Обзор Kaspersky Threat Intelligence Portal, портала по предоставлению разведданных

1. 1. Введение
2. 2. Подход к организации непрерывного сбора и обработки данных об угрозах
3. 3. Способы работы с Kaspersky Threat Intelligence Portal
4. 4. Функциональные возможности Kaspersky Threat Intelligence Portal
   1. 4.1. Главная страница
   2. 4.2. Ландшафт угроз (Threat Landscape)
      1. 4.2.1. Хранилище правил (Hunt Hub)
      2. 4.2.2. Хакерские группировки (Actors)
      3. 4.2.3. Программное обеспечение (Software)
      4. 4.2.4. Уязвимости (Vulnerabilities)
      5. 4.2.5. Тактики и техники (TTPs)
      6. 4.2.6. Меры противодействия (Mitigations)
   3. 4.3. Поиск угроз (Threat Lookup)
   4. 4.4. Граф расследований (Research Graph)
   5. 4.5. Отчёты (Reporting)
   6. 4.6. Анализ угроз (Threat Analysis)
   7. 4.7. Цифровой след (Digital Footprint Intelligence)
   8. 4.8. Вредоносная инфраструктура (Threat Infrastructure)
   9. 4.9. Потоки данных (Data Feeds)
   10. 4.10. Kaspersky OpenTIP
5. 5. Применение Kaspersky Threat Intelligence Portal
   1. 5.1. Полная видимость угроз для лидера российской горно-металлургической промышленности
   2. 5.2. Обеспечение защиты авиационной инфраструктуры
   3. 5.3. Выстраивание киберзащиты для производителя напольных покрытий
6. 6. Системные требования Kaspersky Threat Intelligence Portal
7. 7. Выводы

Введение

Эволюция киберугроз сегодня такова, что разрозненные источники данных уже не позволяют точно оценить риски. Специалистам приходится тратить значительное количество времени на то, чтобы сопоставить сведения об уязвимостях, тактиках, техниках и процедурах злоумышленников, определить их применимость к собственной инфраструктуре и выделить события, требующие первоочередного анализа.

В условиях высокой нагрузки, дефицита квалифицированных кадров и постоянных изменений это замедляет обработку информации и снижает точность оценки актуального для конкретной компании ландшафта угроз. Повысить качество аналитики можно за счёт консолидации данных на едином портале.

Kaspersky Threat Intelligence Portal (TIP) — портал, который объединяет в себе множество сервисов для получения актуальных разведданных. Он предоставляет доступ к информации, собранной аналитиками «Лаборатории Касперского» и исследователями со всего мира, чтобы помочь организациям эффективно противостоять современным киберугрозам.

Ранее мы уже анализировали портал, однако за несколько лет его возможности заметно расширились. В этом обзоре рассмотрим, какими функциями он обладает сегодня, как они могут применяться для защиты информации.

Подход к организации непрерывного сбора и обработки данных об угрозах

Существует два основных подхода к построению ландшафта киберугроз:

1. Использование MITRE Navigator. На основе данных о техниках, применяемых различными группировками, создаются отдельные слои. Затем они суммируются в результирующий слой, отображающий все техники, потенциально опасные для организации. Данные обновляются дважды в год и являются статичными.
2. Краулинг (использование вендорских отчётов). Аналитик собирает и систематизирует сведения о вредоносных операциях и атаках, которые доступны в отчётах различных ИБ-вендоров.

Но в обоих случаях будет задержка: между фактическим событием, эксплуатацией атаки в реальной среде и появлением отчёта проходит от нескольких дней до нескольких недель. То есть пользователь получает готовый контекст спустя значительное время после атаки, что влияет на оперативность реагирования.

«Лаборатория Касперского» изменила подход к сбору и обработке данных об угрозах, интегрировав многочисленные источники информации: собственное облако KSN, веб-сборщики, бот-фермы, сенсоры, партнёрские каналы и краулинг внешних ресурсов. Ежедневно решения компании обрабатывают 15 миллионов подозрительных объектов и выявляют 500 000 уникальных вредоносных файлов, что в пересчёте на год — около 183 миллионов.

Каждый семпл, поступающий из множества источников, проходит через несколько этапов:

1. Первичная обработка на внутренних серверах с определением страны и индустрии, из которой получен файл.
2. Детальный анализ, в том числе статическими и динамическими инструментами, в ходе которого определяются тактики, техники атакующих, возможная принадлежность к группировке, а также атрибуция к тому или иному семейству вредоносных программ.
3. Сохранение всех извлечённых данных в специализированном хранилище для аналитики и формирования актуального ландшафта угроз.

Рисунок 1. Формирование ландшафта угроз в Kaspersky Threat Intelligence Portal

Хранилище представляет собой масштабируемую базу данных с большим количеством взаимосвязанных сущностей: акторы, отчёты, тактики, техники и процедуры, вредоносные файлы и относящиеся к ним параметры. На основе ежедневного потока уникальных вредоносных файлов формируется разветвлённая структура связей. Ключевое свойство этой базы — динамическое обновление.

Портал собирает и распределяет данные об угрозах в автоматическом режиме, практически в реальном времени с минимальной задержкой на обработку алгоритмами. Это позволяет поддерживать актуальный ландшафт угроз — в отличие от статичных моделей, которые не учитывают изменения и новые угрозы.

На момент публикации обзора в TIP доступны данные о 298 профилях злоумышленников, 107 профилях вредоносных программ, 78 000 уязвимостях. Количество актуальных С2-серверов — 5 069, число разновидностей фидов — более 30.

Способы работы с Kaspersky Threat Intelligence Portal

С порталом можно работать одним из двух способов:

• Онлайн через веб-интерфейс (на английском, русском и корейском языках, в светлой и тёмной темах). Доступны все возможности, которые описаны в обзоре.
• Kaspersky Threat Intelligence Portal API. Используется для поиска информации об индикаторах, получения отчётов, а также для анализа объектов в Kaspersky Sandbox. Результаты исследований предоставляются в формате JSON.

Рассмотрим функциональные возможности продукта на примере работы с ним через веб-интерфейс.

Функциональные возможности Kaspersky Threat Intelligence Portal

Задача Kaspersky Threat Intelligence Portal — обеспечить специалистов по информационной безопасности (ИБ) контекстом угроз. TIP предоставляет актуальные аналитические сведения об угрозах, включая данные по веб-адресам, доменам, IP-адресам, хешам файлов, а также статистические и поведенческие характеристики, информацию WHOIS, DNS и другие технические параметры. В итоге формируется целостное представление об актуальных угрозах и факторах, влияющих на уровень риска.

На основании полученных данных портал предоставляет аналитическую информацию на трёх уровнях:

1. Тактический. Детализированные, но быстро устаревающие данные для поддержки операций по обеспечению безопасности и реагирования на инциденты. Например, индикаторы компрометации, получаемые при обнаружении новой атаки.
2. Операционный. Информация о кампаниях и TTPs (тактиках, техниках и процедурах) более общего характера. Например, данные по атрибуции или возможностях, намерениях злоумышленников.
3. Стратегический. Помогает руководителям высшего звена и советам директоров принимать важные решения, касающиеся оценки рисков, распределения ресурсов и стратегии безопасности организации. Описывает тенденции в поведении группировок, их мотивацию и классификацию.

Портал включает несколько сервисов, которые обогащают и усиливают друг друга: Kaspersky Threat Data Feeds, Kaspersky Threat Lookup, Kaspersky Digital Footprint Intelligence, Kaspersky Threat Analysis, Kaspersky Threat Intelligence Reporting, Kaspersky Threat Infrastructure Tracking.

Главная страница

На главной странице отображена статистика — обзор текущих киберугроз по всему миру. Предоставляемые данные позволяют начать исследование угроз сразу после входа на портал.

В зависимости от типа лицензии на главной странице могут отображаться данные:

• отчёты;
• история запросов;
• атрибуция угроз;
• новости;
• видеоматериалы;
• карта киберугроз;
• динамика угроз.

Рисунок 2. Главная страница Kaspersky Threat Intelligence Portal

На карте киберугроз их можно отфильтровать по типу и времени как для всего мира, так и для отдельных стран. При помощи раскрывающегося списка можно отобразить информацию:

• Локальные угрозы. Когда к объектам осуществляется доступ для открытия, копирования, запуска или сохранения.
• Веб-угрозы. Во время сканирования веб-антивирусом (WAV) при открытии веб-сайта или скачивании файла. Порты, указанные в параметрах веб-антивируса, также проверяются.
• Вредоносная почта. Во время сканирования почтовым антивирусом (MAV) при появлении в почтовом клиенте новых объектов. Почтовый антивирус проверяет входящие сообщения и вложения при сохранении на диск.
• Проверка по требованию. Во время сканирования по требованию (ODS), когда пользователь вручную выбирает параметр «Проверить на вирусы».
• Сетевые атаки. Система обнаружения вторжений (IDS) отображает процесс обнаружения сетевых атак.
• Спам. Показывает вредоносный и другой трафик электронной почты, обнаруженный технологией репутационной фильтрации «Лаборатории Касперского» (KAS).
• Уязвимости. Мониторинг уязвимостей (VUL) показывает процесс обнаружения уязвимостей.

Есть возможность выбрать период, за который необходимо получить информацию.

Ландшафт угроз (Threat Landscape)

На странице «Ландшафт угроз» (Threat Landscape) представлена матрица MITRE ATT&CK. В этом разделе можно просматривать тактики и техники, их подтехники, имена, идентификаторы и др., а также переходить на страницу с подробной информацией, нажав на соответствующий элемент матрицы. Это динамическое отображение покрытия матрицы, кастомизируемое настройкой фильтров по гео и индустриям. При изменении фильтров статистическая информация и диаграммы обновляются соответствующим образом. На странице также отображаются сведения:

• Топ используемых техник.
• Топ используемых тактик.
• Атаки по отраслям.
• Связанные правила и отчёты.
• Топ используемого ПО.
• Топ хакерских группировок.

В разделе «Ландшафт угроз» доступна карта покрытия MITRE ATT&CK решениями «Лаборатории Касперского» (SIEM, EDR, NDR и Sandbox), разработанная по собственной методологии компании. Пользователи Kaspersky Threat Intelligence Portal могут оценить, насколько хорошо эти продукты покрывают техники атакующих, и при необходимости устранить слабые места в защите.

Рассмотрим, как сервис функционирует в реальной рабочей ситуации и какие аналитические возможности он предоставляет. Например, руководителю SOC необходимо определить, какие тактики и техники атакующих стоит исследовать в первую очередь в условиях ограниченных ресурсов. Для эффективного планирования требуется понять, какие группы несут наибольшую угрозу, какие методы они применяют и какие меры защиты наиболее эффективны для минимизации рисков.

В качестве исходных данных возьмём информацию о стране и отрасли, в которой работает организация. Например: Россия, профиль связан с финансовыми услугами и коммерческим сегментом, включая банковскую сферу и предпринимательскую деятельность. После указания параметров применяются фильтры, и система загружает данные из хранилища TIP. На основе полученной информации формируется ландшафт, отражающий распределение угроз и активность различных группировок на основе выбранных параметров. Градиент помогает определить приоритеты при исследовании техник.

Рисунок 3. Построение ландшафта угроз

Фильтрация данных играет ключевую роль. Если уже известны группировки, которые потенциально могут атаковать организацию, можно изучить их TTP, аналогично тому, как это сделала база MITRE. Если вся среда построена на Windows, можно применить фильтр по этой операционной системе, и портал отобразит только релевантные техники. Данные также можно отфильтровать по Linux, macOS, контейнерам, сетевым устройствам и другим платформам. Это позволяет формировать ландшафт угроз, максимально релевантный конкретной инфраструктуре, и планировать меры защиты с учётом используемых технологий.

Таким образом, раздел помог решить две ключевые задачи: построить актуальный ландшафт угроз, адаптированный под специфику страны и отрасли, и определить приоритеты при исследовании техник, чтобы эффективно распределить ресурсы для защиты организации.

Хранилище правил (Hunt Hub)

В декабре 2025 года на портале в разделе Threat Landscape появилось хранилище правил детектирования (Hunt Hub), которое не имеет аналогов в отрасли в России. С этим обновлением аналитики впервые получают доступ к правилам обнаружения: их описанию, привязке к тактикам и техникам MITRE ATT&CK, а также соответствующим кибергруппировкам.

На начальном этапе в хранилище добавлены правила детектирования Kaspersky EDR Expert. Их список и описания доступны всем пользователям, а тем, у кого есть лицензия Kaspersky EDR Expert, дополнительно открыты рекомендации и возможность изучать внутреннюю логику детектирования в удобном Sigma-подобном формате. В 2026 году планируется расширение хранилища за счёт добавления логики обнаружения из других продуктов, включая NGFW и NDR.

Хранилище правил делает логику обнаружения угроз более понятной и структурированной. Это позволяет аналитикам не только реагировать на алерты, но и понимать, почему и против каких угроз они срабатывают, что повышает доверие к технологиям и эффективность защиты организаций.

Рисунок 4. Хранилище правил

Хакерские группировки (Actors)

Если имеющегося объёма контекста всё ещё недостаточно, можно расширить анализ. Мы уже рассмотрели актуальность, релевантность и точность на примере отдельного семпла, но на ландшафте присутствует множество других техник. В такой ситуации имеет смысл перейти к изучению самой группировки: в поиске можно указать, например, GOFFEE, и перейти к разделу хакерских группировок для получения дополнительной информации.

Рисунок 5. Информация о выбранной группировке в Kaspersky Threat Intelligence

Профили хакерских группировок содержат общую информацию, географию атак, использованные псевдонимы (другие имена группировок), виктимологию и предыдущие цели, описания прошлых кампаний, наборы инструментов и внешние ссылки. Они поддерживаются в актуальном состоянии: из обрабатываемых семплов автоматически извлекаются относящиеся к группировке данные, благодаря чему информация оперативно обновляется.

По каждому актору доступен отчёт: его можно открыть, просмотреть и скачать для дальнейшего анализа, если приобретён соответствующий тип отчётов.

Рисунок 6. Пример отчёта по актору

Рисунок 7. Пример Crimeware-отчёта по актору

Программное обеспечение (Software)

Информация о программном обеспечении, его происхождении также поможет получить контекст. В данном случае под ПО имеется в виду любая программа, сценарий или другие инструменты, используемые группировками для осуществления атак. Возможно, изначально такое ПО не создавалось специально как вредоносная программа, даже если оно использовалось в атаках.

Рисунок 8. Страница «Программное обеспечение» в Kaspersky Threat Intelligence Portal

Рисунок 9. Информация о выбранном ПО

Уязвимости (Vulnerabilities)

По уязвимостям (CVE) тоже можно получить дополнительный контекст: их профиль показывает, какие уязвимости использует конкретная группировка. Все соответствия между уязвимостями и группировками анализируются и сопоставляются автоматически, формируя полный набор связей, доступных в профиле.

Рисунок 10. Информация об уязвимости в Kaspersky Threat Intelligence Portal

Если требуется просматривать только уязвимости с определённым уровнем критичности, можно воспользоваться фильтрами: все, критический, высокий, средний или низкий.

В базе уязвимостей на портале почти 300 тысяч CVE, включая информацию об уязвимостях, которые применялись в настоящих атаках. Это помогает организациям выстраивать защиту с учётом реальной активности злоумышленников.

Тактики и техники (TTPs)

На портале «Лаборатории Касперского» можно посмотреть детальное описание каждой техники без перехода на сторонние ресурсы. Структура отображения информации схожа с MITRE ATT&CK — есть описание, метаданные, примеры процедур и рекомендации по противодействию. Но на Kaspersky TIP представлено больше информации: размещены готовые правила Sigma и Suricata для поиска угроз в хостовой и сетевой телеметрии, связанные отчёты, больше конкретных мер противодействия с учётом продуктов вендора. Дополнительно формируется перечень хакерских группировок, актуальных для выбранной страны и отрасли и многое другое.

Рисунок 11. Тактики и техники

После формирования ландшафта угроз, приоритизации исследований и получения списка релевантных акторов возникает необходимость увидеть, как конкретные техники применяются на практике. Например, одна из наиболее популярных техник — использование планировщика задач Windows.

Рисунок 12. Информация по использованию планировщика Windows

Однако, чтобы выяснить, как конкретная группировка применяет эту технику, приходится просматривать информацию вручную. На 2026 год запланирована реализация функциональности фильтрации данных по интересующим акторам или конкретным семплам.

При переходе по хешу в разделе «Примеры процедур» открывается новая вкладка, ведущая в сервис поиска угроз Kaspersky Threat Lookup. В нём отображается детальная информация об угрозе.

Рисунок 13. Информация о скрипте

Чуть ниже размещён блок «Используемые тактики, техники и процедуры», содержащий тот самый контекст, который необходим для передачи аналитику, чтобы он смог разработать детектирующую логику по представленным процедурам: командные строки, сетевые индикаторы, примеры обфусцированных скриптов, используемых в ходе атаки и др.

Рисунок 14. Блок «Используемые тактики, техники и процедуры»

Меры противодействия (Mitigations)

Kaspersky Threat Intelligence Portal позволяет просматривать информацию о мерах противодействия определённым техникам, используемым в кибератаках. Это могут быть конкретные манипуляции с инфраструктурой, закрывающие брешь, а могут быть и рекомендации по использованию специфичных технологий защиты.

Рисунок 15. Меры противодействия

Поиск угроз (Threat Lookup)

Возможности сервиса:

• поиск информации об индикаторах угроз с помощью веб-интерфейса или REST API;
• определение того, является ли обнаруженный объект распространённым или уникальным;
• пояснение, почему объект считается вредоносным;
• предоставление подробных сведений об объекте, включая сертификаты, распространённые названия, связи объекта с другими сущностями, пути файлов и веб-адреса для выявления новых подозрительных объектов.

Портал позволяет искать информацию об угрозах не только по точечным индикаторам (файловым хешам, IP-адресам, доменам, веб-адресам), но и осуществлять поиск по ключевым словам (названия хакерских группировок, выдержки из отчётов, описания вредоносной программы, уязвимостей и т. д.).

Рисунок 16. Схема работы Kaspersky Threat Lookup

Рассмотрим пример. При обнаружении индикатора компрометации вредоносного файла с определённым хешем аналитик должен понимать: встречался ли он ранее, изучался ли другими специалистами, можно ли его связать с конкретной группировкой. После выполнения запроса в Kaspersky Threat Lookup сервис обращается к различным разделам: от отчётов до профилей группировок, охватывает все источники, в которых могут встречаться введённые пользователем данные, формируя целостное представление об объекте поиска.

Рисунок 17. Общая информация об угрозе

Рисунок 18. Результаты поиска по ресурсам даркнета

Рисунок 19. Результаты поиска по ограниченному набору публикаций в СМИ

Рисунок 20. OSINT-индикаторы — аналитические данные из открытых источников

Следует отметить, что во вкладке «OSINT-индикаторы» встроен движок искусственного интеллекта, который подсвечивает ключевые моменты, собранные из открытых источников: связанные хакерские группировки, используемое ПО и другие значимые данные. Это позволяет аналитикам быстро узнать суть семпла без необходимости вручную просматривать десятки источников.

Рисунок 21. Отчёты в Kaspersky Threat Intelligence Portal

Рисунок 22. Хакерские группировки

Рисунок 23. Программное обеспечение

Рисунок 24. Цифровой след

Рисунок 25. Уязвимости

Во вкладке «История» отображены последние запросы на поиск.

Рисунок 26. История запросов на поиск

Граф расследований (Research Graph)

Граф расследований представляет собой аналитический инструмент. Он предназначен для визуализации связей между различными типами объектов (файлами, веб-адресами, доменами, IP-адресами, хакерскими группировками и отчётами), которые были обнаружены и проанализированы в ходе расследования.

Портал визуализирует связи, возникающие в ходе анализа, и при сложных атаках формирует разветвлённый граф, из которого можно получить информацию, переходя по отдельным узлам через механизмы просмотра угроз. Такая визуализация особенно полезна, когда взаимодействуют многочисленные элементы инфраструктуры и требуется быстро понять структуру атаки.

Рисунок 27. Пример графа расследования в Kaspersky Threat Intelligence Portal

Отчёты (Reporting)

Отчёты (Reporting) — раздел на портале Kaspersky Threat Intelligence Portal, предоставляющий доступ по подписке более чем к 200 подробным аналитическим отчётам в год. Это результат работы экспертов «Лаборатории Касперского», которые непрерывно отслеживают вредоносную активность свыше 900 кибергрупп и кампаний по всему миру.

Пользователям портала предлагается несколько типов коммерческих аналитических отчётов:

• APT Intelligence Reporting. Эксклюзивные отчёты о сложных атаках различных APT-групп по всему миру, их тактиках, техниках и процедурах (TTPs). Каждый отчёт снабжён разбором их уникального инструментария и использованных (порой 0-day) уязвимостей. Основное внимание уделено крупным хакерским группировкам, занимающимся кибершпионажем на профессиональной основе и имеющим практически неограниченные ресурсы.
• Crimeware Intelligence Reporting. В отчётах уделяется внимание кибератакам и хакерским группировкам, основной целью которых является получение финансовой выгоды. Они содержат информацию о последних тенденциях в киберпреступности, включая утечки данных, продаваемые в даркнете, финансовое мошенничество, атаки с использованием программ-вымогателей и других вредоносных программ, ориентированных на банкоматы и платёжные терминалы.
• ICS Threat Intelligence Reporting. Отчёты этого типа предоставляют детальную аналитику вредоносных кампаний, нацеленных на промышленные организации, аналитику уязвимостей, обнаруженных в наиболее популярных АСУ ТП и технологиях, используемых в инфраструктурах предприятий. Включают ранние предупреждения об угрозах и свежие уязвимости. Материалы создаются командой Kaspersky ICS CERT, в которой работает более 20 высококвалифицированных специалистов по исследованию угроз и уязвимостей АСУ ТП, реагированию на инциденты и анализу безопасности.

В состав аналитических отчётов входят:

• профили злоумышленников;
• сопоставление с матрицей MITRE ATT&CK;
• бизнес-ориентированная информация для топ‑менеджмента;
• глубокий технический анализ: методы атаки, использованные эксплойты, описание вредоносных программ, инфраструктуры атакующих (командные центры и протоколы злоумышленников), анализ эксфильтрации данных, атрибуция;
• индикаторы компрометации (IOCs) и YARA / Sigma / Suricata-правила;
• заключения и рекомендации экспертов «Лаборатории Касперского».

ИБ-специалисты смогут просматривать аналитические отчёты об угрозах непосредственно на портале или загружать на устройство в формате PDF для использования в офлайн-режиме.

Отчёты обеспечивают всестороннее понимание тактик, техник и процедур, применяемых злоумышленниками. Это позволяет заранее выстроить и развернуть эффективные защитные механизмы, снижая вероятность реализации замыслов хакеров.

Рисунок 28. Раздел «Отчёты»

Анализ угроз (Threat Analysis)

В разделе реализован единый цикл обработки вредоносных объектов: загруженный файл попадает в историю задач, после чего для него автоматически формируются отчёты.

Рисунок 29. Схема работы Kaspersky Threat Analysis

Включает инструменты:

• Sandbox — инструмент динамического анализа, позволяющий исследовать исходные образцы файлов, находить индикаторы компрометации на основании поведенческого анализа и обнаруживать вредоносные объекты, которые не встречались ранее. Есть возможность настройки среды исполнения: операционная система, время работы файла, доступ в интернет.
• Attribution — аналитический инструмент, помогающий определить возможных авторов и источник вредоносных программ. Технология основана на методе сравнения анализируемых экземпляров подозрительных файлов с целью выявления степени сходства с вредоносными образцами из коллекции «Лаборатории Касперского». Система позволяет атрибутировать новые неизвестные угрозы к известным хакерским группировкам.
• Similarity — собственная разработка «Лаборатории Касперского», запатентованная технология. Используется для поиска всех представителей семейства вредоносных программ, а не только исходного файла. Даже если хеш файла изменён и обфусцирован, движок находит похожие объекты по составным частям кода. Это позволяет аналитику расширить контекст инцидента, выявить больше примеров вредоносных программ и проверить наличие подобных файлов в инфраструктуре, что обеспечивает более полное покрытие и обнаружение угроз.

Результаты анализа доступны для скачивания.

Рисунок 30. Раздел «Анализ угроз»

Рисунок 31. Отчёт похожести

Во время анализа файла или веб-адреса при каждом изменении в среде делаются снимки экрана, которые также можно посмотреть онлайн или скачать.

Перечисленные возможности обеспечивают многоуровневый анализ подозрительных файлов, что упрощает выявление и классификацию современных киберугроз.

Цифровой след (Digital Footprint Intelligence)

Kaspersky Digital Footprint Intelligence предоставляет комплексную защиту от цифровых рисков, объединяя в себе возможности нескольких классов (EASM, Data Leak Discovery, Dark Web Monitoring и Brand Monitoring), помогая компаниям отслеживать свои цифровые активы и обнаруживать угрозы во всех сегментах интернета: видимой сети, неиндексированном интернете и даркнете.

EASM мониторит цифровой периметр компании и отслеживает доступные из сети ресурсы (приложения, страницы, ссылки, внутренние ресурсы и т. д.). Data Leak Discovery позволяет обнаружить скомпрометированные инфостилерами данные пользователей. Dark Web Monitoring анализирует даркнет на упоминание ключевых слов, связанных с компанией, и позволяет выявить готовящиеся атаки, а Brand Monitoring защищает репутацию, интеллектуальную собственность и торговые марки компании.

Принципы работы сервиса:

• настройка. Определение цифровых ресурсов организации: IP-адреса, доменные имена, ключевые слова, имена бренда, почтовые адреса, приложения в рамках решений EASM и Brand Monitoring;
• создание правил мониторинга, по которым будет осуществляться поиск угроз, нацеленных на заказчика;
• категоризация выявленных угроз и обогащение данных;
• уведомление заказчика и реагирование — оперативные уведомления об угрозах на портале, отчёты.

Всеми поступающими уведомлениями можно управлять при помощи статусов.

Рисунок 32. Панель мониторинга раздела «Цифровой след»

Угрозы, связанные с Brand Monitoring, пользователи могут отправить на реагирование специалистам в рамках Kaspersky Takedown Service.

Возможности Kaspersky Digital Footprint Intelligence позволяют выявить подверженные риску цифровые активы, повысить устойчивость организации и улучшить состояние безопасности, чтобы успешно противостоять угрозам и минимизировать их влияние на бизнес.

Вредоносная инфраструктура (Threat Infrastructure)

Раздел отображает список IP-адресов инфраструктуры, связанной с таргетированными атаками. Каждый IP-адрес сопровождается данными:

• название группировок, кампаний или вредоносных программ, с которыми он связан;
• даты первого и последнего обращения к этому IP-адресу;
• информация о геолокации IP-адреса;
• если доступно, доменное имя, которое разрешалось в IP-адрес.

Сервис ежедневно пополняется новыми сведениями по результатам работы Глобального центра исследований и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT).

Рисунок 33. Вредоносная инфраструктура в Kaspersky Threat Intelligence Portal

Такая информация помогает аналитикам безопасности отслеживать развёртывание новых угроз и вредоносных кампаний, а затем принимать меры, необходимые для минимизации ущерба от текущих и предстоящих атак.

Потоки данных (Data Feeds)

Отображает потоки аналитических данных об известных вредоносных программах, фишинговых веб-сайтах, свежих уязвимостях и эксплойтах, а также других типах киберугроз. Каждая запись в каждом потоке содержит контекстные данные, позволяющие быстро подтвердить и приоритизировать угрозы:

• имена угроз;
• тактики, техники и процедуры атак в соответствии с классификацией MITRE ATT&CK;
• метки времени;
• идентификаторы уязвимых и скомпрометированных объектов;
• географическое положение;
• установленные IP-адреса и доменные имена вредоносных веб-ресурсов;
• популярность и прочее;
• хеши вредоносных файлов.

Рисунок 34. Потоки данных о киберугрозах

Оперативное обновление фидов в автоматическом режиме позволяет отслеживать текущее состояние объектов, например IP-адресов, которые могли быть вредоносными в прошлом, но больше не представляют угрозу.

Рисунок 35. История событий

Kaspersky OpenTIP

Kaspersky OpenTIP, бесплатная версия Kaspersky Threat Intelligence Portal, позволяет пользователю проверять любые индикаторы угроз, которые он считает подозрительными: файлы, хеши файлов, IP-адреса или веб-адреса. В 2025 году «Лаборатория Касперского» обновила Kaspersky OpenTIP, добавив в него новый инструмент: карту покрытия MITRE ATT&CK продуктами компании по собственной методологии.

Разработанная компанией методология оценки учитывает не только возможности решения по выявлению техники, но и количество правил обнаружения, реализованных в нём, то есть глубину покрытия. Ширина покрытия вычисляется по всем техникам и зависит от встроенных в решение детектирующих правил. Таким образом, можно увидеть факт покрытия конкретной техники и степень этого покрытия для выбранного решения.

Если говорить простыми словами, она показывает, как продукты компании защищают организации от киберугроз: причём не только с точки зрения количества, но и качества покрытия техник.

Рисунок 36. Матрица покрытия MITRE ATT&CK решениями «Лаборатории Касперского»

Сервис используется как дополнительный инструмент анализа: при выборе продукта можно мгновенно отфильтровать нерелевантные техники и оценить его возможности в части покрытия.

Сейчас на платформе показано покрытие четырьмя решениями «Лаборатории Касперского» с оценкой ширины и глубины: SIEM, EDR, NDR, Sandbox. В будущем планируется расширение списка продуктов.

Применение Kaspersky Threat Intelligence Portal

Портал подходит для организаций из любой сферы, так как его аналитические механизмы ориентированы на базовые принципы оценки технических угроз и не зависят от отраслевой специфики. Инструменты позволяют учитывать разные схемы построения инфраструктуры и адаптировать полученные данные под конкретные контуры защиты.

Полная видимость угроз для лидера российской горно-металлургической промышленности

Современные кибервызовы требуют от отечественных компаний глубокого понимания того, что именно в цифровой среде им угрожает, кто за этим стоит, какими инструментами обладает злоумышленник и как с этим бороться.

Стратегия информационной безопасности «Норникеля», крупнейшего российского предприятия в области горно-металлургической промышленности, предполагает развитие в том числе проактивных механизмов ИБ, позволяющих выявлять угрозы ещё до того, как они перерастут в инциденты. Для этого необходимы решения, позволяющие определить и проанализировать актуальные для компании угрозы и принять меры по их предотвращению.

Чтобы получить полную видимость угроз на всех этапах их формирования, в «Норникеле» внедрён процесс киберразведки, в техническую составляющую которого входит и комплекс решений Kaspersky Threat Intelligence: Kaspersky Threat Intelligence Portal, Kaspersky Digital Footprint Intelligence, Kaspersky Threat Data Feeds, Kaspersky CyberTrace.

Процесс киберразведки позволяет организации оценивать существующие угрозы, адекватно выстраивать свою защиту и приоритизировать уязвимости по степени их значимости. В результате появилась возможность эффективнее управлять ресурсами SOC-специалистов и снижать время реакции на атаки на самых ранних этапах. В том числе с помощью внедрения комплекса сервисов Kaspersky Threat Intelligence заказчику удалось сформировать управляемый и предсказуемый процесс работы с киберрисками.

Обеспечение защиты авиационной инфраструктуры

Чтобы обеспечить непрерывные и безопасные авиаперевозки пассажиров, авиакомпаниям, административным структурам аэропорта, объектам розничной торговли, экстренным службам и другим подразделениям необходимы актуальные данные и ИТ-системы, работающие без сбоев.

В крупном аэропорту, который представляет собой сложный конгломерат разных организаций, было принято решение запустить тестирование портфолио Kaspersky Threat Intelligence. Это позволило сотрудникам аэропорта оценить производительность, удобство и экономическую эффективность представленных сервисов.

По итогам пробного периода аэропорт заключил долгосрочный контракт с «Лабораторией Касперского» на предоставление аналитических отчётов об угрозах для защиты всей ИТ-инфраструктуры руководства аэропорта, авиакомпаний и других организаций, расположенных на его территории.

Выстраивание киберзащиты для производителя напольных покрытий

Компании требовалось комплексное решение в области кибербезопасности, которое соответствовало бы её специфическим требованиям, обеспечивая при этом эффективность и соблюдение отраслевых стандартов. Kaspersky Threat Intelligence Portal помог полностью пересмотреть подход к корпоративной безопасности. Его аналитические механизмы позволили уточнить картину актуальных угроз и выявить уязвимые участки технологической цепочки. Используя эти данные, организация получила возможность корректировать приоритеты и выстраивать защитные меры с учётом реальной активности злоумышленников.

В результате были подобраны решения, которые сформировали согласованную систему безопасности компании, минимизирующую риск компрометации критически значимых ресурсов.

Системные требования Kaspersky Threat Intelligence Portal

У Kaspersky Threat Intelligence Portal следующие требования к аппаратному и программному обеспечению. Минимальные общие требования:

• 2 ГБ свободного пространства на жёстком диске;
• подключение к интернету для работы с Kaspersky Threat Intelligence Portal через веб-интерфейс;
• открытые порты 443 (HTTPS) и 80 (HTTP);
• монитор, поддерживающий разрешение экрана 1366 × 768.

Минимальные аппаратные требования:

• процессор Intel Pentium 1 ГГц (или совместимый) для 32-разрядной ОС;
• процессор Intel Pentium 2 ГГц (или совместимый) для 64-разрядной ОС;
• 1 ГБ свободной оперативной памяти.

Поддерживаемые браузеры (последние версии): Mozilla Firefox, Google Chrome, Microsoft Edge, Safari.

Требования к ПО для работы с Kaspersky Threat Intelligence Portal API: Python 3.5.3 и выше.

Выводы

Kaspersky Threat Intelligence Portal позволяет мониторить поверхность атаки, выявлять пробелы в системах безопасности до того, как ими воспользуются злоумышленники. Включает несколько сервисов: Kaspersky Threat Data Feeds, Kaspersky Threat Lookup, Kaspersky Digital Footprint Intelligence, Kaspersky Threat Analysis, Kaspersky Threat Intelligence Reporting, Kaspersky Threat Infrastructure Tracking.

Пользователям также доступна функциональность «Ландшафт угроз» (Threat Landscape). С её помощью ИБ-специалисты компаний могут видеть детализированные данные о киберугрозах и атакующих, которые нацелены на конкретную отрасль и регион, на основе методологии MITRE ATT&CK. В 2026 году на странице «Ландшафт угроз» появилась карта покрытия MITRE ATT&CK решениями «Лаборатории Касперского» и новый раздел «Хранилище правил», где аналитикам доступна логика детектирования EDR, а в будущем появится логика обнаружения других продуктов.

В результате работы с порталом команды ИБ получают детализированное и актуальное представление о новых и развивающихся угрозах по всему миру. Это помогает не только более эффективно защищать организацию от потенциальных атак, но и значительно ускорять процессы выявления и реагирования на инциденты, снижая риск воздействия на критически важные системы и данные. Пользователи могут сосредоточиться на угрозах, которые наиболее вероятны для их бизнеса, отрасли и региона, поддерживая высокий уровень информированности и готовности к современным атакам.

В бесплатной версии портала, Kaspersky OpenTIP, пользователь может проверять подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса или веб-адреса.

Достоинства:

• Множество уникальных и достоверных источников данных о киберугрозах, отечественных и мировых, включая материалы из даркнета.
• Обновление данных об угрозах в режиме реального времени.
• Анализ данных при помощи разных инструментов: облачной песочницы, атрибуции, выявления схожести объектов.
• Предоставление актуальных, без задержки, тактических, операционных и стратегических данных о динамично меняющемся ландшафте угроз.
• Многообразие отчётов.
• Разветвлённый граф расследований.
• Встроенный движок ИИ, который позволяет аналитикам быстро получить суть семпла без необходимости вручную просматривать десятки источников.
• Два способа работы с порталом: веб-интерфейс, API.
• Карта покрытия MITRE ATT&CK в бесплатной версии TIP показывает, какие реальные киберугрозы блокируют и какие техники атак способны обнаруживать решения вендора.
• Уведомления заказчика. Управление ими при помощи статусов и пользовательских тегов.
• Возможность обмениваться информацией с экспертами «Лаборатории Касперского».

Недостатки:

• Отсутствие возможности отправлять файл на дополнительное исследование специалистам в «Лабораторию Касперского». Реализовано в рамках отдельного сервиса Kaspersky Ask the Analyst.
• Часть предоставляемых отчётов доступна только на английском языке.
• Пользователям портала доступен базовый набор ИИ-возможностей, на 2026 год запланирован выпуск новых функций и улучшений в этой области.