Статьи

Threat Intelligence: полное руководство по киберразведке для бизнеса и ИБ-специалистов

Киберразведка (Threat Intelligence, TI) давно вошла в жизнь кибербезопасников и не является чем-то новым, однако в России это направление только набирает популярность. Давайте вместе разберемся что это, как использовать и как измерять эффективность процесса управления киберразведкой в компании. Помогут нам в этом специалисты крупнейших отечественных компаний:  BI.ZONE, Лаборатория Касперского, МТС-Банка, Инфосистемы Джет, Гарда, F6, Angara Security.

Что такое TI

Говоря сухим языком, киберразведка это процесс сбора, анализа и применения данных об актуальных и потенциальных киберугрозах для принятия обоснованных решений в области информационной безопасности. Классически , киберразведка делится на три уровня: стратегический, операционный, тактический.

Стратегический уровень киберразведданных представляет собой высокоуровневую аналитическую информацию о ландшафте угроз, мотивации атакующих, их целях, а также глобальных трендах в сфере кибербезопасности. Эти данные предназначены для руководства и управленцев, чтобы поддерживать принятие решений на уровне бизнеса и политики. Стратегическая разведка помогает компаниям понимать, какие отрасли, регионы или типы данных находятся в зоне интереса злоумышленников, учитывать геополитические и экономические факторы, влияющие на риски. На её основе разрабатываются стратегии киберзащиты, распределяются бюджеты, формируются планы реагирования и инвестиций в технологии. Такой подход позволяет компаниям не только реагировать на инциденты, но и предвосхищать угрозы, выстраивая устойчивую и долгосрочную систему защиты.

Операционный уровень киберразведданных — это сведения о конкретных кампаниях, инструментах и ТТП злоумышленников, полученные в ходе анализа текущих угроз. В отличие от стратегического уровня, фокусированного на общих тенденциях, и тактического, описывающего атомарные технические детали, операционный уровень помогает понять, как, когда и почему атакующие действуют. Эти данные обычно включают информацию о кластерах активности, применяемых эксплойтах и инструментах, временных рамках атак. Компании используют их для настройки систем обнаружения угроз, оценки рисков и повышения эффективности реагирования на инциденты. Операционная разведка позволяет ИБ-командам быть проактивными: выявлять признаки подготовки атаки, адаптировать защитные меры под текущие сценарии и быстрее локализовать инциденты при их возникновении.

Тактический уровень киберразведданных фокусируется на технических индикаторах компрометации, таких как хэши вредоносных файлов, IP-адреса бот-сетей, домены C&C-серверов, сигнатуры атак (YARA, Snort). Основным потребителем этой информации являются аналитики SOC 1 линии и средства защиты информации, которые должны блокировать соединения, файлы, трафик, содержащие индикаторы компрометации. Информацию, курсирующую на этом уровне также называют фидами. Фиды  могут быть как открытыми (open source), так и закрытыми (коммерческими). Какие из них использовать в своей инфраструктуре каждая ИБ-команда решает сама. 

Применение киберразведданных, собранных и проанализированных исходя из информации о реальных атаках, является ключевым элементом проактивной стратегии кибербезопасности. Только понимая мотивацию, цели и методы злоумышленников, организации могут эффективно оценивать риски и выстраивать устойчивую защиту, соотнося технические меры с реальными сценариями атак.

 
Олег Скулкин
Руководитель BI.ZONE Threat Intelligence

 

Преимущество бесплатных фидов очевидно - повышение уровня защиты без дополнительных затрат. Однако необходимо помнить что другой стороной медали является отсутствие ответственных за корректность предоставляемых данных, потенциально - большое количество ложных срабатываний. Кроме этого, не всегда предоставляемые данные могут быть актуальны для компании с точки зрения региона или отрасли предприятия.

Коммерческие фиды обходятся недёшево, но за это компания получает персональный подход, включающий в себя мониторинг дарквеба на предмет продажи данных о компании, более полные и достоверные данные об угрозах, на основании которых можно представить ландшафт киберрисков.

Формирование фидов вендорами представляет собой сложный и многоуровневый процесс. Для этого вендор использует большое количество данных, которые собираются с разных источников: бот-фермы, ханипоты, веб-краулеры, телеметрия с инсталляций заказчиков и информация со специализированных порталов, таких как ФинЦЕРТ и другие. Таким образом, производителем объединяются масштабные источники данных, аналитические методы и экспертная оценка.

Получаемые, из указанных выше источников, потенциально опасные файлы загружаются в песочницы, проводится анализ действий, инициируемых ими, проводится атрибуция по отношению к преступным группировкам. Между индикаторами выявляются связи, проводится привязка к географии полученных фидов. 

Для более качественного анализа используются технологии машинного обучения и искусственного интеллекта.

Современные ИБ-команды часто сталкиваются с избытком разрозненных данных и недостатком релевантных индикаторов. До 80% получаемых IoC не связаны с реальными угрозами, а критически важные сигналы теряются в информационном шуме. Поставщикам Threat Intelligence важно сосредоточиться на трех аспектах: фильтрации нерелевантных данных, отраслевой применимости индикаторов и их быстрой интеграции в системы защиты. Такой подход позволяет усилить существующие у заказчика СЗИ и качественно расширить аналитику угроз, что в конечном счете снижает время реагирования на инциденты и уменьшает нагрузку на аналитиков. В результате заказчик получает меньше ложных срабатываний, более точную приоритезацию угроз и снижение финансовых рисков компании.

 
Илья Селезнёв
руководитель продукта Гарда TI Feeds

 

Данные киберразведки могут быть представлены на TI-платформе или на TI-портале. Несмотря на некую созвучность, различия между этими терминами существенны. Разница между ними заключается в том, что TI-платформа содержит в себе данные тактического уровня, в то время как на TI-портале, кроме данных тактического уровня, собирается аналитическая информация оперативного и стратегического уровня, позволяющая принимать решения о построении защиты. Получается что портал – это довольно сложная сущность, которая содержит отчеты о злоумышленниках, вредоносном программном обеспечении, TTP, информацию из дарквеба, эксплуатируемых уязвимостях.

TI-платформа автоматизирует многие процессы и интегрируется с другими инструментами обеспечения безопасности. Threat Intelligence Portal, с другой стороны, представляет собой веб-интерфейс, который предоставляет доступ к данным TI и анализу, часто предлагая специальные возможности, такие как сканирование файлов и проверка репутации домена. Работа с порталом, в основном, происходит в ручном режиме. 

Платформа с другой стороны чаще автоматизированное решение, которое упрощает жизнь аналитикам ИБ, сокращая число ложных срабатываний и оперативно предоставляя контекст для реагирования.

Немного "очеловечим" указанное выше. Киберразведка предоставляет данные о том, кто и почему атакует страну или отрасль в которой работает компания, какие инструменты применяются при атаках. Грамотно используя эти данные можно выстроить ландшафт киберугроз, построить стратегию защиты и предотвратить атаку до ее возникновения.

Попробуем визуализировать полученные данные в виде Mind Map.

 

Каким компаниям нужен TI и с чего начать?

К сожалению, реальность такова, что проактивный анализ угроз необходим всем компаниям, у которых существует риск существенных потерь - финансовых, репутационных, и иных в случае киберинцидентов. "Идейные" хактивисты и хакеры, которые атакуют ради финансовой выгоды, или те, кто просто балуется в свободное время - все представляют собой угрозу, от которой надо защищаться. Другое дело, что не у всех организацией есть соответствующие бюджеты и человеческие ресурсы для полноценной работы с такими данными. 

«Помимо описанных преимуществ киберразведки, могу отметить также её важную роль для приоритизации и прогнозирования угроз. Данные киберразведки помогают выстроить ландшафт киберугроз для интересующей отрасли, страны или конкретной компании и сосредоточиться на защите от наиболее приоритетных угроз. В то же время, анализ данных позволяет выстроить гипотезы относительно того, какие угрозы могут быть актуальны в будущем, и проактивно подготовиться к их отражению.»

 
Елена Шамшина
Технический руководитель департамента киберразведки F6 (Threat Intellingence)

 

Предположим, что в компании раньше не было опыта работы с TI, однако у CISO есть понимание того, что с помощью данных об угроза снизить риски ИБ. Как выстроить работу?

Во-первых, можно организовать пилотный проект с одним или несколькими поставщиками данных киберразведки. Это поможет понять, способно ли предприятие технически организовать работу с данными киберразведки: поддерживают ли СЗИ эти данные? Не умирает ли SIEM используя тысячи IoC в своей работе или потребуются помощь Threat Intelligence Platform? Есть ли место в инфраструктуре для хранения получаемых данных и получаемых данных для их последующего анализа и выявления киберугроз.

Во-вторых, спланировать как будут выглядеть процессы ИБ после появления TI-данных, доступных для использования. Хватает ли ресурсов и знаний аналитиков SOC для реагирования на появляющиеся данные? Или может понадобиться помощь внешнего SOC?

В-третьих, можно сравнить работу с коммерческими и открытыми данными киберразведки и сделать вывод об экономической целесообразности затрат.

Таким образом, проанализировав полученные данные, смоделировав процесс управления данными киберразведки, можно прийти к выводу - достаточно ли зрелая компания для работы с этими данными, обязательно ли нужны коммерческие фиды, или пока достаточно данных из открытых источников.

В компаниях с высоким уровнем зрелости ИБ создаются выделенные TI-подразделения, задачей которых является полный цикл работы с полученными данными: сбор, обработка и обогащение, анализ, распространение до заинтересованных сторон, применение, сбор обратной связи. 

В связи с востребованностью киберразведки и дефицитом квалифицированных кадров в киберразведке, ряд учебных центров, например Inseca, проводят курсы как создавать такие подразделения и выстраивать процессы TI в компании .

Создание эффективного и полезного подразделения Threat Intelligence — сложная задача. На нашем курсе мы помогаем решить её, затрагивая следующие вопросы:

  • Процессы и коммуникация. Покажем, как устроено подразделение TI, какие этапы критически важны в работе, как эффективно взаимодействовать с потребителями данных и демонстрировать ценность TI руководству.
  • Навыки работы с инструментами. Научим использовать популярные инструменты TI.
  • Мышление аналитика. Разовьем профессиональное мышление аналитика TI, научим выявлять и избегать характерных когнитивных искажений.

Эти знания позволят специалистам внедрить процесс Threat Intelligence в своей компании максимально эффективно и избежать распространенных ошибок.

 
Евсиков Виталий
CTO Inseca

 

Выбор вендора, предоставляющего TI

При выборе поставщика TI-данных огромную роль играет несколько факторов:

1. Качество данных. 

  • Актуальность: Как часто обновляются данные (реальное время, ежечасно, ежедневно)?
  • Релевантность: Насколько данные соответствуют вашей отрасли (финансы, здравоохранение, госсектор)?
  • Ложные срабатывания: Есть ли механизмы верификации (например, sandbox-анализ)?
  • Контекст: Поставляются ли дополнительные метаданные (например, связь с APT-группами)?

2. Покрытие угроз

  • География (активны ли угрозы в вашем регионе?).
  • Типы угроз (malware, фишинг, уязвимости 0-day, кибершпионаж).
  • Источники (собственные honeypots, партнерские обмены, Dark Web scraping).

3. Техническая совместимость

  • Форматы данных (STIX/TAXII, JSON, CSV, API).
  • Интеграция (поддержка Splunk, IBM QRadar, Microsoft Sentinel, Palo Alto Cortex и др.).
  • Автоматизация (возможность загрузки IoC в SIEM/SOAR).

4. Глубина аналитики

  • Геополитический контекст: Связь кибератак с политическими событиями (например, анализ групп типа APT29 (Cozy Bear) и их связь с государствами).
  • Прогнозные модели: Сценарии развития угроз (например, эскалация киберконфликтов в период кризисов).
  • Анализ уязвимостей 0-day: Приоритизация угроз для критической инфраструктуры (энергетика, транспорт).

5. Форматы представления

  • Стратегические отчеты (PDF, презентации) с визуализацией связей между угрозами.
  • Дашборды для мониторинга трендов.
  • API для интеграции с системами принятия решений (например, в CERT).

6. Репутация и экспертиза

  • Срок работы на рынке (опыт в TI).
  • Партнерства (сотрудничество с отечественными организациями, MITRE, CERTs, ISACs).
  • Референсные отзывы.

7. Стоимость и условия

  • Модель лицензирования.
  • Гибкость тарифов.
  • Бесплатный тестовый период (возможность оценить качество перед покупкой).

 

Как обосновать покупку TI и какие метрики использовать для оценки процесса?

Предположим, проведя пилотные проекты и проработав все особенности процесса работы с киберразведкой, CISO пришел к выводу что ему нужен коммерческий TI. Необходимо заручиться поддержкой бизнеса и получить деньги на соответствующие траты. Каким образом обосновать затраты? Будем откровенны, маловероятно что кто-то охотно выделит бюджет на "повышение осведомленности с использование данных киберразведки". Руководству интересны конкретные результаты, полученные с использованием TI. В связи с этим, упор, при обосновании, должен делаться на снижение рисков ИБ в отношении конкретных ресурсов или всего предприятия. Риски должны быть количественно оценены и переведены в денежный эквивалент. Например: в нашем регионе действует группировка, которая ранее взломала 3 аналогичных предприятия, заблокировав их деятельность в среднем на 7 рабочих дней. Стоимость простоя 1 рабочего дня нашей организации - ХХХ рублей. Наличие данных киберразведки поможет снизить риск аналогичной ситуации с 80% до 15%.

Как и любой процесс, работа с TI должна быть оцифрована и управляема. Для этого требуется введение метрик, использование которых поможет измерить процесс. Мы можем предложить ряд метрик, которые могут пригодиться в работе.

1. Операционные метрики (процессные)

  • Количество обработанных индикаторов компрометации (IoC) в день/неделю/месяц.
  • Время обработки IoC (от поступления до внедрения в системы защиты).
  • Доля автоматизированной обработки IoC (сколько % данных обрабатывается без ручного вмешательства).
  • Количество ложных срабатываний (False Positives) и пропущенных угроз (False Negatives).
  • Скорость реагирования на новые угрозы (например, время между публикацией TI-отчета и внедрением защиты).

2. Качественные метрики (аналитика)

  • Релевантность данных TI (насколько информация соответствует угрозам для организации).
  • Глубина контекста (наличие тактик, техник, процедур (TTPs), атрибуции угроз).
  • Доля уникальных индикаторов (не дублирующихся в открытых источниках).
  • Количество предотвращенных инцидентов благодаря TI.

3. Тактические и стратегические метрики (влияние на безопасность)

  • Снижение времени обнаружения угроз (MTTD – Mean Time to Detect) благодаря TI.
  • Снижение времени реагирования (MTTR – Mean Time to Respond).
  • Количество блокированных атак (на основе TI-данных).
  • Экономия ресурсов (например, уменьшение нагрузки на SOC за счет автоматизации).

4. Бизнес-метрики (ROI и эффективность)

  • Return on Investment (ROI) TI-подразделения (сравнение затрат на TI с предотвращенными убытками).
  • Количество интеграций TI с другими системами (SIEM, EDR, FW и т. д.).
  • Удовлетворенность внутренних заказчиков (опросы SOC, IR-команд).

5. Метрики развития TI-подразделения

  • Количество источников TI (внутренние/внешние, платные/бесплатные).
  • Частота обновления TI-данных.
  • Участие в ISAC/ISAO и других TI-сообществах.

 

Практические кейсы использования TI

Рассмотрим несколько практических кейсов использования TI в работе управления информационной безопасности. 

Кейс 1. Реагирование на атаку

Предположим, что в процессе анализа инцидента аналитик SOC обнаружил данные, которые могут быть интерпретированы как IoC (подозрительный файл, ссылка в письме и тд). Проведя изыскания на TI-платформе, он может обнаружить что найденные IoC используются определенной группировкой, изучить какие инструменты используются и подготовить соответствующие детектирующие правила.

Например, В 2020 году через обновление SolarWinds Orion была внедрена уязвимость, затронувшая множество организаций по всему миру. Компания FireEye первой обнаружила атаку на цепочку атак, выявила IoC (аномальные трафик и сигнатуры) и выпустила отчёт об этом. Используя опубликованные сведения, компании по всему миру смогли выявить аналогичную активность злоумышленников в своей инфраструктуре и противостоять ей.

 

Кейс 2. Подготовка к атакам

Возьмем ситуацию, когда в компании появился SOC. К чему готовиться, к каким атакам?  Взять данные TI, отчеты, можно посмотреть кто и как атакует те или иные организации и разработать детектирующие правила для соответствующего реагирования. 

Например, компания “Лаборатория Касперского” регулярно выпускает отчеты по ресерчу, в которых указывает чем пользуются злоумышленники при атаках. 

Рисунок. Пример отчета компании “Лаборатория Касперского”

 

Проанализировав этот отчет можно подготовиться к атаке нашумевших APT-группировок, создав соответствующие правила корреляции, либо митигировав риски. 

 

Кейс 3. Разработка стратегии ИБ

Весьма жизненный кейс, когда надо выстроить защиту для предприятия "с нуля", но нет понимания от чего конкретно надо защищаться и какие инструменты использовать в первую очередь. Анализ отчетов о группировках, действующих в регионе или в отрасли, поможет составить "дорожную карту" развития направления ИБ.

Обратимся к исследованию российского ландшафта киберугроз от компании BI.Zone.

Рисунок. Пример отчета компании BI.ZONE

 

Проанализировав отчет, можно наметить первоочередные шаги для минимизации рисков ИБ, например: внедрение продуктов класса Security Email Gateway, Security Awareness, MFA, PAM. Уделить особое внимание взаимодействию с подрядчикам, способам их удаленного и локального подключения к инфраструктуре. 

Кейс 4. Мониторинг Dark Web

В ходе подкастов, один из спикеров рассказал интересный случай о том, как была предотвращена атака на заказчика. Компания приобрела услугу мониторинга теневых ресурсов и однажды вечером в рамках этого мониторинга было обнаружено объявление о продаже доступа в к ее инфраструктуре. Через некоторое время объявление пропадает - доступ был куплен злоумышленниками. Используя информацию о бреши в периметре, SOC нашел хост, через который продавался доступ. Инцидент был предотвращен.

Заключение

Киберразведка - важный элемент информационной безопасности предприятия, который может использоваться в разных целях: от получения индикаторов компрометации (IoC) для предотвращения кибератак до разработки стратегий высокого уровня для развития защиты от киберугроз в компании.

При этом, необходимо помнить, что несмотря на несомненную полезность киберразведки для всех компаний, наибольшую пользу смогут получить те, кто закрыл базовые потребности - установил такие СЗИ как антивирусы, межсетевые экраны, внедрил культуру кибергигиены в организации, защитил свои внешние публикации и провел иные мероприятия по повышению уровня информационной безопасности. 

С учетом того, что последние три года российские предприятия подвергаются множеству атак, отечественный рынок TI развит и находится на хорошем уровне. Среди игроков этого рынка можно выделить таких вендоров как BI.ZONE, Лаборатория Касперского, Гарда, F6.

Автор: Андрей Москвин, Начальник отдела защиты информационной инфраструктуры и производственных систем, Русагро Тех

Партнёры
Статьи

Календарь мероприятий

Февраль

Пн Вт Ср Чт Пт Сб Вс
26
 
27
 
28
 
29
 
30
 
31
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
1
 

Смотрите, где удобно