Threat Intelligence на практика: как да спрете да реагирате и да започнете да предвиждате

Защо повечето TI програми не работят

Много организации „имат“ threat intelligence — купили са feed, интегрирали са го в SIEM-а и са забравили за него. Резултатът: стотици хиляди IOC-и в платформата, 99% от които са или остарели, или неуместни за конкретната организация. Шумът заглушава сигнала.

Истинската TI програма не се свежда до консумация на данни — тя е цикъл: събиране, анализ, приоритизация, активиране и обратна връзка. Без всеки от тези елементи, TI остава академично упражнение.

Четирите нива на threat intelligence

Стратегическо ниво

Насочено към ръководството и борда. Отговаря на въпроса: „Кой ни заплашва и защо?“ Включва анализ на threat actors, геополитически рискове и трендове в индустрията. Изходът е информирано вземане на решения за инвестиции в сигурност.

Тактическо ниво

TTPs (Tactics, Techniques, and Procedures) на известни threat actors, документирани в рамки като MITRE ATT&CK. Отговаря на: „Как атакуват организации като нашата?“ Изходът е подобряване на detection rules и security controls.

Оперативно ниво

Информация за конкретни кампании и операции — какво правят нападателите в момента. Включва информация от dark web мониторинг, malware анализ и spoiler reports от IR екипи. Директно захранва SOC с контекст.

Техническо ниво

IOC-и: IP адреси, домейни, хешове, URL адреси. Най-краткотрайни и най-лесно за изменяне от нападателите. Полезни за автоматично блокиране, но не трябва да са единственото ниво.

Как да изградите оперативна TI програма

Стъпка 1: Дефинирайте Intelligence Requirements (IR)

Преди да събирате каквото и да е, отговорете: какви решения трябва да подкрепя TI програмата ни? Типични IR-и включват:

  • Кои threat actors са насочени към нашия сектор?
  • Кои TTPs са релевантни за нашата инфраструктура?
  • Имаме ли компрометирани акаунти или данни в dark web?
  • Кои нови уязвимости са активно експлоатирани?

Стъпка 2: Изберете правилните източници

Не всички TI feed-ове са равностойни. Балансирайте между:

  • Open source (OSINT): VirusTotal, Shodan, AlienVault OTX, abuse.ch
  • Commercial feeds: Recorded Future, Mandiant, CrowdStrike Falcon Intelligence
  • Community sharing: ISAC за вашия сектор (FS-ISAC, H-ISAC и др.)
  • Internal telemetry: вашите собствени логове, honeypots и EDR данни

Стъпка 3: Приоритизирайте с MITRE ATT&CK

Mapped TTPs към вашата среда ви казват кои detection gaps са критични. Ако TI показва, че основен threat actor в сектора ви използва T1078 (Valid Accounts) и T1021.002 (SMB/Windows Admin Shares) за lateral movement — проверете дали имате detection coverage за тези техники в SIEM/EDR.

Стъпка 4: Активирайте TI в playbooks

TI трябва да захранва не само alerts, но и response playbooks. Когато SOC получи alert за C2 трафик, автоматично обогатете IP-то с TI контекст: коя actor group, каква кампания, какви следващи стъпки са очаквани. Това съкращава времето за триаж от минути на секунди.

Стъпка 5: Затворете цикъла с feedback

След всеки инцидент: кои IOC-и или TTPs бяха полезни? Кои не бяха? Feedback-ът към TI екипа е механизмът за непрекъснато подобрение — без него програмата деградира бавно към шум.

Ключов извод: Threat intelligence е полезна само когато е actionable. Един добре приоритизиран TI доклад, свързан директно с detection gap, е по-ценен от милион IOC-и в база данни.

Заключение

Организациите, които инвестират в структурирана TI програма — с ясни Intelligence Requirements, диверсифицирани източници и директна интеграция в detection и response — преминават от реактивна към проактивна позиция. Целта не е да знаете всичко за всички заплахи, а да знаете правилното нещо за правилната заплаха навреме.