АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Внешняя компонента

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Внешняя компонента (также внешняя киберразведка, англ. External Threat Intelligence, ETI) — совокупность процессов сбора и анализа информации о киберугрозах из источников, расположенных за пределами инфраструктуры организации. Полученные данные позволяют предвидеть, идентифицировать и минимизировать риски от атак, которые ещё не затронули внутренние ресурсы[1].

Общие сведения
Внешняя компонента
англ. External Threat Intelligence
Область использования Кибербезопасность, Информационная безопасность

Определение

Внешняя компонента представляет собой систематический цикл действий, направленный на получение достоверных сведений о прошлых, текущих и потенциальных киберугрозах, исходящих из глобального информационного пространства. Она включает:

  • мониторинг публичных и частных открытых источников информации — новости, блоги, социальные сети, базы данных уязвимостей;
  • наблюдение за подпольными форумами, даркнет-маркетплейсами и каналами мессенджеров;
  • использование коммерческих и отраслевых фидов индикаторов компрометации (IoC);
  • обмен информацией через ISACs и CERTs[2].

Основная задача ETI — предоставить организациям:

  1. глобальное представление о ландшафте угроз;
  2. данные для проактивного усиления защиты;
  3. контекст для расследования инцидентов[3].

Структурные элементы внешней компоненты

Внешняя компонента состоит из трёх взаимодополняющих уровней[4]:

  • Оперативно-технические сведения — быстроустаревающие данные о конкретных кампаниях и инфраструктуре злоумышленников.
  • Тактико-технические данные — устойчивые индикаторы и описания TTPs (тактик, техник и процедур) атакующих.
  • Стратегическая аналитика — высокоуровневые оценки тенденций, мотивации и рисков для бизнеса.

Оперативно-технические сведения

Ключевые категории данных[5]: индикаторы компрометации: хеши вредоносных файлов, IP-адреса C2-серверов, домены фишинговых сайтов; сведения о текущих фишинговых кампаниях и эксплойтах «нулевого дня»; обсуждения в даркнете о продаже украденных данных.

Тактико-технические данные

Включают подробные описания методик атак[6]: используемые эксплойты и уязвимости (CVE); техники первоначального доступа, персистентности и латерального перемещения; инструменты (например, Cobalt Strike, Metasploit).

Стратегическая аналитика

Ориентирована на долгосрочную оценку рисков[7]: профили киберпреступных и APT-групп; геополитические и отраслевые тенденции; прогнозы эволюции техник атак и экономической целесообразности защиты.

Этапы работы

Цикл ETI построен по классической схеме разведки[8] и включает несколько последовательных этапов.

1. Планирование

На этом этапе формулируются разведывательные требования (IRs), определяются приоритетные активы и угрозы, а также выбираются источники и методики сбора информации[9].

2. Сбор и обработка данных

Включает работу с различными источниками (OSINT, даркнет, коммерческие фиды, сенсоры honeypot) и методами (API-коннекторы, web-краулинг, участие в закрытых форумах). На этом этапе проводится первичная обработка: нормализация, обогащение и дедупликация данных[10].

3. Анализ

Происходит корреляция индикаторов компрометации (IoC) с внутренними логами, профилирование злоумышленников и атрибуция, а также оценка потенциального воздействия и приоритизация рисков[11].

4. Распространение

Результаты анализа оформляются в человекочитаемые отчёты, бюллетени, брифинги, а также в машиночитаемые форматы (STIX/TAXII, CSV-фиды) для интеграции с SIEM/SOAR. Индикаторы могут автоматически загружаться в брандмауэры и EDR-системы[12].

5. Обратная связь

На заключительном этапе осуществляется сбор отзывов от SOC, IR-команд и руководства, проводится оценка KPI (MTTD, MTTR, доля ложных срабатываний) и корректировка источников и методик для следующего цикла[13].

Преимущества и недостатки

Преимущества

  • раннее обнаружение угроз и проактивная защита;
  • ускорение реагирования и сокращение MTTR;
  • углублённое понимание мотивации и TTPs злоумышленников;
  • повышение обоснованности инвестиционных решений по безопасности[1].

Недостатки

  • информационный шум и необходимость фильтрации данных;
  • высокая стоимость коммерческих фидов и дефицит экспертов;
  • сложность интеграции с устаревшими системами;
  • быстрое устаревание некоторых индикаторов[11].

Сферы применения

Инструменты для использования во внешней компоненте

В экосистему ETI входят платформы, сервисы, фиды и интеграционные механизмы.

Платформы внешней компоненты

Коммерческие: Recorded Future, Mandiant Advantage, Kaspersky Threat Intelligence, Group-IB TI, R-Vision TIP. Открытые: MISP, OpenCTI, Yeti, TheHive[7].

Сервисы внешней компоненты

  • подписки на аналитические отчёты и фиды IoC;
  • мониторинг даркнета и защита бренда;
  • сервисы раннего предупреждения (NCSC Early Warning);
  • атрибуция угроз (Kaspersky Threat Attribution Engine)[5].

Фиды внешней компоненты

Открытые: AlienVault OTX, Spamhaus DROP/eDROP, SANS ISC. Коммерческие: IBM X-Force Exchange, Kaspersky Threat Data Feeds, Anomali Premium Feeds[2].

Интеграция с другими системами

  • обмен данными по STIX/TAXII и REST API;
  • автоматическая загрузка IoC в SIEM для корреляции событий;
  • оркестрация реагирования в SOAR-плейбуках (автоблокировка IP, изоляция хоста);
  • обновление правил IPS и списков блокировок NGFW.

Примечания

  1. 1 2 External Threat Intelligence. Atera Blog. Дата обращения: 20 июня 2025.
  2. 1 2 Threat Intelligence Sources and Collection. Recorded Future. Дата обращения: 20 июня 2025.
  3. Internal and External Threat Intelligence. Cyber Defense Magazine. Дата обращения: 20 июня 2025.
  4. Что такое Threat Intelligence? Group-IB. Дата обращения: 20 июня 2025.
  5. 1 2 Types of Threat Intelligence. Flare. Дата обращения: 20 июня 2025.
  6. Different Types of Threat Intelligence. Anomali Blog. Дата обращения: 20 июня 2025.
  7. 1 2 3 Threat Intelligence: российские платформы киберразведки. SecurityLab. Дата обращения: 20 июня 2025.
  8. Threat Intelligence Lifecycle. Flashpoint. Дата обращения: 20 июня 2025.
  9. Threat Intelligence Lifecycle. Analyst1. Дата обращения: 20 июня 2025.
  10. F6 Threat Intelligence. F6. Дата обращения: 20 июня 2025.
  11. 1 2 Cyber Threat Intelligence. Radware. Дата обращения: 20 июня 2025.
  12. Что такое threat intelligence. Энциклопедия Касперского. Дата обращения: 20 июня 2025.
  13. Tackling Challenges in Cyber Threat Intelligence. Picus Security. Дата обращения: 20 июня 2025.

Категории

© Правообладателем данного материала является АНО «Интернет-энциклопедия «РУВИКИ».
Использование данного материала на других сайтах возможно только с согласия АНО «Интернет-энциклопедия «РУВИКИ».