Введение
Threat Intelligence (TI, разведка угроз) – процесс сбора, обработки и анализа данных о киберугрозах с целью получения практически применимых знаний для защиты организации. TI переводит сырые данные (IoC, журналы, отчёты об инцидентах) в контекстуализированную разведывательную информацию: кто атакует, как, с какими целями и инструментами.
Качественный TI отвечает на вопросы: релевантна ли данная угроза для конкретной организации? Какие TTPs используют атакующие? Каковы индикаторы их активности? Это позволяет приоритизировать защитные меры и оперативно реагировать на инциденты.
История и контекст
Разведка угроз как дисциплина сформировалась в 2010-х годах по образцу военной и государственной разведки. Публикация Lockheed Martin Kill Chain (2011) и MITRE ATT&CK (2013) дала аналитикам структурированный язык для описания угроз. Коммерческие TI-платформы (Recorded Future, Mandiant, Group-IB) и государственные CERT начали обмениваться IoC через стандарты STIX/TAXII. В России активные TI-игроки: BI.ZONE, Positive Technologies, F.A.C.C.T. (бывш. Group-IB Россия), Kaspersky Threat Intelligence.
Типы Threat Intelligence
- Стратегический TI – анализ трендов угроз для топ-менеджмента: тенденции в ландшафте угроз, геополитические риски, прогнозы.
- Оперативный TI – информация о конкретных кампаниях, группировках и их намерениях для руководителей ИБ.
- Тактический TI – TTPs (тактики, техники, процедуры) атакующих, их инструменты, инфраструктура – для аналитиков SOC и red team.
- Технический TI – IoC (IP-адреса, домены, хэши файлов, URL) для автоматической интеграции в SIEM, EDR, межсетевые экраны.
Где применяется
- SOC – обогащение алертов SIEM IoC из TI-фидов, приоритизация инцидентов.
- Threat Hunting – проактивный поиск индикаторов известных APT-групп в инфраструктуре.
- Vulnerability Management – приоритизация патчинга на основе данных об эксплуатации уязвимостей в дикой природе.
- Red Team – использование TTP реальных атакующих для реалистичных учений.
Преимущества и ограничения
Позволяет перейти от реактивной защиты к проактивной. Ограничения: IoC устаревают быстро (злоумышленники меняют инфраструктуру за часы); большой объём данных требует автоматизации обработки; без контекста IoC-фид создаёт ложные сработки.
Связь с другими понятиями
TI потребляет IoC и передаёт их через TI-фиды в SIEM и NGFW. Структурируется с помощью фреймворка MITRE ATT&CK. Данные о Kill Chain атакующих помогают приоритизировать защитные меры.
