Threat Intelligence: разведка угроз для бизнеса
16 июня 2025 · 9 мин чтения · System Networks
Threat Intelligence (TI) — это структурированная информация об актуальных киберугрозах: кто атакует, какими инструментами, какие цели. TI позволяет не просто реагировать на атаки, а предвидеть их и превентивно перекрыть векторы до начала инцидента.
4 уровня Threat Intelligence
Стратегический
CISO, топ-менеджментТренды угроз для отрасли, мотивация APT-групп, геополитические риски. Без технических деталей.
Примеры: Ежеквартальные отчёты Positive Technologies, Microsoft Digital Defense Report
Оперативный
Руководители ИБКампании и тактики конкретных угрозовых группировок. TTPs (Tactics, Techniques, Procedures) по MITRE ATT&CK.
Примеры: Отчёты по APT-кампаниям, анализ вредоносного ПО
Тактический
SOC-аналитикиКонкретные IOC (Indicators of Compromise): IP, домены, хеши файлов, URL. Готовы к загрузке в SIEM.
Примеры: Фиды BI.ZONE, PT Feed, OpenPhish, MISP
Технический
Threat hunters, исследователиСырые технические артефакты: образцы вредоносного ПО, YARA-правила, конфигурации C2. Требует высокой экспертизы.
Примеры: ANY.RUN, VirusTotal, Hybrid Analysis
Как использовать TI в практике
Доступные TI-источники для российских компаний
| Источник | Тип | Стоимость |
|---|---|---|
| PT Feed (Positive Technologies) | Тактический IOC | Коммерческий |
| BI.ZONE Threat Intelligence | Оперативный + тактический | Коммерческий |
| Kaspersky Threat Intelligence Portal | Все уровни | Коммерческий |
| ФинЦЕРТ (Банк России) | Финансовый сектор | Бесплатно для участников |
| НКЦКИ (CERT-RU) фиды | Тактический | Бесплатно для КИИ субъектов |
| MISP Community | Тактический | Бесплатно (открытый) |
| AlienVault OTX | Тактический | Бесплатно |
Threat Intelligence и SOC-мониторинг
Интеграция TI-фидов в SIEM и настройка Threat Hunting →PT Feed · BI.ZONE · MITRE ATT&CK · MaxPatrol SIEM · ФСТЭК