.PNG)
1Что такое Threat Intelligence
Threat Intelligence (TI, киберразведка) — это процесс сбора, обработки и анализа данных об актуальных киберугрозах с целью принятия превентивных мер защиты. TI переводит «сырые» данные об атаках в структурированные знания: кто атакует, какими инструментами, на какие отрасли нацелен, и какие индикаторы компрометации (IOC) уже наблюдаются в реальных кампаниях.
Без Threat Intelligence SOC работает реактивно — реагирует на уже случившиеся инциденты. С TI SOC переходит к проактивной защите: блокирует известные индикаторы компрометации ещё до того, как злоумышленник достигнет цели. Это принципиальное отличие зрелого центра мониторинга от базового.
2Типы Threat Intelligence
| Тип | Что содержит | Кто использует | Пример |
|---|---|---|---|
| Стратегический | Тренды, мотивы APT-групп, геополитические риски | CISO, совет директоров | Отчёт: рост атак на финсектор РФ в 2025 году |
| Оперативный | Кампании угроз, TTPs конкретных группировок | Руководители SOC, IR-команды | Описание кампании Cobalt Strike от APT29 |
| Тактический | TTPs по MITRE ATT&CK: техники, тактики, процедуры | SOC-аналитики, Threat Hunters | T1566.001 Spearphishing Attachment — характеристики |
| Технический | Конкретные IOC: IP, домены, хеши файлов, URL | Инженеры SIEM, администраторы СЗИ | Hash MD5 вредоноса: a1b2c3d4e5f6... |
Совет
3Цикл Threat Intelligence (Intelligence Lifecycle)
1. Планирование
Определение приоритетных угроз для конкретной организации: отрасль, регион, размер компании, тип данных. Формулировка разведывательных требований (PIR).
2. Сбор данных
Агрегация данных из OSINT-источников, коммерческих фидов, технических сенсоров (honeypot, dark web мониторинг, партнёрские платформы).
3. Обработка
Нормализация, дедупликация и обогащение сырых данных. Перевод IOC в машиночитаемые форматы STIX/TAXII для автоматической загрузки в SIEM.
4. Анализ
Оценка достоверности и релевантности: насколько угроза применима к данной организации, какова вероятность атаки, какие активы под угрозой.
5. Распространение
Передача аналитики потребителям: блокировка IOC в межсетевых экранах, загрузка в SIEM, информирование CISO, уведомление ГосСОПКА.
6. Обратная связь
Оценка эффективности применённого TI: сколько атак было заблокировано, насколько точны были прогнозы, что улучшить в следующем цикле.
4IOC vs TTPs: в чём разница
Два главных объекта Threat Intelligence — индикаторы компрометации (IOC) и техники, тактики и процедуры (TTPs). Они различаются по уровню абстракции и «сроку жизни»:
| Параметр | IOC (Индикаторы компрометации) | TTPs (по MITRE ATT&CK) |
|---|---|---|
| Что это | Конкретные технические артефакты атаки | Способы действия злоумышленника |
| Примеры | IP 185.x.x.x, домен evil.com, хеш SHA256 | T1059 Command Scripting, T1078 Valid Accounts |
| Срок жизни | Дни — недели (легко изменить) | Месяцы — годы (менять дорого) |
| Применение | Блокировка в firewall, SIEM-правила | Детект-логика, Threat Hunting, Red Team |
| Ценность | Быстрая блокировка конкретной угрозы | Устойчивая защита от класса атак |
5Источники Threat Intelligence
Открытые источники (OSINT)
VirusTotal, Shodan, AlienVault OTX, abuse.ch, URLhaus, базы уязвимостей NVD/BDU ФСТЭК. Бесплатны, но требуют ручной обработки и верификации.
Коммерческие TI-платформы
PT Expert Security Center (Positive Technologies), Group-IB Threat Intelligence, Kaspersky TIP. Высокое качество аналитики, релевантность для России, поддержка MISP/STIX.
Государственные источники
ГосСОПКА (НКЦКИ ФСБ), ФинЦЕРТ Банка России. Обязательны для субъектов КИИ и финансовых организаций. Содержат актуальные IOC по атакам на отечественную инфраструктуру.
Собственные сенсоры и ISAC
Honeypot-ловушки, анализ собственных инцидентов, отраслевые центры обмена данными (ISAC). Уникальные данные, недоступные внешним источникам.
Статистика
67% APT-атак используют TTPs известных группировок
По данным MITRE ATT&CK. Threat Intelligence позволяет опередить атакующего: блокировать инфраструктуру и выявить признаки атаки до нанесения ущерба
6Threat Intelligence в SOC КРЕДО-С
SOC КРЕДО-С интегрирует Threat Intelligence на всех уровнях защиты: от автоматической загрузки IOC-фидов в SIEM до ручного Threat Hunting по тактикам актуальных APT-групп. Мы подключены к коммерческим TI-платформам, ГосСОПКА и собственной сети сенсоров — что обеспечивает максимальное покрытие актуальных угроз для российского рынка.
50+
Источников TI
OSINT + коммерческие + ГосСОПКА
24ч
Обновление IOC
фиды загружаются ежедневно
MITRE
ATT&CK
покрытие техник атак
<1ч
Блокировка IOC
от получения до применения
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Олег Демьянов
Руководитель отдела информационной безопасности
С 2018 года консультирует ключевых игроков российского бизнеса. Экспертиза — промышленность, медицина, транспорт, органы власти. Специализация: управление уязвимостями, риск-менеджмент ИБ.