исследование 3 июня 2026

Рейтинг российских Threat Intelligence платформ 2026

Threat Intelligence (TI, разведка киберугроз) в России к 2026 году — это уже не один-два западных фида, а зрелый рынок отечественных платформ и сервисов. После ухода Recorded Future, Mandiant и других иностранных провайдеров заказчики собрали контур заново на российских данных: фиды индикаторов компрометации (IoC), порталы аналитики, сервисы мониторинга утечек и брендовых угроз, интеграции с SIEM и SOAR. **Если коротко:** «лучшую» TI-платформу нельзя выбрать по бренду — выбор зависит от того, какой тип разведки вам нужен (тактическая, оперативная, стратегическая), насколько данные релевантны российскому ландшафту угроз, как фиды ложатся в вашу SIEM/SOAR и какой объём сопровождения вы готовы вести сами. Ниже — критерии сравнения, ориентир по российским вендорам и переход к ранжированию поставщиков по проверяемым сигналам. Сравнить поставщиков можно в [рейтинге Threat Intelligence платформ](/rating/threat-intelligence).

8 мин. чтения Блоки данных: 7 Позиции: не продаются Авторы: Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Рейтинг российских Threat Intelligence платформ 2026 — Тематическая иллюстрация к исследованию: Рейтинг российских Threat Intelligence платформ 2026. Lukas Blazek / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему рынок Threat Intelligence в России пересобрался

До 2022 года корпоративная разведка угроз во многом строилась на западных источниках: Recorded Future, Mandiant (ex-FireEye), потоки от глобальных вендоров EDR и облачных провайдеров. После ухода этих игроков заказчики столкнулись не только с отключением доступов, но и с тем, что западные фиды исторически слабо покрывали именно российский сегмент угроз: профильные группировки, целевые фишинговые кампании на русском языке, утечки в русскоязычном сегменте даркнета.

Параллельно усилилась регуляторная рамка. Подключение к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и взаимодействие с НКЦКИ сделали обмен индикаторами и данными об угрозах частью операционных обязанностей для субъектов критической информационной инфраструктуры (КИИ). Банк данных угроз ФСТЭК (БДУ) стал проверяемым национальным источником. В итоге вопрос сместился с «какой западный фид купить» на «какая российская TI-платформа даёт релевантные данные и встраивается в наш SOC».

Threat Intelligence в России: коротко в цифрах

Ушли ключевые западные TI Recorded Future, Mandiant и др.

Доступы и поддержка свёрнуты после 2022

Уровни разведки 3

Тактический, оперативный, стратегический

Точки интеграции SIEM, SOAR, TIP, NGFW

IoC и контекст идут в существующий стек

Регуляторный контур ГосСОПКА / НКЦКИ / БДУ ФСТЭК

Обмен данными об угрозах для субъектов КИИ

Какие бывают уровни Threat Intelligence

Прежде чем сравнивать вендоров, важно понять, что под «TI» скрываются разные продукты. Платформа, сильная в одном слое, может быть средней в другом, поэтому критерии выбора зависят от ваших задач.

- **Тактическая разведка.** Машиночитаемые индикаторы компрометации (IP, домены, хэши, URL) в фидах для автоматической подачи в SIEM, NGFW и SOAR. Здесь решают полнота, свежесть, низкий процент ложных срабатываний и удобство интеграции. - **Оперативная разведка.** Контекст по конкретным кампаниям, инструментам и техникам (TTP по матрице MITRE ATT&CK), атрибуция группировок, разбор атак. Помогает SOC и threat hunting понимать «кто и как» бьёт по отрасли. - **Стратегическая разведка.** Отчёты о ландшафте угроз, трендах, рисках для отрасли и бренда — для CISO и руководства. Сюда же относят мониторинг утечек, упоминаний компании в даркнете, фишинга под бренд (digital risk protection).

Кто представлен на российском рынке Threat Intelligence

Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/threat-intelligence). Цель таблицы — показать, чем продукты различаются по позиционированию и фокусу, чтобы вы понимали, кого имеет смысл звать на пилот под вашу задачу.

Поставщик / платформа	Фокус	Позиционирование	Чаще всего подходит для
Kaspersky Threat Intelligence	Глобальная телеметрия + фиды и порталы	Широкий портфель TI: фиды, аналитика APT, цифровой след	Enterprise, зрелые SOC, интеграция в SIEM/SOAR
BI.ZONE Threat Intelligence	Разведка под российский ландшафт + DRP	TI как часть экосистемы мониторинга и реагирования	Компании, идущие к управляемому SOC/MSSP
F.A.C.C.T. (ex-Group-IB в РФ)	Атрибуция, расследования, даркнет	Сильная экспертиза по группировкам и мошенничеству	Финсектор, расследования, антифрод
Positive Technologies	Экспертиза PT ESC + интеграция со стеком PT	TI в связке с продуктами обнаружения и реагирования	Заказчики экосистемы PT, threat hunting

По каким критериям сравнивать TI-платформы

Функционально ведущие российские TI-платформы закрывают тот же контур, что и западные: фиды IoC, порталы аналитики, атрибуция, мониторинг даркнета и бренда, API для интеграции. Разница — в деталях, которые и определяют результат:

- **Релевантность российскому ландшафту.** Покрытие профильных группировок, русскоязычного фишинга и утечек в местном сегменте даркнета важнее «глобального объёма» индикаторов. - **Свежесть и качество фидов.** Частота обновления, время жизни индикатора, процент ложных срабатываний. «Грязный» фид создаёт шум в SIEM и выжигает аналитиков. - **Глубина контекста.** Привязка индикаторов к кампаниям и TTP по MITRE ATT&CK, а не «голые» IP и хэши — это разница между алертом и понятным расследованием. - **Интеграция в стек.** Поддержка STIX/TAXII, готовые коннекторы к SIEM/SOAR, наличие TIP (Threat Intelligence Platform) для нормализации и обогащения данных. - **Форматы поставки.** Фиды, портал, отчёты, API, управляемый сервис — и кто несёт операционную нагрузку: вы или провайдер.

Зрелость класса российских TI-платформ по направлениям

Усреднённая редакционная оценка готовности класса решений по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на ваших данных.

Мониторинг утечек и даркнета 90 /100

90 /100

Фиды IoC под российский ландшафт 90 /100

90 /100

Атрибуция группировок и расследования 85 /100

85 /100

Защита бренда и антифишинг (DRP) 85 /100

85 /100

Контекст по TTP (MITRE ATT&CK) 80 /100

80 /100

Интеграция с SIEM/SOAR (STIX/TAXII) 75 /100

75 /100

Как читать классы TI-решений: карта позиционирования

Релевантность российскому ландшафту → Глубина контекста и атрибуции →

Машиночитаемые фиды IoC Поток индикаторов в SIEM/NGFW, мало ручного контекста

Порталы аналитики и атрибуции Кампании, TTP, разбор группировок для SOC и хантинга

Digital Risk Protection (утечки, бренд) Даркнет, фишинг под бренд, упоминания компании

Управляемый TI-сервис (в составе SOC) Провайдер берёт операционную нагрузку на себя

Чек-лист выбора Threat Intelligence платформы

Определите нужный уровень разведки тактический, оперативный, стратегический или их сочетание.

Проверьте релевантность данных покрытие вашей отрасли, российских группировок и русскоязычного даркнета.

Запросите метрики качества фидов свежесть, время жизни индикатора, доля ложных срабатываний.

Оцените контекст привязка индикаторов к кампаниям и TTP по MITRE ATT&CK, а не «голые» IoC.

Проверьте интеграцию STIX/TAXII, готовые коннекторы к вашей SIEM/SOAR, наличие TIP.

Уточните регуляторную привязку обмен с ГосСОПКА/НКЦКИ и сверка с БДУ ФСТЭК, если вы субъект КИИ.

Заложите пилот на ваших данных оцените сигнал/шум на боевом потоке до контракта, а не после.

Сравните вендоров по подтверждённым внедрениям в [рейтинге Threat Intelligence](/rating/threat-intelligence).

Как внедрить Threat Intelligence: 6 шагов

01 Цели и сценарии
Зафиксируйте, что закрываете TI: обогащение SIEM, threat hunting, защиту бренда, требования регулятора.
02 Инвентаризация источников
Что уже есть — фиды от EDR/NGFW, open-source, отраслевой обмен — и где дыры в покрытии.
03 Шорт-лист и пилот
2–3 кандидата, тест фидов и портала на вашем потоке, замер релевантности и ложных срабатываний.
04 Интеграция
Подключение через STIX/TAXII к SIEM/SOAR, настройка обогащения и правил приоритизации индикаторов.
05 Процессы и роли
Кто разбирает алерты, как индикаторы попадают в блокировки, как ведётся обратная связь по качеству фида.
06 Контур регулятора
Настройте обмен с ГосСОПКА/НКЦКИ и сверку с БДУ ФСТЭК, если это требуется вашему объекту КИИ.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация и экспертные публикации, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом Threat Intelligence](/rating/threat-intelligence): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг Threat Intelligence платформ →](/rating/threat-intelligence)**. Полезно прочитать рядом: [что такое Threat Intelligence и какие бывают виды](/research/chto-takoe-threat-intelligence), [чем заменить Recorded Future и Mandiant](/research/zamena-recorded-future-mandiant-ti) и [как интегрировать фиды угроз с SIEM и SOAR](/research/integraciya-feedov-ugroz-siem).

Частые вопросы

Чем заменить Recorded Future и Mandiant в России?

Контур разведки угроз сегодня собирают на российских платформах: фиды IoC под местный ландшафт, порталы аналитики и атрибуции, сервисы мониторинга утечек и защиты бренда. Какой поставщик подойдёт — зависит от нужного уровня разведки и интеграции; подробный разбор есть в материале про замену Recorded Future и Mandiant.

Чем российские TI-данные лучше западных для местных задач?

Глобальные фиды исторически слабее покрывали российский сегмент: профильные группировки, русскоязычный фишинг и утечки в местном даркнете. Отечественные провайдеры строят разведку вокруг именно этого ландшафта, что повышает релевантность индикаторов и контекста.

Нужна ли отдельная платформа TIP, если уже есть SIEM?

Часто да: TIP (Threat Intelligence Platform) нормализует и обогащает индикаторы из разных источников, убирает дубли и шум до того, как данные попадут в SIEM/SOAR. Без неё фиды легко превращаются в поток ложных срабатываний. Подробнее — в материале про интеграцию фидов угроз с SIEM и SOAR.

Как TI связана с ГосСОПКА и требованиями регулятора?

Для субъектов КИИ обмен данными об угрозах с ГосСОПКА/НКЦКИ — часть операционных обязанностей, а БДУ ФСТЭК служит национальным проверяемым источником. Платформа должна вписываться в этот контур, а не существовать отдельно от него.

Где сравнить конкретных вендоров между собой?

В рейтинге Threat Intelligence платформ — там поставщики ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России

Рейтинг Threat Intelligence платформ Сравнить поставщиков по подтверждённым сигналам Что такое Threat Intelligence и какие бывают виды Чем заменить Recorded Future и Mandiant: российские TI-провайдеры Как интегрировать фиды угроз с SIEM и SOAR