Threat Intelligence (CTI/TI)

Threat Intelligence — это направление, которое фокусируется на сборе, анализе и интерпретации данных об актуальных угрозах, злоумышленниках, инструментах атак и их тактиках. Наверное, это одна из самых романтизированных ролей в ИБ.

Чем занимается TI-аналитик
Его главная задача — заранее выявлять и анализировать угрозы, чтобы защитные команды (SOC, Blue Team, IR, AppSec и т. д.) знали, какие атаки происходят в мире, к чему готовиться и как улучшать защиту. В отличие от пентестеров, которые «ломают» системы, или SOC-аналитиков, которые реагируют на инциденты, TI работает «на опережение», прогнозируя риски и предупреждая атаки.

Основные обязанности
1. Сбор угроз (Threat Collection)
Мониторинг источников информации: даркнет-форумы, Telegram, блоги исследователей, Intel-платформы (Mandiant, Recorded Future, Group-IB), malware-feeds.
2. Анализ атакующих TTPs (тактики, техники, процедуры)
Исследование поведения группировок, их инструментов, цепочек атак согласно MITRE ATT&CK.
3. Идентификация и атрибуция угроз
Определение того, «кто» стоит за атакой (APT-группа, финансово мотивированные хакеры, инсайдеры и т. д.) и «почему».
4. IOC & IOA анализ
Работа с индикаторами компрометации (IP, домены, хэши) и признаками атак, их валидация, обогащение, классификация.
5. Создание TI-отчетов
Передача информации другим командам: краткие сводки, развернутые отчеты об APT-группах, ранние предупреждения об уязвимостях.
6. Поддержка SOC и Incident Response
Помощь в расследованиях — сопоставление событий с известными группировками, предоставление контекста по угрозам.
7. Мониторинг уязвимостей (Vulnerability Intelligence)
Отслеживание 0-day, критичных CVE, эксплойтов, proof-of-concept’ов и их реального использования в атаках.
8. (иногда) Digital Risk Protection (DRP)
Поиск утечек, фишинговых доменов, мошеннических страниц, мониторинг корпоративных активов.

Почему Threat Intelligence важен
- TI помогает компаниям быть на шаг впереди атакующих, так как большинство успешных атак может быть предотвращено.
- TI позволяет выстраивать осмысленную защиту, а не «покупать инструменты наугад».
- Работа SOC становится эффективнее.
- Компании экономят деньги, избегая инцидентов и простоев.
- Без TI невозможно стратегическое управление безопасностью, так как нужно понимать, кто и почему может захотеть атаковать.

Как может выглядеть рабочий день TI-аналитика
1. Проверка TI-платформ и фидов — новости в мире угроз, новые APT-кампании, утечки, эксплойты, 0-day уязвимости.
2. Обогащение IOC — проверка IP/доменов/хэшей, выявленных SOC или IR.
3. Подготовка TI-дайджеста — краткие сводки для руководства или команд безопасности.
4. Разбор новой вредоносной кампании — кто стоит за атакой, как распространяется, какие TTP использует.
5. Мониторинг даркнета — проверка форумов, продаваемых данных.
6. Общение с другими командами — помощь в расследованиях, консультации по угрозам.
7. Обновление правил в SIEM/EDR/Firewall.
8. Исследования — изучение отчётов других компаний.

Как стать TI-аналитиком
1. Базовые знания:
- Понимание кибербезопасности в целом (SOC, IR, Malware, Pentest).
- Знание MITRE ATT&CK.
- Общее понимание угроз (фишинг, ransomware, APT).
2. Инструменты:
- Платформы: MISP, ANY.RUN, VirusTotal, MalwareBazaar, Recorded Future, Shodan.
- Фреймворки: Diamond Model, Kill Chain, ATT&CK.
- ОSINT: SpiderFoot, Maltego, Recon-ng.
3. Практика:
- Участие в Threat Intel CTF.
- Анализ публичных инцидентов и APT-отчетов.
- Работа с IOC: фильтрация, обогащение, корреляция.
4. Сертификации (опционально):
- GIAC Cyber Threat Intelligence (GCTI).
- EC-Council CTIA.
- Профильные курсы Mandiant, Kaspersky, Group-IB.

Суммируем
Threat Intelligence — это «глаза и уши» кибербезопасности.
TI-аналитик помогает понять, кто атакует, как атакует и что нужно сделать, чтобы эти атаки отразить. После TI можно расти в лида TI, DFIR или CTI Research.

👨‍🏫 Менторство ИБ | Отзывы | 📹 YT