по математике, анализу данных и методологическим основам, обеспечивает ИТМО. 

Детали учебной программы

Формат обучения ^[7]

• Длительность: 2 года (с 1 сентября 2025 года по 12 июля 2027 года).

• Форма: очная (онлайн).

• Документ по окончании: диплом государственного образца магистра ИТМО.

Кому будет интересно

• IT-специалистам, желающим углубить свои знания.

• Выпускникам технических специальностей, которые стремятся освоить новую профессию.

• Специалистам и выпускники направлений ИБ, которые ищут практико-ориентированное продолжение обучения.

Особенности программы

• Практико-ориентированный подход: тренажер PT EdTechLab и LMS 2.0 от ИТМО.

• Стажировки: шанс пройти стажировку в компаниях-партнерах.

• Преподаватели: действующие специалисты в сфере ИТ и ИБ.

• Дополнительные преимущества: государственная аккредитация, отсрочка от армии для студентов.

Карьера после окончания

• Ведущий аналитик SOC L2.

• Инженер по безопасности ML.

• Специалист по реагированию ^[8] на инциденты ИБ.

• Технический эксперт по ИБ.

Ссылка на программу ^[6] 

Магистратура строится вокруг трех направлений, которые определяют новые стандарты на рынке:

    • ИИ в кибербезе — как самая интересная для атаки и защиты технология;

    • Purple Team — как метод прокачки защиты через наступательный опыт;

    • SOC-архитектура — как опора для устойчивости бизнеса.

Эти направления выбраны неслучайно.

ИИ в кибербезе

Развитие ИИ в 2023 году дало мощный импульс к пересборке инструментов кибербезопасности. Рынок вырос на треть, а модели машинного обучения начали использоваться в ежедневных задачах: от генерации текста до анализа данных. ИИ стал полноправным участником как атакующих, так и защитных процессов.

Как показывают исследования ^[9], искусственный интеллект ускоряет подготовку и проведение атак. Сценарии его использования развиваются по пяти уровням.

• Обучение новичков: предоставление справочной информации, корректировка плана действий.

• Поддержка шагов атаки: генерация скриптов, ответы на уточняющие вопросы, подсказки по выбору методов.

• Частичная автоматизация: создание фишинга, сбор и анализ данных, эксплуатация уязвимостей.

• Почти полное покрытие этапов: выполнение большинства операций без участия человека.

• Ведение кампаний: выбор цели, планирование, проведение атаки целиком с помощью ИИ-агентов.

Реальные примеры подтверждают эти возможности. В 2023 году специалисты Positive Technologies с помощью ChatGPT нашли XXE-уязвимость. В 2024 году команда Иллинойсского университета показала, как LLM-агенты справляются с эксплуатацией как типовых, так и нулевых уязвимостей: метод HPTSA позволил разделить этапы атаки между ИИ-модулями и координировать их работу.

Алгоритмы ИИ также интегрируются в средства обнаружения, реагирования и анализа. Языковые модели помогают приоритизировать события, платформы запускают шаблонные сценарии реагирования, поведенческие модели выявляют отклонения от нормы. За счет этого растет скорость реакции, снижается количество выполняемой вручную аналитики, а защитные меры быстрее адаптируются к актуальным угрозам.

Эффективность зависит от качества обучения моделей и корректности их применения. ИИ-системы требуют точной настройки, контроля и регулярной актуализации. Ошибки ^[10] в данных приводят к ложным срабатываниям, а доверие к механизму снижается. Согласно исследованиям Positive Technologies, автоматизация сокращает время реакции и освобождает ресурсы специалистов, но нуждается в управлении и верификации на каждом этапе.

Purple Team

В классической структуре кибербезопасности команды выполняют разные задачи. Blue Team отвечает за защиту: отслеживает события, реагирует на инциденты, контролирует инфраструктуру. Red Team непрерывно анализирует защищенность ИТ-активов: ищет и эксплуатирует уязвимости с помощью методов и инструментов, которые применяют APT-группировки.

Purple-подход строится на цикличном взаимодействии: атака, расследование, повторная атака с учетом нового уровня защиты. «Красные» демонстрируют инструменты и векторы, «синие» на этом обучаются и формируют устойчивые меры защиты. В центре внимания ^[11] — конкретные сегменты инфраструктуры: подсети, облачные узлы, ключевые сервисы. Каждая зона проходит серию итераций и становится частью общей системы устойчивости. Внутри команды возможна смена ролей: участники выполняют обе задачи и развивают целостное понимание. Такой опыт формируется через практику и постоянное участие в рабочих сценариях.

В России Purple Teams распространены слабо, работают единичные команды, но устойчивой модели не сложилось. При этом запрос на универсальных специалистов внутри команд ИБ растет, и именно такой подход позволяет готовить сотрудников, способных видеть картину целиком, — и со стороны атаки, и со стороны защиты.

Макар Ляхнов, Product Owner, PT EdTechLab

Пример — сетевой аналитик, работающий с трафиком. Он лучше понимает поведение ^[12] трафика, точнее выявляет аномалии и проектирует защиту под реальные сценарии. Такой специалист работает в собственной инфраструктуре, решает актуальные задачи и усиливает команду с каждым кейсом. Этот формат обеспечивает рост компетенций и позволяет удерживать экспертизу внутри компании.

SOC-архитектура

Модель центра мониторинга уходит от пирамидального принципа. Если раньше на первой линии работало много операторов, которые вручную анализировали алерты (подозрения на инциденты), то сейчас этот уровень перестраивается в ромбовидную структуру: задачи автоматизируются, а человеческое участие смещается ближе к аналитике и принятию решений. Алгоритмы обрабатывают поток, фильтруют шум, запускают первичный анализ и передают сигналы на следующих этапах цепочки.

Современный SOC эволюционирует в сторону интеллектуальной архитектуры. Вместо скриптов — нейросети, языковые модели и платформы, способные выделять критичные события, оценивать риски и запускать сценарии реагирования. При высокой плотности ИТ-активов скорость реакции и согласованность действий обеспечиваются через автоматизированные системы. Именно они выстраивают цепочку от сигнала до ответа в реальном времени.

При этом техническое ядро современного SOC остается прежним — три ключевые технологии: SIEM, NTA и EDR. SIEM агрегирует события и строит корреляции. NTA отслеживает сетевое поведение ^[13] и фиксирует подозрительную сетевую активность. EDR работает на конечных точках: блокирует действия, изолирует процессы, собирает данные об атаках. Вокруг этого ядра выстраивается расширенный стек.

IRP-системы управляют жизненным циклом инцидентов: распределяют роли, фиксируют статусы, обеспечивают взаимодействие между командами. SOAR автоматизирует реагирование, включая блокировку пользователей, узлов и учетных записей. Платформы Threat Intelligence интегрируются в SIEM и NTA, формируя контекст и добавляя данные об актуальных угрозах. BAS используется для симуляции атак и проверки эффективности детектирования. В крупных SOC работают deception-платформы и honeypot-среды: они показывают распространение вредоносного ПО и позволяют остановить его на ранней стадии. Весь стек работает как цельная система — с замкнутым контуром от обнаружения до ответного действия.

Информационную безопасность обеспечивают три столпа: конфиденциальность, целостность и доступность. Но для бизнеса все сводится к одному — обеспечить непрерывность деятельности. Если утекли данные или ушли деньги со счета, результат один: компания перестает работать. Именно этого нельзя допустить.

Константин Смирнов, советник управляющего директора по бизнес-консалтингу, Positive Technologies

Архитекторы устойчивости: как меняется роль специалистов в ИБ

Кибербезопасность развивается вместе с технологиями. Атаки становятся точными, комплексными и требуют зрелого подхода. Средства защиты уже включают машинное обучение, языковые модели и автоматические механизмы реагирования. Вокруг классических направлений формируются новые роли: MLSecOps, безопасность в облаке и финтехе, багхантинг-аналитика, обработка данных об угрозах. Компании ищут инженеров, способных собирать из этих элементов целостную систему защиты информации с правильной архитектурой.

Вместе с этим меняется роль специалиста по ИБ. Современная индустрия кибербезопасности включает десятки направлений: от сетевых аналитиков и специалистов по реагированию на инциденты ИБ до архитекторов, пентестеров, риск-менеджеров и специалистов по безопасности приложений. В статье «Карьера в кибербезопасности, или Как расти в ИБ» ^[14] мы подробно разобрали карту профессий и возможные траектории развития — от технических до управленческих ролей. 

Изменения в первую очередь затрагивают участки, где решения принимаются вручную и объем данных высок. Там искусственный интеллект уже упрощает работу: ускоряет фильтрацию событий, помогает классифицировать инциденты и предлагает сценарии реагирования. Критически важными остаются навыки, связанные с интерпретацией угроз, влияющих на ключевые бизнес-функции. Например, кейсы с дипфейками переходят из разряда экспериментов в бизнес-риски: компании теряют деньги, доверие и операционную стабильность. 

Новые угрозы требуют специалистов, которые понимают, как они устроены, и умеют предлагать работающие решения. И в условиях, когда технологии постоянно перестраивают ландшафт ИБ, учеба остается самым эффективным способом двигаться вместе с изменениями и формировать востребованный профиль. Магистратура ИТМО — один из таких форматов: программа готовит специалистов, которые проектируют защиту под конкретную инфраструктуру, угрозы и бизнес-риски.

Прием на программу

Поступить на программу могут студенты с подготовкой в области информационных технологий: программа ориентирована на тех, кто готов углубляться в кибербез и решать задачи инженерного уровня. Набор проходит в несколько этапов: учитывается опыт кандидата, профильное образование, уровень мотивации ^[15]. 

Для поступления важна ИТ-база: сети, операционные системы, базовое понимание архитектуры. Диплом по информационной безопасности — хороший старт, но подходит и техническое образование в области ИТ. Главное — готовность развиваться именно в кибербезе. По моему опыту, те, кто пришел из ИТ, осваивают сложные вещи быстрее и растут увереннее.

Дмитрий Федоров, руководитель проектов по взаимодействию с вузами, Positive Education

Поступить в магистратуру ИТМО по направлению «Кибербезопасность» можно несколькими путями: 

• Получить призовое место на Мегаолимпиаде ИТМО.

• Победить в МегаШколе ИТМО.

• Стать медалистом олимпиады «Я — профессионал».

• Выиграть конкурс докладов «Конгресса молодых ученых».

• Сдать вступительный экзамен.

• Перезачесть результаты итоговой государственной аттестации.

• Получить рекомендательное письмо от руководителя программы.

Подробнее о способах рассказали на странице программы ^[16].

Как проходит обучение

Первый семестр включает общие предметы, которые позволяют студентам набрать актуальные для двух треков компетенции, а преподавателям ― присмотреться к студентам и рекомендовать им дальнейший путь.

Во втором семестре студенты выбирают трек: «Искусственный интеллект в ИБ» или «Актуальный SOC». 

Трек «ИИ в ИБ» включает не только изучение архитектуры и логики ИИ-систем, но и практику. 

Во время учебы студенты:

• разбирают уязвимости ИИ-моделей,

• работают с атаками на процессы обучения модели,

• изучают методы защиты от подмены данных,

• используют ИИ в задачах анализа угроз и реагирования.

Программа готовит инженеров, которые проектируют архитектуру защиты с учетом применения ИИ. В центре обучения — понимание принципов, анализ рисков и адаптация решений под инфраструктуру. ИИ становится технологией, встроенной в задачи бизнеса и устойчивости, и обучение следует этой логике ^[17].

Подход Purple Teaming применяется как метод подготовки специалистов. Студенты изучают средства защиты информации, инструменты атаки, методы расследования и архитектурные принципы. Они работают с инфраструктурой, симулируют действия APT-группировок и исследуют, как защитить систему на разных уровнях, — курс формирует инженерный профиль с глубокой специализацией. Такой специалист видит систему насквозь и способен закрывать критические зоны до того, как в них проникнет злоумышленник: он мыслит как атакующий, но работает в интересах защиты. 

Учебный процесс развивается поэтапно. Сначала — offensive-составляющая: сбор информации об узлах, подготовка инструментов и разработка стратегии атаки, эксплуатация уязвимости. Параллельно идет изучение защитной части — жизненный цикл инцидентов, средства защиты, методики реагирования. Этот комплексный подход подводит к главному этапу — модулю Purple Team. Здесь студент проводит полноценную атаку по сценарию известной группировки (например, Lazarus или LockBit): внедрение, движение по сети, шифрование. Все реализуется в изолированной среде с использованием тех же инструментов, что и у реальных хакеров. Следующий шаг — анализ и расследование. Студент разбирает собственную атаку как инцидент: проходит путь с точки зрения ^[18] защитника, использует СЗИ, фиксирует аномалии, восстанавливает цепочку событий. Таким образом строится полный цикл: от заражения до восстановления инфраструктуры.

SOC в рамках отдельного трека моделируется через практику. Студенты собирают минимальный стек: выбирают SIEM-систему, разворачивают уязвимую инфраструктуру, атакуют ее, а затем анализируют события. Они самостоятельно создают уязвимые узлы, подключают средства защиты к ИТ-активам, разрабатывают собственные уязвимые конфигурации, запускают брутфорс, сканирование и эксплуатацию, а после этого переходят к расследованию. Такой цикл позволяет увидеть весь путь атаки: от эксплуатации уязвимости до реализации недопустимого события. Аналитик изучает артефакты, знает точку входа и может точно восстановить цепочку событий.

На следующем этапе студенты работают в команде: один фиксирует инциденты ИБ в IRP-системе, другой проводит реагирование на конечных узлах. После закрытия инцидента атака повторяется — чтобы проверить устойчивость. Так формируется навык: как выстраивать систему защиты, понимать подходы злоумышленников и особенности работы средств защиты информации. Вместо демонстраций — реальные инструменты, симуляции и непрерывное чередование ролей. Магистратура дает опыт, который приближен к инфраструктуре боевого центра реагирования.

В магистратуру ИТМО приходят специалисты с опытом: администраторы, инженеры, аналитики. Каждый из них стремится выстроить целостное представление об архитектуре защиты, сопоставить свой практический опыт с актуальными подходами и понять, как решения работают в связке. Обучение строится вокруг архитектурного взгляда: студенты изучают инфраструктуру ИБ, погружаются в проектирование систем, разбирают бизнес-контекст и анализируют, как подбирать решения под конкретные риски.

Программа формирует специалистов, которые проектируют защиту как систему. Они выстраивают архитектуру, связывают компоненты, оценивают устойчивость и применяют инженерное мышление ^[19] к задачам обеспечения непрерывности бизнеса. Такой формат развивает способность видеть инфраструктуру целиком, понимать внутренние взаимосвязи и работать с комплексными вызовами на уровне проектных решений.

Примеры образовательных задач

«Оба трека дают студентам практический опыт решения актуальных задач кибербезопасности, сочетая теоретические знания с реализацией реальных сценариев атак и защиты», ― рассказывает Александр Менщиков, доцент, к. т. н., декан факультета безопасности информационных технологий ИТМО, директор учебно-практического центра «Киберполигон».

Магистранты получают доступ к внутреннему киберполигону факультета, где развернута служба Active Directory с различными ошибками администрирования. Задача — пройти весь путь от гостевого аккаунта до Domain Admin. Студенты проходят этапы от разведки общедоступных ресурсов до закрепления в домене с помощью анализа групповых политик, исследования LDAP, атак на Kerberos и злоупотребления ACL.

Кроме того, студенты подключаются к стенду-соревнованию по образу Kaggle, где получают задачу по классификации изображений. Они применяют FGSM и PGD для создания состязательных примеров, выполняют отравление данных, внедряя специально подготовленные примеры в обучающую выборку. После успешных атак студенты разрабатывают и внедряют методы защиты, включая аугментацию данных, состязательное обучение и фильтрацию аномалий, оценивая эффективность каждой стратегии.

«Удобно, что все устроено онлайн. Довольно много часов отведено на самостоятельную работу, большую часть можно осваивать самостоятельно, а с вопросами ходить к преподавателям. По многим предметам интересные задания: провести расследование, развернуть ПО на неподходящей для этого системе, реализовать атаку. Хорошо, что из частей НИР складывается диплом, нельзя отложить все на последний семестр», ― поделилась Алиса Батманова, студентка первого набора магистратуры.