Привет Хабр! Меня зовут Михаил, я инженер‑исследователь в области киберберразведки (Cyber Threat Intelligence — CTI, или просто TI) и защиты отечественной критической информационной инфраструктуры (КИИ). Уже более 20 лет я работаю в области защиты информации и связи. В настоящее время я сосредоточен на системном подходе к анализу угроз в отраслях КИИ и проектированию инновационных решений, основанных на TI. Этот материал представляет собой мой авторский анализ развития отечественной системы TI и перспектив её применения для защиты КИИ.
Для начала — несколько слов о TI и её роли в обеспечении киберзащиты информационных объектов. Это относительно новое направление, ориентированное на сбор, обработку и анализ данных об актуальных рисках нарушения безопасности в цифровой среде (готовящиеся таргетированные атаки, фишинговые кампании, появление нового вредоносного ПО и эксплойтов, выявленные уязвимости ПО, сведения о компрометации корпоративных аккаунтов, краже учетных данных и т. д.). Основная цель TI — видеть угрозы до того, как они станут инцидентами, и выстраивать защиту информационных активов более осмысленно.
В мировом кибербезе TI активно развивается с начала 2010-х годов, но в России это направление пока не является широкой практикой. Вместе с тем, стремительный рост целевых атак (в том числе на объекты КИИ) и уход западных вендоров стимулировали переход на отечественные решения, в том числе в сфере ИБ. Крупные российские ИБ‑компании начали активно развивать и продвигать собственные TI‑решения — платформы, порталы, а также дополнительные сервисы в составе комплексных продуктов. В результате, рынок киберразведки в России за последние два года удвоился — это отмечают как аналитики, так и ведущие вендоры TI. И это связано не только с замещением ушедших западных продуктов, но и с растущей потребностью компаний в более зрелых и эффективных системах защиты информации.
На сегодняшний день грамотно выстроенная система TI помогает службам ИБ не только реагировать, но и предвидеть атаки. Таким образом, переход от «реактивной» ИБ к более осознанной и проактивной модели — это логичная необходимость.
В настоящее время в качестве базовых TI‑платформ организаций довольно широко распространены open‑source решения типа MISP и OpenCTI, однако на практике есть ограничения. К примеру, коллеги отмечают, что MISP в типовой конфигурации начинает «задыхаться», когда поток превышает 50–100 тыс. индикаторов в сутки, а OpenCTI достаточно ресурсоемка (длительная обработка больших объёмов индикаторов компрометации IoC, проблемы с поддержкой).
Кроме того, ни MISP, ни OpenCTI не являются отечественными продуктами, не сертифицированы в России и не входят в реестр ПО Минцифры, что для субъектов КИИ критически важно. Потому и госструктуры, и частные компании начали всё чаще смотреть в сторону отечественных TI‑решений с понятной техподдержкой, удобной интеграцией с отечественными ИБ‑продуктами (такими как SIEM, SOAR, XDR, NGFW) и, что особенно важно, с фокусом на местный, российский ландшафт угроз (т. е. типичные атаки, группировки, уязвимости ПО, актуальные именно для России).
В этом материале я поставил перед собой цель сделать информативный обзор ключевых отечественных TI‑решений, отметить их основные особенности, немного поразмышлять о перспективах развития — особенно в контексте защиты КИИ, как одной из приоритетных задач обеспечения цифрового суверенитета нашей страны. Надеюсь, этот обзор будет профессионально полезным и одновременно лёгким для восприятия.
Основные игроки российского рынка CTI
На момент исследования (июль 2025 года) на основе нескольких параметров (зрелости продукта, охвата телеметрии, репутации вендора, фактической представленности решений на рынке) я выделил ядро из 10 отечественных СTI‑решений, каждое из которых предстоставляет определенный набор TI‑сервисов. В основе всех этих решений — машиночитаемые потоки индикаторов компрометации IoC («фиды»), а также стандартные средства для их интеграции с существующими ИБ‑продуктами (интерфейсы взаимодействия). Кроме того, в состав решений могут входить веб‑порталы с визуализацией (GUI), отчеты о деятельности APT‑группировок, аналитические инструменты для работы специалистов, уникальные дополнительные сервисы. Уточняю, что информация взята мной из открытых источников и не гарантирует полного охвата всех деталей, возможны неточности. Итак:
Kaspersky — Threat Intelligence Portal (KTIP)
Формат: веб‑портал + API, фиды (STIX/TAXII, JSON, CSV).
Платформа использует глобальную сеть сенсоров Kaspersky Security Network, охватывающую десятки миллионов устройств в 200+ странах, что обеспечивает одну из крупнейших и самых репрезентативных баз угроз на рынке. Ежедневно выявляется более 350,000 новых вредоносных объектов. KTIP включает облачную песочницу (Cloud Sandbox) для глубокого динамического анализа подозрительных файлов и ссылок, сервис Threat Lookup для быстрой проверки объектов, Digital Footprint Intelligence, APT‑отчёты, а также специализированные TI‑фиды для ICS/SCADA и финансового сектора.BI.ZONE (экосистема Сбера) — BI.ZONE Threat Intelligence
Формат: портал + фиды (TAXII, REST API).
Решение строится на данных телеметрии и расследований SOC Сбера с собственными сценариями анализа инцидентов. Модуль Underground («теневые ресурсы») обеспечивает мониторинг даркнета: выявление упоминаний корпоративных данных, отслеживание утечек и угроз репутации. Digital Risk Monitoring автоматизирует обнаружение фишинговых сайтов, несанкционированное использование бренда и компрометации аккаунтов. Платформа поддерживает кастомные фильтры, автоматические уведомления и отраслевую сегментацию аналитики, что важно для ИБ‑отделов крупных компаний.Ростелеком‑Солар — Solar Threat Intelligence
Формат: фиды (STIX/TAXII, CSV, API) + отчёты.
Телеметрия SOC Solar JSOC обрабатывает сотни миллиардов событий с использованием автоматической и ручной верификации для приоритизации IoC, что обеспечивает высокое качество индикаторов. Платформа включает APT‑отчеты Solar 4RAYS на основе собственных расследований, мониторинг ботнетов, активных группировок и фишинговых кампаний. Специализация решения — промышленная безопасность, с поддержкой лаборатории АСУ ТП, проводящей анализ угроз ICS/SCADA и целевых атак на критическую инфраструктуру. С 2024 года в сервис добавлен модуль Digital Footprint для мониторинга внешней цифровой поверхности атаки.Positive Technologies — PT Expert Security Center (ESC) Threat Intelligence
Формат: фиды + отчёты.
Более 30 тематических потоков с контекстом и рейтингом критичности. Специализация на SCADA/ICS и АСУ ТП. Включает готовые правила корреляции для MaxPatrol SIEM и MaxPatrol O2. Решение позволяет обеспечивать не только актуальные данные, но и сценарии Threat Hunting, а также оперативную аналитическую поддержку критической инфраструктуры. Благодаря интеграции с продуктами Positive Technologies обеспечивается сквозная автоматизация защиты и реагирования.F.A.C.C.T. (F6, бывшая Group‑IB) — Threat Intelligence
Формат: портал + API.
Поведенческая аналитика и граф‑анализ связей между объектами атак. Включает крупнейшую на российском рынке базу Carding & Fraud‑данных и технологию Graph Network для атрибуции киберпреступников визуализации инфраструктур атак. Ключевым преимуществом решения является уникальная база знаний и графовые технологии, которые унаследованы от международных разработок Group‑IB, что обеспечивает высокую детализацию и качество аналитики при адаптации к российскому ландшафту угроз.Сбер — X‑Threat Intelligence (X‑TI)
Формат: бесплатный портал + API.
Более 420 тыс. CVE, свыше 70 тыс. эксплойтов, 700 аналитических отчетов. Включает модули мониторинга даркнета и защиты бренда от фишинговых сайтов. Платформа предоставляется бесплатно российским компаниям в рамках вклада в национальную кибербезопасность.R‑Vision — R‑Vision TIP
Формат: «коробочная» платформа.
Агрегация внешних и внутренних фидов с рейтингом достоверности, поддержка отечественных SIEM и сетевых экранов. Поддерживаются протоколы STIX 2/TAXII 2.1 для стандартизированного обмена данными о киберугрозах. Интеграция с экосистемой R‑Vision, включая возможности подключения к R‑Vision SOAR. На данный момент это единственное TI‑решение на рынке, обладающее действующим сертификатом соответствия ФСТЭК России (4-й уровень доверия), что позволяет использовать его во внутренних периметрах категорированных объектов КИИ.RST Cloud — RST Threat Feed
Формат: фиды (CSV, JSON, STIX 2.1) + API.
До 250 тыс. уникальных IoC в сутки из 260+ источников с приоритизацией по шкале 0–100. Готовые интеграции с SIEM/EDR/NGFW через специализированные API и агенты. Дополняется сервисом RST Noise Control для фильтрации ложных срабатываний на основе 110+ правил и 12 ГБ исключений, что является одним из конкурентных преимуществ решения.Angara Security — Angara Threat Intelligence (ACRC)
Формат: фиды + отчёты.
Сбор телеметрии с клиентов и purple team‑спринты для создания практических сценариев обнаружения угроз. Специализация на кастомизации TI‑решений под отраслевую специфику. Публикует регулярные аналитические отчеты по киберугрозам с отраслевыми метриками.Garda — Garda Threat Intelligence Feeds
Формат: фиды (JSON, CSV, STIX) + аналитика.
До 60 тыс. новых индикаторов в сутки, обогащённый поведенческий анализ, поддержка STIX/TAXII, интеграции с сетевой инфраструктурой.
Для наглядности, я собрал в единую сравнительную таблицу ключевые особенности рассмотренных российских TI‑платформ.
Почему именно эти решения наиболее заметны?
Масштаб телеметрии и опора крупных SOC
Все перечисленные игроки обладают внушительным массивом актуальных данных — это может быть глобальная сеть сенсоров (Kaspersky), операторский трафик (Solar JSOC Ростелекома), наблюдение за инфраструктурой множества организаций (BI.ZONE, PT, Angara) или обширный сбор с открытых источников (RST Cloud). Garda TI также использует данные с решений DPI и систем анализа сетевого трафика. Именно объём и разнообразие «сырых» данных формируют зрелость TI‑продукта.
Соответствие нормативным требованиям
Большинство решений имеют входят в реестр ПО Минцифры, а решение от R‑Vision — даже имеет сертификат ФСТЭК. Это ключевой фактор для КИИ и госструктур.
Интеграция с отечественным стеком ИБ
После ухода западных игроков активно внедряются отечественные платформы мониторинга и реагирования на инциденты — MaxPatrol SIEM, KUMA, Traffic Monitor и другие. Зрелые TI‑платформы поддерживают форматы STIX/TAXII, API и CSV, что обеспечивает автоматический обмен данными и интеграцию с системами типа SIEM, EDR и NGFW. Без этой связки TI‑знания не принесут практической пользы.
Практическая ценность для аналитиков
Речь не только о фидах IoC, но и об APT‑отчётах, модулях проактивного поиска в инфраструктуре скрытых угроз и аномалий Threat Hunting, песочницах, инструментах для отслеживания утечек. Некоторые решения (F.A.C.C.T.) визуализируют поведение атакующих, Garda глубоко анализирует сетевой трафик. Это делает TI‑платформы полноценными помощниками для SOC и IR‑команд.
Контекст — ключ к эффективности
Сухие индикаторы — это только полдела. По‑настоящему TI раскрывается, когда даёт не только индикаторы, но и контекст: отчёты об APT, паттерны атак, сценарии Threat Hunting. Отечественные вендоры делают упор на актуальность для российской среды — с учётом внешнеполитической ситуации, специализирующихся на России группировок и нормативных реалий.
Всё это формирует зрелую экосистему: есть и данные для машин, и знания для людей. Таким образом, киберразведка в России превратилась из нишевого решения в полноценный и востребованный компонент системы киберзащиты.
Как выбрать CTI-платформу: практические рекомендации
Выбирать TI‑платформу стоит не по описанию на сайте, а по тому, как она впишется в действующие процессы и поможет вашей команде. Вот ключевые критерии:
Источник и качество данных
Уточните у поставщика происхождение данных. Они должны быть релевантны вашей отрасли:
Телеком — Solar JSOC («Ростелеком»);
Банки — Сбер, BI.ZONE, F.A.C.C.T.;
Промышленность — PT, Kaspersky (SCADA/ICS);
Сетевой мониторинг — Garda.
Уточните объёмы индикаторов, их актуальность, ручную валидацию, защиту от ложных срабатываний.
Формат и модель развертывания
Подберите формат под ваши процессы:
Для ручного анализа — порталы с визуализацией (Kaspersky TIP, X‑TI);
Для автоматизации — API, STIX 2.1/TAXII, SIEM/SOAR‑интеграции;
Для КИИ — развёртывание во внутренней инфраструктуре компании (on‑premise).
Интеграция с системами ИБ
Уточните:
Есть ли коннекторы к вашим продуктам (MaxPatrol, MISP, Splunk);
Поддерживаются ли форматы STIX/TAXII, OpenIOC;
Есть ли SDK (инструменты для разработки и интеграции с платформой) и API‑документация.
Соответствие требованиям
Для КИИ, операторов персональных данных и госорганов обязательны сертификаты ФСТЭК или включение в реестр отечественного ПО (при развертывании on‑premise или установки агента). Open‑source решения (MISP, OpenCTI) — не сертифицированы.
Дополнительные факторы
Стоимость владения и лицензирования;
Русскоязычная поддержка и документация;
Обучающие материалы и развитое комьюнити.
Значимость этих факторов зависит от зрелости процессов и размера команды.
Возможность комбинирования решений
Подключение нескольких TI‑источников даёт более широкий охват и актуально при работе организации в разных отраслях или для зрелых SOC, но это связано с дополнительными затратами и сложностью. Поэтому на деле чаще всего разумнее выбрать 1–2 оптимальных решения под свои потребности.
Пример из практики: типичный сценарий выбора TI-решения в энергетике
Один из крупных системных интеграторов в энергетике столкнулся с типичной для отрасли задачей: обеспечить качественную защиту не только собственной инфраструктуры, но и клиентских систем в рамках предоставляемой техподдержки. Для эффективного выполнения поставленной задачи была выбрана комбинированная модель:
Kaspersky TIP — как базовый источник фидов, а также средство оперативной проверки файлов и URL, поступающих в техподдержку от клиентов;
R‑Vision TIP — как основной агрегатор с сертификацией ФСТЭК для работы с критической инфраструктурой;
X‑TI от Сбера (бесплатная версия) — для дополнительной верификации IoC и поиска по базе CVE.
В результате, через полгода после внедрения (несмотря на некоторые трудности с интеграцией и обучением сотрудников), схема показала эффективность: среднее время реагирования на инциденты сократилось в три‑четыре раза, количество ложных срабатываний снизилось на 40% благодаря кросс‑верификации между источниками. Клиенты отметили повышение качества предоставляемой технической поддержки.
Основные выводы
Опыт показывает, что мультивендорный подход может быть оправдан даже при ограниченном бюджете, но необходимо грамотно комбинировать коммерческие и бесплатные решения, закладывать дополнительное время на интеграцию и обеспечивать обучение команды.
Перспективы и вызовы: каким будет будущее российского CTI?
Как мы видим, отечественный рынок Threat Intelligence уже сформировал достаточно прочный фундамент. Однако останавливаться на достигнутом рано: ландшафт угроз постоянно меняется, и текущие вызовы требуют новых решений и подходов.
Киберразведка для КИИ: от общей платформы к отраслевым центрам
Особенно актуальным направлением развития является специализированная киберразведка для критической инфраструктуры — энергетики, транспорта, промышленности, связи, ВПК. Именно эти отрасли сегодня находятся под пристальным вниманием высококвалифицированных атакующих группировок, включая APT‑группы.
Это требует не только реагирования на инциденты, но и упреждающего выявления и предотвращения атак. Хотя ведущие TI‑платформы уже предлагают модули для защиты АСУ ТП (например, KTIP и PT ESC), централизованной инфраструктуры отраслевых центров киберразведки пока нет. В этом смысле перспективной представляется идея создания отраслевых информационно‑аналитических центров под эгидой регулятора (ФСТЭК), которые будут не только агрегировать и обмениваются IoC, но также и формировать отраслевой профиль киберугроз, анализировать типовые сценарии атак и разрабатывать методы реагирования, обеспечивая отраслевую координацию.
Открытый обмен разведданными между организациями
Пока обмен TI‑данными в России остаётся разрозненным — без общей платформы, стандартов и поддержки со стороны государства. Чаще всего — это закрытые чаты, профессиональные сообщества или коммерческие сервисы. Но мировая практика показывает, что открытые модели также отлично работают:
ISAC (Information Sharing and Analysis Centers);
OTX (Open Threat Exchange) от AlienVault;
проекты MISP с децентрализованным обменом.
Для России подобная модель могла бы повысить зрелость рынка. Государству (ФСТЭК, НКЦКИ, Минцифры) стоит рассмотреть создание безопасной добровольной платформы обмена TI‑данными в духе «each‑one‑teach‑one» — делимся знаниями и опытом, чтобы усиливать общую безопасность.
Пока в этом направлении мы наблюдаем только первые пробные шаги — например, БДУ от ФСТЭК. Да, это скорее реестр уязвимостей отечественного ПО, чем полноценный инструмент, но это уже движение в сторону создания единой среды для TI‑аналитиков под эгидой государства (как я это понимаю).
Технологическое развитие: AI и предиктивная аналитика
Технологии ИИ и машинного обучения (AI/ML) усиливают возможности TI: автоматизируют Threat Hunting, улучшают прогноз атак, интегрируют разведданные в управление рисками. Уже сейчас XDR‑платформы стремятся встраивать TI‑аналитику в мониторинг для раннего предупреждения инцидентов.
Итоговые выводы: куда двигаться дальше?
В статье мы рассмотрели, как развивается российский рынок Threat Intelligence (TI), в чём его особенности и какие платформы сегодня играют ключевую роль.
Ключевые выводы:
Российский рынок TI стал зрелым и конкурентным — есть из чего выбирать, при этом переход с западных систем возможен практически без потери качества;
Фокус смещается в практику — ценность TI раскрывается в повседневной работе SOC, IR и аналитиков;
Массовому внедрению TI мешают три барьера: ограниченное применение в среднем бизнесе и госсекторе, отсутствие доверенной платформы для обмена данными и нехватка автоматизации;
Будущее — за отраслевыми центрами, объединением практиков и государственной координацией.
Для меня сейчас особенно важна тема защиты КИИ. Уверен, что в обозримом будущем появятся инициативы, которые объединят государство, бизнес и экспертное сообщество. Возможно, это будет нечто вроде межведомственной интеллектуальной платформы киберразведки для защиты объектов КИИ.
А пока — стоит опираться на критерии выбора, тестировать решения (многие дают демо‑доступ) и строить зрелые процессы. Ведь ценность TI раскрывается только в реальной работе аналитиков и IR‑команд.
Обсудить тему глубже, задать вопросы или поделиться своим опытом можно в моём Telegram‑канале 👉 @beyondcyber
Будьте на шаг впереди угроз. Спасибо за внимание!
Глоссарий терминов и аббревиатур
Термин / Аббревиатура | Расшифровка и описание |
|---|---|
TI / CTI (Threat Intelligence / Cyber Threat Intelligence) | Киберразведка. Сбор, обработка и анализ информации о потенциальных и актуальных киберугрозах. |
IoC (Indicator of Compromise) | Индикатор компрометации. Признак, свидетельствующий о взломе, наличии вредоносного ПО или активности атакующего. |
APT (Advanced Persistent Threat) | Продвинутая устойчивая угроза. Целенаправленная, комплексная атака с длительным присутствием в инфраструктуре. |
STIX/TAXII | Structured Threat Information Expression / Trusted Automated Exchange of Indicator Information — стандарты структурированной передачи данных о киберугрозах. |
JSON (JavaScript Object Notation) | Формат структурированных данных, часто используется для передачи индикаторов и обмена по API. |
CSV (Comma-Separated Values) | Простой табличный формат хранения и обмена данными, применяемый для IoC-фидов. |
URL / IP / хеш | Адреса и цифровые идентификаторы, используемые как индикаторы угроз (например, вредоносный IP или строка хеша файла). |
Sandbox | «Песочница». Среда, в которой исполняются подозрительные файлы для безопасного анализа их поведения. |
SIEM (Security Information and Event Management) | Платформа для централизованного сбора, корреляции и анализа событий информационной безопасности. |
SOAR (Security Orchestration, Automation and Response) | Платформа для автоматизации процессов реагирования на инциденты. |
XDR (Extended Detection and Response) | Комплексная система выявления угроз и реагирования на них в рамках всей ИТ-инфраструктуры. Более продвинутая версия EDR. |
EDR (Endpoint Detection and Response) | Средство обнаружения и реагирования на атаки на конечные точки (рабочие станции, серверы). |
NGFW (Next Generation Firewall) | Межсетевой экран нового поколения с поддержкой инспекции трафика, анализа приложений и интеграции с TI. |
TIP (Threat Intelligence Platform) | Платформа для приёма, агрегирования, анализа и распространения данных о киберугрозах. |
TI-фиды (Threat Intelligence Feeds) | Машиночитаемые потоки индикаторов угроз (IoC) с источников киберразведки. |
Digital Footprint / Digital Risk Monitoring | Мониторинг цифрового следа организации: утечек, упоминаний в даркнете, фишинговых атак и внешних поверхностей. |
Graph Analysis / Graph Network | Методы анализа взаимосвязей между объектами атак, применяемые в платформах киберразведки. |
Purple Team | Формат совместной работы между Red Team (атака) и Blue Team (защита) с целью улучшения безопасности. |
False Positive | Ложное срабатывание. Ситуация, когда система воспринимает безопасную активность как угрозу. |
Attribution | Атрибуция. Определение источника или организатора кибератаки по цифровым следам и метаданным. |
Darknet / Underground | Сложнодоступные сегменты интернета, часто используемые для киберпреступной активности и торговли данными. |
Takedown | Процесс ликвидации вредоносной инфраструктуры (например, командных серверов ботнетов) через вмешательство провайдеров, правоохранительных органов и др. |
MISP (Malware Information Sharing Platform) | Open-source платформа для обмена данными о киберугрозах внутри сообществ. |
OpenCTI | Open-source платформа для управления киберразведкой со схемами объектов и техник. Использует стандарт STIX. |
CVE (Common Vulnerabilities and Exposures) | Общепринятое обозначение известных уязвимостей ПО. |
IR (Incident Response) | Реагирование на инциденты. Набор процедур по выявлению, локализации, устранению и анализу атак. |
