Skip to content
EN
← Все статьи

Threat Intelligence (TI): что такое киберразведка

Threat Intelligence (киберразведка, TI) — это процесс сбора, обработки и анализа данных об актуальных киберугрозах, атакующих группировках и их методах, который превращает разрозненные сигналы в контекстные, действенные выводы. TI помогает командам безопасности предвидеть атаки, приоритизировать защиту и принимать решения на основе фактов, а не догадок.

Что такое threat intelligence простыми словами

Термин «разведка» здесь ключевой: сырые данные (например, список подозрительных IP геолокацию) сами по себе не являются threat intelligence. Разведкой они становятся только после того, как прошли через аналитический цикл — были проверены, обогащены контекстом и связаны с конкретной угрозой для конкретной организации. Классическое определение Gartner описывает threat intelligence как знание, основанное на доказательствах, включающее контекст, механизмы, индикаторы и практические рекомендации об угрозе, которое можно использовать для принятия решений о реагировании.

Разница между «данными», «информацией» и «разведкой» фундаментальна. Данные — это факт (домен, хэш файла, IP). Информация — это несколько связанных фактов (домен резолвится в этот IP и раздаёт этот файл). Разведка — это ответ на вопрос «и что теперь делать»: этот домен принадлежит инфраструктуре группировки, атакующей ваш сектор, и его нужно заблокировать прямо сейчас. Именно последний уровень отличает зрелую программу TI от простой подписки на фиды индикаторов.

Threat intelligence строится вокруг жизненного цикла разведки (intelligence lifecycle), заимствованного из военной и государственной разведки: постановка требований (что мы хотим узнать), сбор данных, обработка, анализ, распространение готовых выводов среди потребителей и обратная связь для корректировки требований. Этот цикл делает TI повторяемым процессом, а не набором единичных отчётов.

Типы threat intelligence (стратегический, тактический, операционный, технический)

Threat intelligence принято делить на четыре уровня по глубине, аудитории и сроку жизни. Понимание этих уровней помогает не путать «фид индикаторов» с «отчётом для совета директоров» — это принципиально разные продукты для разных потребителей.

  • Стратегический TI — высокоуровневый анализ трендов угроз, геополитики, мотивации и рисков для бизнеса. Аудитория — руководство, CISO, совет директоров. Формат — аналитические отчёты, брифинги. Срок жизни — месяцы и годы.
  • Тактический TI — описание тактик, техник и процедур (TTP) атакующих: как именно они проникают, закрепляются и продвигаются в сети. Аудитория — архитекторы защиты, руководители SOC. Опирается на фреймворк MITRE ATT&CK. Срок жизни — недели и месяцы.
  • Операционный TI — сведения о конкретных надвигающихся кампаниях и группировках: кто, когда и как планирует атаку. Аудитория — команды реагирования (IR) и threat hunters. Источники — форумы, даркнет, мониторинг сайтов инфраструктуры. Срок жизни — дни и недели.
  • Технический TI — машинно-читаемые индикаторы компрометации (IOC): хэши файлов, вредоносные домены, IP, сигнатуры. Аудитория — средства защиты (SIEM, EDR, файрволы) и автоматизация. Срок жизни — часы и дни, индикаторы быстро устаревают.
УровеньАудиторияПример продуктаСрок жизниКлючевой вопрос
СтратегическийCISO, совет директоровОтчёт о трендах угроз для отраслиМесяцы–годыКто и почему угрожает бизнесу?
ТактическийАрхитекторы, лиды SOCРазбор TTP по MITRE ATT&CKНедели–месяцыКак именно атакуют?
ОперационныйIR, threat huntersОповещение о кампании группировкиДни–неделиЧто готовится против нас сейчас?
ТехническийSIEM, EDR, файрволыФид IOC (хэши, домены, IP)Часы–дниКакие индикаторы блокировать?

Источники данных TI (IOC, TTP, OSINT)

Ценность threat intelligence напрямую зависит от качества и разнообразия источников. Опора на один тип данных создаёт слепые зоны, поэтому зрелые программы комбинируют несколько категорий.

  • Индикаторы компрометации (IOC) — конкретные технические артефакты атаки: SHA-256 хэши вредоносных файлов, домены управления (C2), IP-адреса, URL, почтовые адреса фишинга. IOC легко автоматизировать, но они быстро устаревают, потому что атакующие меняют инфраструктуру.
  • Тактики, техники и процедуры (TTP) — устойчивое поведение атакующих, которое менять гораздо дороже, чем IP-адрес. Согласно концепции «пирамиды боли» (Pyramid of Pain) Дэвида Бьянко, блокировка на уровне TTP причиняет атакующему максимальный ущерб, тогда как блокировка хэшей — минимальный.
  • OSINT (разведка по открытым источникам) — данные из публичных источников: блоги исследователей, отчёты CERT, социальные сети, реестры доменов и сертификатов, репозитории кода. OSINT дёшев и обширен, но требует тщательной проверки достоверности.
  • Закрытые и коммерческие источники — мониторинг даркнет-форумов, ISAC/ISAO (отраслевые центры обмена), платные фиды вендоров, телеметрия из собственной сети организации (внутренний TI — часто самый ценный).

Для стандартизированного обмена индикаторами используется формат STIX (Structured Threat Information eXpression) и транспортный протокол TAXII, разработанные под эгидой OASIS. Они позволяют разным платформам и организациям автоматически обмениваться разведданными в едином машинно-читаемом виде.

Как использовать threat intelligence

Главная ошибка начинающих программ TI — накапливать индикаторы без ясного применения. Разведка приносит пользу только тогда, когда встроена в конкретные процессы безопасности.

  1. Обогащение алертов в SOC. Когда SIEM генерирует срабатывание, TI мгновенно отвечает: этот IP известен как C2-сервер конкретной группировки? Это повышает точность триажа и снижает усталость от ложных срабатываний.
  2. Приоритизация уязвимостей. TI показывает, какие CVE активно эксплуатируются «в дикой природе» (например, через каталог CISA KEV), позволяя латать в первую очередь то, что реально атакуют, а не абстрактно «критичное».
  3. Блокировка и детект. Технические IOC автоматически загружаются в файрволы, EDR и почтовые шлюзы для проактивной блокировки.
  4. Threat hunting. Тактический TI даёт гипотезы: если группировка использует определённую технику закрепления, hunters ищут её следы в своей сети до срабатывания алертов.
  5. Стратегические решения. Руководство использует TI для оценки рисков, планирования бюджета и выбора приоритетов защиты.

Проверить внешнюю поверхность атаки и базовую гигиену домена помогают и open-source инструменты. Например, регулярная проверка SIEM-корреляции и мониторинг заголовков, DNS и проверку SSL дают сырьё для внутреннего технического TI.

TI и MITRE ATT&CK

MITRE ATT&CK — это открытая, регулярно обновляемая база знаний о тактиках и техниках атакующих, основанная на наблюдениях за реальными инцидентами. Она стала де-факто общим языком для описания поведения угроз и напрямую связана с тактическим уровнем threat intelligence.

Матрица ATT&CK организована по тактикам (цели атакующего: первоначальный доступ, закрепление, повышение привилегий, боковое перемещение, эксфильтрация и т.д.) и техникам (конкретные способы достижения этих целей, каждая с уникальным ID вида T1566 для фишинга). Threat intelligence, привязанный к ATT&CK, позволяет: сравнивать группировки по их арсеналу техник, строить «тепловые карты» покрытия детектами, выявлять пробелы в защите и планировать приоритеты для команды детектирования.

Практическая ценность в том, что вместо абстрактного «нас могут атаковать» команда получает конкретное «группировка X использует техники T1566, T1059 и T1053; у нас есть детекты на две из трёх — закрываем третью». Это превращает threat intelligence из чтения отчётов в измеримую программу улучшения защиты. Многие TI-провайдеры и MDR-сервисы сегодня по умолчанию маппируют свои находки на ATT&CK.

TI-платформы (TIP)

Платформа threat intelligence (TIP, Threat Intelligence Platform) — это система, которая централизует сбор, нормализацию, обогащение, хранение и распространение разведданных из множества источников. Без TIP аналитики тонут в дублирующихся индикаторах из десятков фидов в несовместимых форматах.

Ключевые функции TIP:

  • Агрегация фидов — сбор данных из коммерческих, открытых и внутренних источников в одно хранилище.
  • Дедупликация и нормализация — приведение индикаторов из разных форматов (STIX, CSV, JSON) к единому виду и удаление дубликатов.
  • Обогащение — автоматическое добавление контекста: репутация, геолокация, связь с известными группировками.
  • Скоринг и приоритизация — оценка достоверности и релевантности каждого индикатора для конкретной организации.
  • Интеграция — автоматическая отдача проверенных IOC в SIEM, EDR, SOAR и файрволы через API документацию.

Среди распространённых решений — open-source платформы MISP и OpenCTI, а также коммерческие продукты от Anomali, ThreatConnect, Recorded Future и других вендоров. Выбор зависит от зрелости команды, бюджета и требований к интеграциям.

Threat intelligence vs threat hunting

Эти термины часто путают, но они описывают разные (хотя и связанные) дисциплины. Threat intelligence отвечает на вопрос «что известно об угрозах?» — это знание. Threat hunting отвечает на вопрос «есть ли эта угроза уже у нас?» — это активный поиск в собственной инфраструктуре.

Связь между ними двусторонняя. TI питает hunting гипотезами: аналитик читает, что группировка использует определённую технику, и hunter идёт искать её следы в логах. Обратно, результаты hunting порождают новый внутренний TI: обнаруженные в своей сети артефакты становятся ценными индикаторами. Threat hunting предполагает, что превентивные средства уже пропустили атаку, и ищет её проактивно, не дожидаясь алерта. Оба процесса часто живут внутри зрелого SOC и усиливают друг друга.

Ключевое различие в позиции: TI смотрит наружу (внешний ландшафт угроз), hunting смотрит внутрь (собственная сеть). Программа безопасности нуждается в обоих: разведка без охоты остаётся теорией, а охота без разведки бьёт вслепую.

FAQ

Чем threat intelligence отличается от антивируса или файрвола?

Антивирус и файрвол — это средства защиты, которые блокируют угрозы по заранее заданным правилам. Threat intelligence — это знание, которое питает эти средства свежими данными и помогает людям принимать решения. TI не блокирует атаки напрямую, но делает всю остальную защиту умнее и своевременнее.

Нужен ли threat intelligence малому бизнесу?

Малому бизнесу редко нужна полноценная TI-программа с аналитиками, но базовое использование доступно всем: подписка на бесплатные фиды, каталог CISA KEV для приоритизации патчей, отраслевые оповещения CERT. Часто малый бизнес получает TI косвенно — через MDR-сервис или облачные средства защиты, которые уже используют разведданные.

Что такое индикатор компрометации (IOC)?

IOC — это технический артефакт, указывающий на возможную компрометацию: хэш вредоносного файла, домен управления, IP-адрес атакующего, подозрительный URL. IOC машинно-читаемы и легко автоматизируются, но быстро устаревают, поэтому опора только на них считается менее устойчивой, чем детект по поведению (TTP).

Что такое STIX и TAXII?

STIX — стандартизированный язык описания киберугроз в машинно-читаемом виде, а TAXII — протокол для их автоматической передачи между системами. Вместе они позволяют организациям и платформам обмениваться разведданными без ручной работы. Оба стандарта поддерживаются организацией OASIS.

С чего начать построение программы threat intelligence?

Начните с определения требований: какие угрозы наиболее релевантны вашему сектору и активам. Затем подключите несколько качественных источников, наладьте базовое обогащение алертов в SIEM и маппинг на MITRE ATT&CK. Наращивайте зрелость постепенно — от технического TI к стратегическому, добавляя платформу (TIP) по мере роста объёмов.

Threat intelligence и EDR — как связаны?

EDR использует threat intelligence как источник свежих индикаторов и правил детектирования, а также генерирует телеметрию, из которой формируется новый внутренний TI. Это двусторонний обмен: разведка делает EDR точнее, а EDR обогащает разведку данными о реальных атаках на вашу инфраструктуру.

Проверьте ваш сайт прямо сейчас

Проверить безопасность сайта →
Другие статьи: Безопасность
Безопасность
Заголовки безопасности: CSP, HSTS, X-Frame-Options и другие
10.03.2025 · 335 просм.
Безопасность
MDR (Managed Detection and Response): что это и как работает
17.07.2026 · 5 просм.
Безопасность
MDR vs MSSP vs SOC: что выбрать
17.07.2026 · 6 просм.
Безопасность
Письма уходят в спам: причины и как исправить
23.06.2026 · 73 просм.