Что такое Threat Intelligence и какие бывают виды

Что такое Threat Intelligence простыми словами

Threat Intelligence — это не просто «фид с вредоносными IP-адресами». Это процесс и результат: сбор данных об угрозах из множества источников, их обогащение контекстом, анализ и доставка тем, кто принимает решения. Ключевое отличие разведки от «сырых данных» в трёх свойствах: сигнал должен быть **проверяемым** (откуда он, насколько достоверен), **контекстным** (к какой группировке, кампании или уязвимости относится) и **применимым** (что с ним делать прямо сейчас).

Простой пример. «IP 203.0.113.5 — плохой» — это данные. «IP 203.0.113.5 за последние 72 часа использовался как C2-сервер группировки, атакующей финансовый сектор РФ через фишинг с вложением-загрузчиком; рекомендуется заблокировать и проверить логи на исходящие соединения» — это разведка. Второе можно сразу превратить в правило в межсетевом экране и запрос в SIEM, первое — нет.

Четыре вида Threat Intelligence

TI принято делить на четыре уровня по аудитории, горизонту и применимости. Разница не в «качестве», а в том, кому и для каких решений сигнал предназначен.

- **Стратегическая.** Высокоуровневая картина для руководства и CISO: кто и зачем атакует отрасль, тренды угроз, геополитический и регуляторный контекст. Горизонт — месяцы и кварталы, формат — отчёты и брифинги, а не машинные индикаторы. - **Тактическая.** Тактики, техники и процедуры атакующих (TTPs) в терминах MITRE ATT&CK: как именно действуют группировки. Аудитория — архитекторы защиты и руководители SOC; помогает закрывать классы атак, а не отдельные адреса. - **Операционная.** Сведения о конкретных кампаниях и атаках: что готовится, против кого, какой инструментарий. Питает threat hunting и проактивную защиту, часто опирается на данные о группировках и их инфраструктуре. - **Техническая.** Машиночитаемые индикаторы (IOC) для автоматики: хеши файлов, домены, IP, URL, сигнатуры. Самый короткоживущий, но самый легко автоматизируемый уровень — прямой вход для SIEM, EDR и межсетевых экранов.

IOC и IOA: в чём разница

Два базовых понятия TI часто путают, хотя они отвечают на разные вопросы.

- **IOC (Indicator of Compromise), индикатор компрометации** — это след уже состоявшейся или идущей атаки: хеш вредоносного файла, адрес C2-сервера, вредоносный домен или URL, подозрительный ключ реестра. IOC отвечает на вопрос «нас уже зацепило?». Минус — IOC легко меняются: атакующему достаточно перекомпилировать файл или сменить домен, и старый индикатор «протухает». - **IOA (Indicator of Attack), индикатор атаки** — это признак поведения и намерения: цепочка действий, характерная для атаки (например, процесс Office запускает PowerShell, который скачивает и исполняет код). IOA отвечает на вопрос «нас атакуют прямо сейчас?» и устойчивее к смене инструментов, потому что описывает метод, а не артефакт.

На практике зрелая защита использует и то, и другое: IOC дают быструю автоматическую реакцию, IOA ловят новые и бесфайловые атаки, под которые ещё нет индикаторов.

Источники Threat Intelligence

Качество разведки определяется источниками и их обогащением. Обычно TI собирают из нескольких слоёв одновременно:

- **OSINT** — открытые источники: блоги вендоров, отчёты CERT, публичные фиды, форумы, публикации исследователей. - **Закрытые сообщества обмена** — отраслевые группы доверенного обмена (ISAC-подобные), обмен между командами реагирования. - **Телеметрия вендоров** — данные сенсоров, песочниц, EDR и почтовых шлюзов поставщика TI: главный источник «свежих» технических индикаторов. - **Глубокий и теневой веб** — мониторинг даркнет-площадок, утечек, продаж доступов и инструментов. - **Государственные источники РФ** — Банк данных угроз ФСТЭК (БДУ), бюллетени и уведомления регуляторов и НКЦКИ.

> Для проверяемых данных по российскому рынку первоисточники — это > [реестр отечественного ПО](https://reestr.digital.gov.ru/), > [реестр сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/) и > [Банк данных угроз ФСТЭК](https://bdu.fstec.ru/). Их стоит сверять перед закупкой > TI-платформы, а вендоров ниже воспринимать как ориентир, а не как рейтинг.

Среди российских поставщиков TI на рынке представлены, например, Kaspersky Threat Intelligence, BI.ZONE, F.A.C.C.T. и Positive Technologies — это ориентир по игрокам, а не оценка; сравнение по подтверждённым сигналам смотрите в [рейтинге категории](/rating/threat-intelligence).

Как применять TI в SOC, SIEM и SOAR

Главная ценность TI раскрывается не в отчёте, а в интеграции с инструментами защиты. Типовые сценарии:

- **Обогащение алертов в SIEM.** Входящие события сопоставляются с индикаторами: алерт по «известному плохому» домену сразу получает контекст и приоритет, аналитик не тратит время на ручной разбор. - **Авто-блокировка через SOAR/EDR.** Подтверждённые IOC передаются в межсетевой экран, прокси и EDR для автоматической блокировки по плейбукам. - **Threat hunting.** Операционная и тактическая TI задают гипотезы охоты: ищем следы конкретной группировки или техники в логах ещё до срабатывания алерта. - **Приоритизация уязвимостей.** TI показывает, какие уязвимости реально эксплуатируются в атаках на вашу отрасль, — это меняет очередность патчинга. - **Управленческие решения.** Стратегическая TI обосновывает бюджет и приоритеты защиты языком рисков, понятным руководству.

Чтобы интеграция работала, важны формат обмена (STIX/TAXII), управление «протуханием» индикаторов и контроль ложных срабатываний — иначе фид превращается в шум. Подробнее об этом — в материале [как интегрировать фиды угроз с SIEM и SOAR](/research/integraciya-feedov-ugroz-siem).

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики TI сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом Threat Intelligence платформ](/rating/threat-intelligence): здесь — теория и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Разобрались с видами и применением TI — переходите к сравнению поставщиков: **[рейтинг Threat Intelligence платформ →](/rating/threat-intelligence)**. Полезно прочитать рядом: [рейтинг российских TI-платформ 2026](/research/reyting-rossiyskih-ti-2026), [чем заменить Recorded Future и Mandiant](/research/zamena-recorded-future-mandiant-ti) и [как интегрировать фиды угроз с SIEM и SOAR](/research/integraciya-feedov-ugroz-siem).