Что такое Threat Intelligence и кому он реально нужен в 2026
Разбираемся, чем отличается работающий threat intelligence от бесполезного потока IOC, какие источники данных дают реальную ценность для бизнеса и в каких сценариях TI окупает свою стоимость, а в каких остаётся дорогой игрушкой для ИБ-отдела.
Threat Intelligence это структурированная информация об угрозах конкретно для вашей отрасли и инфраструктуры с конкретными индикаторами и рекомендациями по реагированию. Полезный TI отличается от бесполезного актуальностью, контекстом, релевантностью и интегрируемостью с вашими защитными средствами. Стоит от 1,5 до 15 миллионов рублей в год. Окупается у компаний, которые являются реальной целью APT-группировок и имеют зрелый SOC, способный действовать на основе TI-данных.
Что такое Threat Intelligence на самом деле
В корпоративных закупках под названием Threat Intelligence продают много разных продуктов, и понимать различия между ними критично, чтобы не переплатить за пользу, которая не соответствует ожиданиям.
В академической классификации TI делится на четыре уровня. Стратегический TI это обзор тенденций и активности группировок, понятный нетехническому руководителю и помогающий принимать решения о бюджете и приоритетах. Тактический TI описывает техники, тактики и процедуры конкретных группировок в стандарте MITRE ATT&CK, помогая защитникам понимать, как именно атакуют их сектор. Операционный TI содержит детали готовящихся или развивающихся кампаний, позволяя превентивно усилить защиту. Технический TI это поток индикаторов компрометации с хешами, IP-адресами, доменами, который машинно подаётся в защитные средства для блокировки.
На рынке часто продают только технический уровень и называют его Threat Intelligence. На самом деле это feed индикаторов, который без остальных уровней даёт ограниченную пользу. Качественный TI включает все четыре уровня в координации.
Чем хороший TI отличается от плохого
Большинство компаний, которые покупают TI и разочаровываются через год, делают это потому, что купили общий поток данных вместо целевой подписки. Разница между ними принципиальна.
Общий поток это когда вы получаете тысячи индикаторов в день из публичных и коммерческих источников. Аналитики не успевают всё это разбирать, защитные средства захлёбываются и начинают пропускать настоящие срабатывания, релевантность для вашей конкретной инфраструктуры не оценивается. Результат это шум.
Целевая подписка это когда вы получаете обработанные данные конкретно для вашей отрасли и вашей инфраструктуры. Только индикаторы, которые имеют отношение к группировкам, активным в вашем секторе. Только профили атакующих, которые реально могут вас интересовать. Только отчёты по кампаниям, которые могут вас затронуть.
Качественный TI имеет следующие признаки. Актуальность: данные приходят за часы или дни от обнаружения, а не за недели. Контекст: каждый индикатор сопровождается описанием атрибуции, цели, контекста использования. Релевантность: данные отфильтрованы под вашу отрасль и инфраструктуру. Интегрируемость: предоставляется в стандартных форматах STIX/TAXII для подачи в SIEM, EDR, файрволы. Реактивная команда: вы можете задать вопрос аналитикам и получить ответ, а не только потреблять автоматический поток.
Типичные источники данных для TI
Полноценный TI собирается из нескольких типов источников.
Публичные открытые источники это дешёвый базовый слой. CISA Alerts, отчёты крупных вендоров безопасности, исследовательские публикации, открытые трекеры IOC. Бесплатно, актуально, но требует значительных усилий для извлечения смысла.
Коммерческие feed от специализированных компаний. Это могут быть как российские игроки вроде Group-IB, BI.ZONE, Лаборатории Касперского, так и международные. Качество сильно различается по конкретному поставщику и набору источников.
Закрытые отраслевые сообщества где компании одного сектора делятся данными об атаках друг на друга. ISAC и ISAO в международной практике, отраслевые группы в России. Самый ценный источник, но доступ ограничен.
Тёмные форумы и маркетплейсы где злоумышленники продают доступы к компаниям, обмениваются техниками, обсуждают цели. Доступ требует специализированных операций под прикрытием. Не делайте этого самостоятельно, есть провайдеры, которые делают это легально и профессионально.
Внутренняя телеметрия вашей инфраструктуры. Атаки, которые вы видите у себя, могут быть полезны для других компаний и для собственного TI-цикла. Многие зрелые SOC ведут собственный TI на основе разбора своих инцидентов.
Кому реально нужен TI
Не все компании получают пользу от TI. Это дорогая услуга, и её ценность сильно зависит от профиля компании.
Большая ценность TI обычно даёт следующим типам организаций. Финансовые институты, особенно работающие с межбанковскими операциями. Крупные ритейлеры с обширной платёжной инфраструктурой. Промышленные и энергетические компании, попадающие в фокус целевых атак. Государственные организации с критичной инфраструктурой. Компании, которые уже сталкивались с целевыми атаками и знают, кто их атакует.
Меньшая ценность TI обычно даёт средним компаниям, которые не являются прямой мишенью APT-группировок и подвергаются преимущественно массовым автоматизированным атакам. Для них базовая защита через EDR, файрвол с обновляемыми сигнатурами и регулярные обновления закрывают большую часть рисков.
Полезный тест на необходимость TI. Если у вас нет SOC, который может реально использовать TI-данные для активного реагирования, покупка TI это пустая трата денег. TI без SOC это поток отчётов в почтовый ящик, которые никто не читает.
Как считать ROI на TI
Считать возврат инвестиций на TI сложно, потому что нельзя точно измерить, сколько атак было предотвращено. Но есть подходы для оценки.
Прямая экономия. Сколько алертов в SOC закрывается быстрее благодаря наличию контекста из TI. Сколько ложных срабатываний удалось избежать благодаря фильтрации. Сколько часов аналитиков сэкономлено.
Косвенная экономия. Сколько проактивных усилений защиты было сделано на основе TI-предупреждений до того, как соответствующая атака реализовалась. Это сложнее измерить, но команда обычно может оценить экспертно.
Стратегическая ценность. TI помогает принимать решения о приоритетах в защите. Если из TI видно, что в вашей отрасли активизировалась группировка, использующая конкретные техники, у вас появляется обоснование для приоритезации соответствующих защитных мер.
В нашей практике TI окупается у компаний, которые тратят на защиту больше пятидесяти миллионов рублей в год и имеют зрелый SOC. Для таких компаний даже одна предотвращённая целевая атака закрывает несколько лет TI-подписки.
Как выбирать поставщика TI
При выборе провайдера обратите внимание на следующие пункты.
Покрытие вашей отрасли. Спросите провайдера, какие группировки они отслеживают, активные в вашем секторе. Хороший ответ это конкретный список с примерами недавних кампаний. Плохой ответ это общие слова про широкое покрытие.
Источники данных. Спросите, откуда приходят данные. Хороший провайдер имеет несколько типов источников, включая собственные сенсоры, тёмные источники и сотрудничество с CERT-командами. Плохой провайдер только перепаковывает публичные потоки.
Аналитическая команда. Узнайте, кто на стороне провайдера обрабатывает сырые данные и превращает их в полезные отчёты. Названные эксперты с публичной репутацией это хороший знак. Анонимная команда без присутствия в индустрии это плохой знак.
Интеграции. Проверьте, поддерживает ли провайдер ваши защитные средства через STIX/TAXII или прямые коннекторы. Если данные нельзя автоматически загрузить в ваш SIEM или EDR, операционная польза будет ограничена.
Реактивная поддержка. Можете ли вы отправить вопрос аналитикам и получить ответ. Какие SLA на ответы. Можно ли заказать целевое исследование под конкретную ситуацию.
Честные ограничения. Качественный провайдер открыто скажет, какие группировки он не отслеживает и какие сектора покрывает слабее. Уход от прямых вопросов это плохой знак.
Распространённые ошибки внедрения
Несколько паттернов, которые мы регулярно видим в проектах внедрения TI.
Ошибка первая: покупка ради галочки. Компания покупает TI, потому что это написано в требованиях аудитора или потому что у конкурентов есть. Никто не интегрирует данные с защитными средствами, аналитики не знают, что с ними делать. Через год подписку продлевают по инерции.
Ошибка вторая: попытка использовать TI без зрелого SOC. TI-данные приходят в команду, которая не умеет действовать на их основе. Алерты на индикаторы компрометации генерируются, но не отрабатываются. Стратегические отчёты читаются, но не приводят к изменениям в защите.
Ошибка третья: ожидание мгновенного эффекта. TI это инвестиция в зрелость безопасности, которая даёт результат через шесть-двенадцать месяцев работы. Команды, которые ожидают, что подписка немедленно сократит количество инцидентов, разочаровываются.
Ошибка четвёртая: один источник вместо комбинации. Никакой провайдер не покрывает все группировки и все типы атак. Серьёзная программа TI комбинирует данные из двух-трёх источников плюс собственную внутреннюю телеметрию.
Альтернативы для среднего бизнеса
Если ваша компания не дотягивает до зрелости, при которой полноценный TI окупается, есть промежуточные варианты.
Подписка на отраслевой ISAC или аналог в вашем регионе. Часто стоит существенно дешевле коммерческого TI и даёт релевантные данные.
Использование TI-функций встроенных в EDR и SIEM. Большинство современных средств защиты включают базовый поток индикаторов от вендора. Это не полноценный TI, но это лучше, чем ничего.
Регулярная подписка на бесплатные публичные источники. CISA, NCSC, отчёты вендоров. Требует ручной работы, но даёт базовый уровень осведомлённости.
Привлечение внешнего аналитика на разовые задачи. Когда у вас инцидент или вопрос про конкретную группировку, можно заказать целевое исследование вместо постоянной подписки.
Что делать дальше
Если вы рассматриваете внедрение TI и не уверены, окупится ли это для вашей компании, начните с разговора с вашим SOC-провайдером или консультантом. Спросите конкретно, какие задачи TI должен закрыть и есть ли у вашей команды способность эти задачи реализовать.
Мы готовы провести бесплатный аудит готовности компании к использованию TI и подобрать оптимальную модель для ваших масштабов и зрелости. Без обязательств, без попыток продать дорогую подписку компании, которой она пока не нужна.
