Технологии

Разведка угроз: как работает Threat intelligence и для чего бизнесу нужен этот инструмент

18 июня

9 минут

Поделиться в соцсетях

Разведка угроз: как работает Threat intelligence и для чего бизнесу нужен этот инструмент

Искусственный интеллект Кибербезопасность

Кибербезопасность долго оставалась зоной ответственности ИТ-отдела, а не стратегическим приоритетом бизнеса. Сегодня эта логика устарела: атаки на цифровую инфраструктуру приводят к остановке операционных процессов, утечкам коммерческой тайны и прямым финансовым потерям. Большинство организаций по-прежнему работают реактивно, разбирают инциденты постфактум. Альтернатива — Threat intelligence (киберразведка), дисциплина, которая позволяет прогнозировать и нейтрализовать атаки до начала угрозы. Разбираемся, как работает этот инструмент и в чём его польза для компаний.

Содержание:

Что такое threat intelligence (TI) и зачем это бизнесу
Автоматизация и искусственный интеллект в кибирразведке
Как развивается рынок аналитики киберугроз в России
Чек-лист: как выбрать TI-платформу
Главное по тексту

Что такое Threat intelligence (TI) и зачем это бизнесу

По определению Gartner, Threat intelligence (TI) — это основанное на доказательствах знание, которое включает контекст, механизмы атак, индикаторы компрометации и практические рекомендации по действиям в отношении существующих и потенциальных угроз. Проще говоря, TI — это не просто список «плохих» доменов и IP-адресов (internet protocol — межсетевой протокол), а структурированная аналитика о том, кто атакует, почему, какими методами и что именно является целью.

Николай Гончаров

директор департамента мониторинга кибербезопасности Security Vision

Threat intelligence — это услуги или платформы, предоставляющие структурированные данные о текущих киберугрозах. Они в автоматическом режиме собирают и анализируют огромные массивы информации, такие как вредоносные IP-адреса и домены, файлы и хеши вредоносных программ, маркеры атак, сведения о хакерских группировках, утечки учётных данных и многие другие индикаторы компрометации. Это позволяет понимать, какие атаки происходят прямо сейчас в мире, кто их проводит и какими инструментами пользуется. Эти сведения дают возможность действовать проактивно и не ждать инцидента, а заранее блокировать вредоносную активность, настраивать защиту под актуальные схемы атак и быстрее выявлять угрозы внутри инфраструктуры.

Ключевое отличие Threat intelligence от традиционных средств защиты — в природе получаемой информации. Межсетевой экран или антивирус фиксирует факт угрозы в момент её появления. TI работает на опережение, собирая и анализируя данные из десятков источников: открытых, закрытых коммерческих фидов, дарквеба (dark web — тёмная сеть), отраслевых центров обмена данными, внутренних журналов событий, — и формирует из них разведывательный продукт, пригодный для принятия решений.

Threat intelligence неоднороден, он существует на четырёх уровнях, каждый из которых решает задачи конкретных потребителей внутри компании.

Стратегический — для топ-менеджмента и директоров по информационной безопасности (ИБ). Аналитика о долгосрочных трендах, мотивации групп злоумышленников, геополитических факторах, влияющих на ландшафт угроз. Формат — отчёты, сводки без погружения в технические детали. Помогает принимать решения об инвестициях в ИБ и приоритизировать риски на уровне совета директоров.
Операционный — для команд реагирования на инциденты. Данные о конкретных кампаниях атакующих: их цели, инструменты, временны́е паттерны. Этот уровень сложнее всего получить: информация, как правило, поступает из закрытых форумов и профессиональных сетей, недоступных рядовым аналитикам.
Тактический — для команды SOC (security operations center — центр мониторинга информационной безопасности). Детальные данные о тактиках, техниках и процедурах (tactics, techniques and procedures, TTP) атакующих в контексте фреймворка (framework — структура, конструкция) MITRE ATT&CK. Позволяет выстраивать сценарии детектирования, обновлять правила SIEM (security information and event management — управление информацией и событиями безопасности) и обучать персонал распознавать конкретные паттерны атак.
Технический — для SIEM и других автоматизированных систем защиты. Индикаторы компрометации — вредоносные IP, домены, хеши файлов, сигнатуры вредоносного программного обеспечения (ПО). Наиболее «короткоживущий» тип данных: злоумышленники регулярно меняют инфраструктуру, поэтому технический TI требует постоянного обновления.

Зачем всё это нужно компании, которая уже вложилась в антивирусы, SIEM и периметровую защиту? Ответ — в природе современных атак. В отчёте X‑Force Threat Intelligence Index 2026 отмечается, что эксплуатация уязвимостей стала ведущей причиной атак, составив около 40% наблюдаемых инцидентов. При этом злоумышленники из года в год используют схожие тактики и инфраструктуру: группировки не меняют свои TTP так же быстро, как меняют IP-адреса или домены. Это означает, что, зная почерк атакующего, можно обнаружить угрозу на самых ранних стадиях — до того, как она материализуется в инцидент.

Олег Скулкин

руководитель BI.ZONE Threat Intelligence

Киберразведка нужна не только тем, у кого есть SOC. TI-решения позволяют справиться с целым рядом задач кибербезопасности с фокусом на реальных, а не на теоретических злоумышленниках. Например, киберразведка позволяет оперативно устранять те уязвимости, которые уже используют в реальных атаках или обсуждают в даркнете. Также она даёт возможность получать больше контекста к срабатываниям антивирусного ПО, это необходимо для правильной оценки угроз и адекватного реагирования на них. Кроме того, TI-решения дают понимание, как действуют злоумышленники, и позволяют использовать эту информацию для харденинга IT-инфраструктуры.

Конкретные выгоды, которые TI даёт операционным командам:

снижение «шума» — контекстная аналитика позволяет быстро отсеивать ложные срабатывания и концентрироваться на реальных угрозах, уменьшая усталость аналитиков;
ускорение триажа — обогащённые данными оповещения об опасности позволяют SOC-команде быстрее оценивать серьёзность инцидента и принимать решение о реагировании;
проактивный поиск угроз (threat hunting) — имея данные о TTP активных группировок, аналитики могут целенаправленно искать следы компрометации внутри инфраструктуры, не дожидаясь срабатывания сигнала тревоги;
обоснованное управление рисками — руководители получают аргументированную картину угроз для принятия решений о приоритетах защиты и распределении бюджета.

Именно этот переход — от реактивной защиты к проактивной разведке — становится главным аргументом в пользу Threat intelligence для бизнеса любого масштаба.

Автоматизация и искусственный интеллект в киберразведке

Современный ландшафт киберугроз характеризуется не только изощрённостью, но и масштабами. По данным института ИТ-безопасности AV‑TEST, в мире ежедневно регистрируется более 450 000 новых образцов вредоносного ПО и потенциально нежелательных приложений. В таких условиях ручной анализ данных становится не просто неэффективным, но опасным: пока аналитик изучает один инцидент, десятки других остаются незамеченными.

Решением этой проблемы стали платформы для работы с данными киберразведки — Threat intelligence platforms (TIP) — высокотехнологичные центры управления, которые выступают усилителями ИБ-команд. Задача TIP — агрегировать данные из сотен источников (коммерческих, государственных, открытых и закрытых), нормализовать их и обогатить контекстом.

Валерия Чулкова

руководитель продукта R-Vision TIP в компании R-Vision

TIP значительно повышает эффективность ИБ-команд. Такие платформы хорошо автоматизируют рутинные операции: агрегацию данных из разных источников, дедупликацию индикаторов, обогащение контекстом, корреляцию. Это позволяет аналитикам тратить меньше времени на механическую обработку данных. Но ключевые задачи threat intelligence по-прежнему требуют экспертизы специалистов, среди них атрибуция атак, анализ тактик и поведения злоумышленников, формирование стратегических выводов. Без аналитиков TIP превращается просто в автоматический обработчик индикаторов компрометации. С аналитиками же он становится полноценным центром киберразведки.

Использование искусственного интеллекта (artificial intelligence, AI) и машинного обучения (machine learning, ML) в современных TI-платформах — производственная необходимость. «Обычно эти технологии используются для автоматизации атрибуции — аналитику остаётся лишь подтвердить вердикт. Мы обрабатываем большое количество телеметрии, и автоматизация, в том числе применение AI и ML, играет в этом ключевую роль. Человеку справиться с таким объёмом просто не под силу, однако анализ был и остаётся его задачей. Тем не менее правильная обработка данных сокращает процесс с часов до минут», — говорит руководитель BI.ZONE Threat Intelligence Олег Скулкин.

ИИ-технологии позволяют решать задачи, недоступные человеку по скорости и объёму.

Прогностическая аналитика. Алгоритмы анализируют паттерны поведения хакерских групп и предсказывают вероятные векторы атак ещё до их начала.
Интеллектуальный скоринг. ИИ автоматически присваивает уровень риска каждому индикатору, отсеивая шум и ложные срабатывания и позволяя специалистам фокусироваться на критических угрозах.
Обработка естественного языка (NLP, natural language processing). Современные платформы позволяют аналитикам делать запросы на обычном языке, мгновенно извлекая данные из тысячи отчётов, блогов, форумов дарквеба.

Автоматизация помогает сократить среднее время реагирования (mean time to respond, MTTR) на 50–80%. Когда система обнаруживает совпадение с известным индикатором угрозы, она может автоматически запустить плейбук (playbook — инструкция) — сценарий защиты, который блокирует вредоносный трафик на уровне межсетевого экрана или изолирует скомпрометированную рабочую станцию через систему EDR (endpoint detection and response — обнаружение и реагирование на конечных точках).

Николай Гончаров

директор департамента мониторинга кибербезопасности Security Vision

Базовые ожидания от TI заключаются в получении потоков индикаторов компрометации и возможности их интеграции и загрузки в SIEM и другие системы безопасности для корреляции с событиями безопасности. За последнее время, по мере роста зрелости кибербезопасности в компаниях, запросы смещаются в сторону контекста и аналитики. Заказчики хотят понимать, какие преступные группы стоят за атаками, какие техники они используют, какие отрасли сейчас находятся под прицелом и какие риски актуальны именно для их бизнеса. Появляется интерес к проактивной разведке, мониторингу даркнета, поиску утечек данных, обнаружению продажи доступов к инфраструктуре компаний. Возрастают и технические требования к самим платформам, они уже воспринимаются не просто как ещё один источник данных, а как полноценные платформы киберразведки с самостоятельными механизмами обогащения инцидентов и их выявления, которые способны самостоятельно обрабатывать огромные массивы информации.

На 50–80%

сокращается время реагирования на ИБ-инциденты благодаря автоматизации

Как развивается рынок аналитики киберугроз

Мировой рынок Threat intelligence, по прогнозам Fortune Business Insights, будет расти на 18,3% ежегодно в период с 2026 по 2034 год. При этом весь рынок кибербезопасности к 2032 году будет увеличиваться со среднегодовым темпом 13,8%.

Глобальный рынок Threat Intelligence, млрд долларов

Глобальный рынок threat intelligence, млрд долларов

Источник: Fortune Busines

Российский рынок информационной безопасности в 2025 году преодолел знаковую отметку в 400 млрд рублей, показав рост на 20–25% (данные TAdviser). Сегмент Threat intelligence развивается ещё быстрее — на 25–40% ежегодно. Этот бум обусловлен качественным изменением структуры угроз. Если раньше основной целью хакеров были финансовые организации, то в 2025 году фокус сместился на кибершпионаж (37% всех атак) и промышленный сектор (17% атак). Злоумышленники стали охотиться за интеллектуальной собственностью, чертежами, результатами научно-исследовательских работ. В таких условиях TI перестаёт быть опцией для избранных и становится базовым элементом защиты для любого крупного бизнеса.

Валерия Чулкова

руководитель продукта R-Vision TIP в компании R-Vision

Если раньше TI ассоциировался в первую очередь с крупными банками и телеком-операторами, то сегодня интерес проявляет и средний бизнес. Этому есть несколько причин. Во-первых, усиливается регуляторное давление в части мониторинга угроз и использования средств защиты информации. Во-вторых, злоумышленники активно атакуют сегмент СМБ, для многих компаний он стал не менее привлекательной целью, чем крупный бизнес. Порог входа снижается за счёт нескольких факторов: появления облачных TIP-решений, которые не требуют сложного внедрения и собственной инфраструктуры, возможности работы по модели аутсорсинга ИБ, а также интеграции с бесплатными TI-сервисами и open-source-источниками. Средний бизнес чаще всего выбирает SaaS-модель, готовые сценарии и интеграции «из коробки». В таком формате TIP становится практичным инструментом поддержки процессов мониторинга и реагирования.

Стремительный рост целевых атак и уход западных вендоров стимулировали переход на отечественные решения в сфере ИБ: коммерческие TI-платформы с платной подпиской, а также на общедоступные, такие как банк данных угроз безопасности ФСТЭК (Федеральной службы по техническому и экспортному контролю) и платформа X-Threat Intelligence Сбера, которая аккумулирует данные из более чем 1500 источников информации, включая собственные исследования лаборатории кибербезопасности банка. «Глобальные TI-источники, безусловно, полезны, но они не всегда хорошо покрывают российский сегмент интернета и локальную специфику атак, — объясняет Валерия Чулкова. — Кроме того, для российских компаний сохраняются ограничения: зарубежные фиды могут перестать поддерживаться, возникают сложности с оплатой или юридические ограничения на использование. Поэтому глобальные источники чаще выступают как дополнительный слой контекста, который ещё нужно адаптировать под локальную реальность. Именно поэтому доступ к отечественной экспертизе и региональным фидам становится стратегически важным. Российские поставщики данных лучше отражают локальный ландшафт угроз, используемые инструменты и целевые отрасли».

Сбер активно анализирует информацию о возможных угрозах и методах противодействия и делится полученной информацией с рынком. Платформа X-TI отслеживает появление киберугроз на различных ресурсах, включая теневой сегмент интернета, помогает прогнозировать атаки до их реализации и предлагает инструменты и рекомендации по устранению уязвимостей. Информация о любой новой уязвимости в мире публикуется на платформе в течение двух часов с момента её появления. Это универсальный сервис для экспертов по кибербезопасности, разработчиков, администраторов и других представителей ИТ-служб. Платформа уже включает более 515 000 описаний уязвимостей и более 1000 аналитических отчётов.

Эксперты подчёркивают, что TI-инструменты направлены на усиление уже выстроенных процессов безопасности. «Важно не воспринимать решения класса TIP как отдельную „коробку“. Индикатор компрометации не существует в вакууме, он всегда связан с другими артефактами и контекстом. Точно так же и TIP должен работать как надстройка над уже выстроенной базой процессов ИБ. Такой базой обычно выступают процессы мониторинга и реагирования на инциденты», — отмечает Валерия Чулкова.

В R-Vision выделяют несколько признаков того, что компания готова к внедрению TI-платформы:

организован центр мониторинга инцидентов ИБ (SOC);
формализованы процессы incident response («реакция на событие») — с регламентами и SLA (service level agreement — соглашение об уровне услуг);
присутствует хотя бы начальный опыт работы с источниками TI — ручной или полуавтоматизированный сбор данных;
есть накопившаяся потребность автоматизировать эти процессы и снять с аналитиков рутинную нагрузку.

На 25–40%

в год растёт рынок Threat Intelligence в России

Чек-лист: как выбрать TI-платформу

Эксперты выделяют несколько ключевых критериев, на которые нужно ориентироваться при внедрении TIP.

Покрытие и релевантность источников. Платформа должна агрегировать не только глобальные данные, но и специфические для России фиды: данные ФСТЭК (Федеральной службы по техническому и экспортному контролю), НКЦКИ (Национального координационного центра по компьютерным инцидентам), ФинЦЕРТ (центра мониторинга и реагирования на кибератаки в финансовой сфере). Важно наличие мониторинга теневых ресурсов.
Глубина автоматизации и ИИ. Актуальны решения, способные самостоятельно проводить скоринг угроз и обогащать инциденты контекстом. Это снижает нагрузку на SOC-команду на 50–70%.
Интеграционные возможности. Обязательное условие — поддержка стандартов STIX (structured threat information expression — структурированное выражение информации об угрозах), TAXII (trusted automated eXchange of intelligence information — доверенный автоматизированный обмен информацией об угрозах), наличие открытых API (application programming interface — программный интерфейс приложения). TI-платформа должна бесшовно обмениваться данными с корпоративными ИБ-системами. «Базовый минимум — двусторонняя интеграция с SIEM, автоматическая передача индикаторов в средства защиты, возможность отправлять сработки в процессы реагирования», — отмечает Валерия Чулкова.
Соответствие регуляторике. Для субъектов критической информационной инфраструктуры (КИИ) важно наличие сертификатов ФСТЭК и нахождение продукта в Реестре отечественного ПО.
Прозрачная экономика. Нужно учесть не только стоимость лицензии, но и совокупную стоимость владения (total cost of ownership, TCO), включая затраты на обучение персонала и поддержку инфраструктуры.

Заключение. Угрозы развиваются быстрее, чем большинство корпоративных стратегий защиты. Российский ландшафт кибератак характеризуется одновременно высокой интенсивностью, диверсификацией атакующих — от финансово мотивированных группировок до хактивистов — и растущей деструктивностью последствий. В этих условиях Threat intelligence перестаёт быть инструментом зрелых ИБ-служб крупных банков и операторов связи. TI становится практической необходимостью для любой организации, которая не может позволить себе стать очередным кейсом в годовом отчёте по киберинцидентам.

Главное по тексту

Threat intelligence (TI) — киберразведка — превращается из нишевого инструмента ИБ-подразделений в стратегический ресурс бизнеса. В отличие от традиционных средств защиты, которые реагируют на атаки постфактум, TI работает на опережение: собирает и анализирует данные из открытых и закрытых источников (включая теневой интернет), чтобы прогнозировать действия злоумышленников до того, как угроза реализуется. Мировой рынок TI растёт на 18,3% ежегодно, российский — на 25–40% на фоне смещения фокуса атак на кибершпионаж и промышленный сектор. Переход от реактивной защиты к проактивной позволяет бизнесу не только снижать ущерб от инцидентов, но и оптимизировать расходы на безопасность.

Что это значит для бизнеса

Киберразведка меняет философию защиты: вместо реагирования на уже случившиеся инциденты компания получает возможность прогнозировать атаки, приоритизировать риски и закрывать уязвимости до того, как ими воспользуются злоумышленники. Это снижает простои, финансовые потери и репутационные риски.
TI становится доступнее для среднего бизнеса: облачные TIP-решения (threat intelligence platforms — платформы киберразведки) и модели аутсорсинга позволяют компаниям любого масштаба получать актуальные данные об угрозах без строительства собственной дорогостоящей инфраструктуры.
Автоматизация и ИИ кратно повышают эффективность центров мониторинга ИБ: современные платформы берут на себя обработку массива данных, обогащают события контекстом и автоматически запускают сценарии реагирования. Это сокращает время реакции на инциденты на 50–80% и снижает нагрузку на аналитиков, позволяя им фокусироваться на сложных задачах.
Глобальные фиды слабо покрывают российский сегмент и не учитывают локальные тактики хакеров. Переход на отечественные платформы и источники даёт бизнесу релевантную картину угроз и обеспечивает соответствие регуляторным требованиям.
Внедрение платформы киберразведки приносит максимальную отдачу, если в компании уже выстроены процессы мониторинга и реагирования. В этом случае TIP усиливает команду, автоматизирует рутину и превращает разрозненные данные в стратегическое преимущество.

Редакция СберПро

Автор

Чтобы быть в курсе важных трендов и мнений ведущих экспертов, следите за нами в канале в Max. О развитии навыков управления, личностном росте пишем в «Дзене». Про технологии и развитие в IT — в блоге на VC.

Читать ещё:

‌

Искусственный интеллект Кибербезопасность

Поделиться в соцсетях

Статья была вам полезна?

Да

Нет