Threat Intelligence — это процесс сбора, анализа и интерпретации информации о существующих и потенциальных киберугрозах с целью предотвращения атак и повышения уровня информационной безопасности организации.

Киберразведка позволяет понимать, кто является потенциальным атакующим, какие инструменты и методы используются, а также какие уязвимости могут быть эксплуатированы.

Основные компоненты Threat Intelligence:

• Сбор данных: Получение информации из открытых источников (OSINT), даркнета, отчетов о вредоносной активности, логов безопасности и специализированных платформ.
• Анализ угроз: Определение тактик, техник и процедур (TTP), используемых злоумышленниками.
• Контекстуализация: Оценка релевантности угроз конкретной организации.
• Распространение информации: Передача аналитических отчетов SOC-команде и руководству.

Типы Threat Intelligence:

• Стратегический: Ориентирован на руководство и оценку рисков.
• Оперативный: Информация о текущих кампаниях атак.
• Тактический: Технические индикаторы компрометации (IoC).
• Технический: Хеши файлов, IP-адреса, домены и сигнатуры вредоносного ПО.

Зачем используется Threat Intelligence?

• Предотвращение целевых атак
• Улучшение правил IDS/IPS и SIEM
• Повышение эффективности SOC
• Прогнозирование будущих угроз