Threat Intelligence (TI) - это аналитическая информация о текущих или потенциальных киберугрозах, их тактиках, методах, целях и индикаторах компрометации (IoC), которая помогает организациям предотвращать, обнаруживать и реагировать на кибератаки.
Ключевые аспекты Threat Intelligence
Источники данных – информация собирается из открытых (OSINT), закрытых (коммерческих) и технических (логи, malware-анализ) источников.
Типы Intelligence
- Стратегическая – высокоуровневая информация об угрозах для руководства.
- Тактическая – данные о TTPs (тактики, техники и процедуры) злоумышленников.
- Оперативная – конкретные IoC (IP-адреса, хэши, домены) для немедленного использования.
- Техническая – детали атак (образцы вредоносного ПО, сигнатуры).
Цели
- Улучшение кибербезопасности через проактивную защиту.
- Снижение времени реагирования на инциденты (MTTD/MTTR).
- Поддержка принятия решений на основе данных.
Примеры применения
- Блокировка вредоносных IP в firewall.
- Обнаружение APT-групп по их поведенческим шаблонам.
- Прогнозирование трендов в киберпреступности.
Главная ценность TI - превращение сырых данных в actionable intelligence (практически применимые знания).
