Как превратить Threat Intelligence из шума в язык денег и знаний

CTI давно превратился в гонку миллионов индикаторов, ложных тревог и бесконечных отчётов. Почему центрам мониторинга всё сложнее отличать реальные угрозы от информационного шума? Как превратить Threat Intelligence в инструмент для принятия решений, а не источник перегрузки?

1. 1. Введение
2. 2. Почему индустрия CTI зашла в тупик
3. 3. Ландшафт угроз — разный в Асгарде и Мидгарде
4. 4. Куда смещается цель: отраслевая статистика
5. 5. Цепочки техник: как поймать хакера за руку
6. 6. От рутины к стратегии: что даёт автоматизация
7. 7. Когда индикатор лжёт: ложные срабатывания как скрытый налог
8. 8. Чужие инциденты: как перестать гадать и начать считать
9. 9. Что взять с собой в 2027 год?
10. 10. Выводы

Введение

В скандинавской мифологии у Одина было 2 ворона: Хугин («Мысль») и Мунин («Память»). Каждый день они облетали Мидгард — мир людей — и к утру шептали своему повелителю самое важное. Не сырые данные, не тысячи незначительных событий. А именно то, что Одину нужно знать, чтобы принимать мудрые решения.

«Вся картина угроз — перед вашим взором» — этот принцип мы положили в основу своей технологической философии.

Если вы Chief Information Security Officer (CISO) или руководитель центра мониторинга информационной безопасности (Security Operations Center, SOC), то сегодня ваша роль в компании — это Один. Вы управляете цифровым королевством — Мидгардом 2.0, где киберугрозы стали таким же хаосом, как в древних сагах. Тысячи отчётов, миллионы индикаторов, десятки новых группировок каждый месяц. Аналитики задыхаются в потоках алертов, CISO теряют фокус, бизнес платит за шум, не получая главного — понимания.

Мы пошли по пути, который подсказала сама мифология. С 2015 года мы выстраиваем Озеро знаний CTI (Cyber Threat Intelligence Knowledge Lake) — единое пространство, где собираются, обогащаются и структурируются знания о киберугрозах со всего мира. Внутри проекта мы назвали его в честь воронов Одина. И чем дальше, тем яснее становилось, что эта метафора — не просто украшение, а точная модель работы.

«Проект Хугин» («Мысль») анализирует тысячи источников, отсеивает шум и выявляет закономерности. «Проект Мунин» («Память») накапливает контекст, связывая текущие инциденты с прошлыми атаками. А вы — Один — получаете не сырые данные, а готовые знания, приоритизированные под вашу отрасль, размер бизнеса и географию.

Сегодня рынок переполнен вендорами, которые продают миллионы индикаторов без контекста — это как если бы вороны приносили Одину всё подряд: камни и сухие ветки, не отличая их от следов врага. Мы не пытаемся быть «самым громким фидом». Мы создаём инфраструктуру смысла, которая превращает хаос цифрового Мидгарда в тихий шёпот ворона — шёпот, который действительно стоит услышать.

Почему это важно именно сейчас? Потому что импортозамещение в информационной безопасности (ИБ) уже состоялось, но вместе с ним пришла новая реальность: волна целенаправленных атак на критическую инфраструктуру России. Энергетика, транспорт, телеком стали полями битв. И в этой ситуации слепота недопустима. Именно поэтому наш годовой отчёт «Сага о цифровом Мидгарде» и эта статья — про смену парадигмы: от реактивной защиты — к проактивной, от сбора данных — к осмыслению, от шума — к тишине.

Почему индустрия CTI зашла в тупик

Сегодня SOC тонет в алертах. CISO не может обосновать бюджет. А бизнес не понимает, за что платит. И дело не в недостатке инвестиций. Дело в том, что сама индустрия CTI (Cyber Threat Intelligence) превратилась в машину по производству алертов.

За последний год количество публичных TI-отчётов выросло на 22 %, до 2884. Это 11,7 отчётов в день. Обработать такой поток вручную невозможно. Команды тратят 70–80 % времени на сбор и структурирование, оставляя 20 % на реальный анализ. По нашей оценке, ручная обработка всего массива обходится крупной компании в 20–25 млн рублей в год — и это только на зарплатах аналитиков.

Но проблема не только в объёмах. Качество тоже падает. В 2025 году мы насчитали не менее 45 отчётов, сгенерированных LLM (Large Language Model) на основе чужих источников и выданных за оригинальные. Западные ресурсы всё чаще переписывают работы российских компаний без ссылок. Рынок CTI производит всё больше данных, но всё меньше смысла.

Вопрос: как из тысяч алертов и индикаторов увидеть только те угрозы, которые реально опасны?

Ответ: нужен фильтр. Система, которая не просто собирает данные, а осмысляет их. Которая знает, что для завода в Перми опасна одна Common Vulnerabilities and Exposures (CVE), а для банка в Москве — совсем другая. И которая отвечает не на вопрос «что произошло?», а на вопрос Одина: «Что мне нужно знать?»

Ландшафт угроз — разный в Асгарде и Мидгарде

Готовя отчёт, мы ожидали увидеть почти полное несовпадение российского и глобального ландшафта угроз. Оказалось — наоборот.

Возьмём вредоносный софт: из топ-50 мировых программ 24 пересекаются с российским топ-50. Lumma Stealer, LockBit, Remcos RAT, AsyncRAT, Rhadamanthys, XMRig Miner входят в список самых изученных угроз по обе стороны океана.

С хакерскими утилитами сходство ещё выше — 62 % совпадения. Cobalt Strike, AnyDesk и Mimikatz остаются стандартным арсеналом злоумышленников по всему миру.

Но различия критичны. Из 324 вредоносных программ, описанных отечественными источниками, 158 не были отражены в глобальных отчётах. Это почти половина. Из 131 хакерской утилиты, известной в России, 53 уникальны для нашего региона. Если строить защиту только на западных данных, вы пропускаете каждую вторую локальную угрозу. Если ограничиться российскими источниками — вы запаздываете: то, что стало прошлым для одного региона, только становится будущим для другого.

Вопрос: как понять, какая из тысяч глобальных угроз действительно опасна именно для вашей компании — в вашей отрасли и с вашим профилем активов?

Ответ: нужна полная картина. Данные со всего мира, но отфильтрованные под ваш бизнес. Не просто «ещё один фид», а единое озеро знаний, объединяющее Запад и Восток, открытые источники и закрытые форумы, глобальных гигантов и локальных специалистов.

Куда смещается цель: отраслевая статистика

Ландшафт угроз меняется. В России динамика атак смещается в сторону критических для государства отраслей: госсектор, энергетика, телеком. В энергетике использование скомпрометированных учётных записей (Valid Accounts) достигает 63 %, а в целом в критической информационной инфраструктуре (КИИ) — 76 %. Это самый высокий показатель среди всех отраслей. Управление паролями здесь — не просто техническая проблема, а вопрос непрерывности работы для страны.

При этом в финансовом секторе главной угрозой остаётся фишинг. T1204.002 (Malicious File) встречается в 17 % атак. А в здравоохранении почти каждый пятый инцидент связан с шифрованием данных (T1486).

Отраслевых панацей не существует. Есть вероятности. И они различаются.

Вывод: вам не нужны «отраслевые дайджесты» из маркетинговых буклетов. Вам нужны честные вероятности, на основе которых можно выстраивать приоритеты.

Цепочки техник: как поймать хакера за руку

Атакующие редко используют техники поодиночке. Они строят цепочки. Понимание этих цепочек — ключ к проактивной защите.

Вот пример. Если вы видите PowerShell (T1059.001), то с вероятностью 47 % за ним последует использование веб-протоколов для command and control (C2) (T1071.001), а с вероятностью 51 % — передача инструментов (T1105). Это не гадание. Это реальная статистика, основанная на анализе сотен инцидентов.

Для стиллеров характерна связка: кража данных из браузера (T1555.003) → сбор данных с локальной системы (T1005) → эксфильтрация через C2-канал (T1041). Вероятности — от 48 до 51 %. Это хорошо зафиксированный набор техник, который практически не меняется год от года.

Если вы видите одну технику из цепочки — ищите следующую. Это повышает вероятность обнаружения.

Эти цепочки — готовые сценарии для настройки Security Information and Event Management (SIEM) и Security Orchestration, Automation and Response (SOAR). Не просто список техник, а знание того, что за чем идёт. Мы научили машину угадывать следующий шаг хакера.

От рутины к стратегии: что даёт автоматизация

В дискуссии с коллегами из CISOCLUB мы подняли тему, которая откликается каждому руководителю SOC. Если аналитик перестаёт тратить 80 % времени на сбор и структурирование, куда направляется освободившееся время? Ответ: на реальную охоту за угрозами (threat hunting), построение гипотез, работу с priority intelligence requirements (PIR) и подготовку отчётов для руководства.

На практике это даёт сокращение mean time to detect (MTTD) на 40–50 % и повышение качества отчётов. Вместо «заблокировано 1000 IP» совет директоров видит: «Риск атаки на логистику снизился на 30 %».

Zero Alert — не фантастика. Это инженерная цель. Идеальная CTI-платформа не генерирует алерты — она сама разбирается, блокирует, изолирует. Человек занимается стратегией, всё остальное — машина.

Когда индикатор лжёт: ложные срабатывания как скрытый налог

Одна из главных невидимых потерь — время, которое аналитики тратят на проверку ложных срабатываний. Легитимные облачные IP, обновления Windows, популярные CDN регулярно попадают в чёрные списки. Аналитик часами проверяет заведомо безопасные объекты.

По нашим данным, до 40 % времени аналитиков уходит на верификацию индикаторов, которые в итоге оказываются безопасными. Это напрямую влияет на удержание персонала (постоянная рутина — главная причина выгорания) и на MTTD.

Вопрос: Как отличить реальную угрозу от легитимной активности?

Ответ: нужен механизм вайтлистинга на основе поведенческих паттернов и репутации. Один и тот же IP может быть и легитимным облачным сервером, и частью ботнета. Важно не просто блокировать, а давать контекст.

Чужие инциденты: как перестать гадать и начать считать

Самый сильный аргумент для совета директоров — это не абстрактные CVSS-баллы, а реальные деньги. «Атака на логистику может остановить завод на неделю. Потенциальные потери — 500 млн рублей. Защита стоит 50 млн. ROI — 900 %».

Чтобы такую оценку получить, нужна статистика по реальным инцидентам у компаний, похожих на вашу. Та же отрасль, тот же размер, та же страна. Байесовский подход: если у 5 из 10 похожих компаний атака привела к остановке производства, то вероятность для вас — 50 %.

Вопрос: как примерить чужую боль на свой бизнес?

Ответ: строить отчёты не на догадках, а на реальных данных. Это единственный способ перевести CTI из разряда «расходов» в разряд «инвестиций».

Что взять с собой в 2027 год?

На основе анализа 2884 отчётов мы выделили 5 главных трендов, к которым нужно готовиться уже сейчас:

Человеческий фактор — ключ к успешной атаке. Учите сотрудников противостоять фишингу. Уделите особое внимание управлению учётными записями и паролями.

Усиление атак через цепочки поставок. Атакующие будут бить через ваших подрядчиков и партнёров. Мониторинг контрагентов — новый фронт работы.

Эволюция стиллеров. Они будут красть не только пароли, но и сессии, токены, данные аутентификации. Защита браузеров и внедрение многофакторной аутентификации (MFA) становятся критическими.

Атаки становятся более разрушительными. «Тихая глобальная кибервойна» продолжается, и она ещё даже не достигла своего пика.

Дальнейший рост LLM-фейков. Количество «искусственных» отчётов будет увеличиваться. Учитесь проверять источники.

Выводы

Один не спрашивал воронов: «Что вы видели?» Он спрашивал: «Что мне нужно знать?» В этом разница между данными и мудростью.

В мире, где каждый вендор обещает всевидение, настоящая мудрость — в умении отсекать лишнее. В способности слышать сигналы. Сила — в разнообразии. В том, чтобы собирать данные отовсюду: с Запада и с Востока, из открытых источников и закрытых форумов, от глобальных гигантов и локальных специалистов.

Мы создали единое Озеро знаний CTI. Оно собирает всё, осмысляет и отдаёт вам только то, что реально важно для вашего бизнеса.

Если вы готовы видеть картину целиком — приходите. Покажем, как работает тишина. Если нет — продолжайте покупать фиды, нанимать выгоревших аналитиков и молиться, чтобы враг не зашёл с той стороны, которую вы не видите.

Но знайте: где-то там, в тишине, враг уже зашёл. И сидит. И ждёт. А вы его не слышите.

Реклама, ООО "ТЕХНОЛОГИИ КИБЕРУГРОЗ", ИНН 9731092317, 16+.
ERID: 2VfnxwPCefU