Як побудувати програму кіберрозвідки загроз для державних організацій

Автор: Команда інженерів Corvus Intelligence · Про команду →

3 червня 2026 10 хв читання

Більшість державних органів і оборонних організацій реагують на кіберзагрози реактивно: вони усувають наслідки інцидентів постфактум, пасивно споживають рекомендації щодо загроз і не мають структурованого механізму для передбачення дій противника до їх здійснення. Програми кіберрозвідки загроз (CTI) існують саме для того, щоб змінити цю позицію — дати командам безпеки перевагу в прийнятті рішень, а не постійне наздогоняння. Побудувати таку програму всередині державної організації важче, ніж у комерційному середовищі, — і причини цього структурні, а не технічні.

Цей посібник охоплює повний життєвий цикл: чому державні органи відстають у зрілості CTI, як упорядкувати розгортання протягом шести оперативних фаз, які ролі та інструменти необхідні, а також помилки, що вбивають програми до того, як вони починають приносити цінність. Цільова аудиторія — керівник безпеки або менеджер програми, якому надали мандат на створення спроможності CTI і якому потрібна практична основа для виконання цього завдання.

Чому державні організації відстають у зрілості CTI

Три структурні обмеження пояснюють розрив між тим, що державні органи знають, що їм потрібно, і тим, що вони насправді побудували.

Бюджетні цикли та тривалість закупівель. Комерційні організації можуть укласти контракт із постачальником розвідки загроз за тижні. Державні закупівлі тривають місяцями або роками. На момент завершення придбання платформи CTI ландшафт загроз змінився, а документ із вимогами застарів. Це створює сильну перевагу на користь інструментів з відкритим кодом (MISP, OpenCTI), які можна розгорнути без закупівельних дій, навіть якщо довгострокова дорожня карта передбачає комерційну спроможність.

Дефіцит кадрів і бар'єри класифікації. Кваліфіковані CTI-аналітики — ті, хто розуміє TTPs противника, вміє аналізувати поведінку шкідливого програмного забезпечення й здатний перекладати технічні індикатори в стратегічні оцінки — рідкісні та тяжіють до приватного сектору через компенсацію. Державні програми, яким вдається їх найняти, стикаються з вторинною проблемою: аналітики, що працюють на різних рівнях класифікації, не можуть обмінюватися індикаторами між відсіками без затверджених міждоменних рішень, фрагментуючи розвідувальну картину, яку уніфікована програма CTI повинна забезпечувати.

Відсутність визначеного процесу вимог. Комерційні організації будують програми CTI навколо відносно чіткої моделі загроз: фінансово вмотивовані актори, що атакують фінансові дані, облікові дані й операційну безперервність. Державні органи стикаються зі складнішим ландшафтом загроз — державне шпигунство, операції впливу, атаки на критичну інфраструктуру, атаки на ланцюги постачання — але часто не мають внутрішнього процесу для перетворення цієї складності в структуровані розвідувальні вимоги, що визначають збір і аналіз.

Ключовий висновок: Найпоширеніша помилка державних програм CTI — не технологічна, а проблема вимог. Організації, які розгортають екземпляр MISP, підписуються на комерційні фіди та завантажують індикатори без визначеної бази споживачів і петлі зворотного зв'язку, побудували базу даних, а не розвідувальну програму. Процес вимог має передувати технологічним інвестиціям.

Модель зрілості CTI: від реактивної до прогнозувальної

Зрілість CTI існує у вигляді прогресії. Розуміння того, де знаходиться ваша організація, є передумовою для встановлення реалістичних цілей розгортання.

Реактивний рівень (Рівень 1). Відсутня структурована розвідувальна спроможність. Організація реагує на інциденти після їх виникнення, пасивно споживає рекомендації про загрози від постачальників і національних CERT і не має виділеного персоналу CTI. Розвідка є ситуативною — аналітики витягують індикатори у відповідь на конкретні інциденти, а не на постійній основі. Більшість державних органів поза спеціалізованими розвідувальними або оборонними організаціями діють саме так.

Проактивний рівень (Рівень 2). Визначені розвідувальні вимоги існують. Джерела збору ідентифіковані та моніторяться на регулярній основі. Платформа (комерційна або з відкритим кодом) завантажує, збагачує та зберігає індикатори. Аналітики складають регулярну звітність, що надходить до визначених споживачів. Правила виявлення у SIEM оновлюються на основі результатів CTI. Це цільовий стан для державної програми CTI першого покоління — досяжний протягом 12–18 місяців від початку програми за належного ресурсного забезпечення.

Прогнозувальний рівень (Рівень 3). Програма передбачає дії противника до їх здійснення: моніторинг розвитку інфраструктури противника, виявлення підготовчої діяльності кампаній і складання стратегічних оцінок, що визначають інвестиції в безпеку попереду атак. Між споживачами розвідки та командою CTI існують замкнені петлі зворотного зв'язку, що забезпечують постійне вдосконалення. Прогнозувальна зрілість вимагає стійких інвестицій, досвідчених аналітиків та інтеграції засекреченої розвідки, яких більшість державних органів не досягають у першому циклі програми.

Фаза 1 — визначення розвідувальних вимог

Розвідувальні вимоги — це питання, на які програма CTI зобов'язується відповідати на визначеній основі для визначених споживачів. Без них збір є ненаправленим, а аналіз — відірваним від оперативної потреби.

Процес визначення вимог починається з картографування споживачів: хто в організації використовуватиме результати CTI і для яких рішень? Аналітик SOC потребує оперативних індикаторів — свіжих IoC для оновлення правил виявлення. CISO потребує стратегічних брифінгів про загрози — які групи акторів атакують ваш сектор і чи є достовірні ознаки майбутніх кампаній? Мережева команда потребує розвідки для пріоритизації вразливостей — які опубліковані CVE активно експлуатуються в реальних умовах проти вашого профілю інфраструктури?

Кожен тип споживача формує набір пріоритетних розвідувальних вимог (PIR): конкретні, відповідні питання, на які програма зобов'язується відповідати. Приклади з державного контексту: «Які державно-орієнтовані загрозливі актори продемонстрували намір і спроможність атакувати організації [сектору агентства] за останні 90 днів?» або «Чи є ознаки активної розвідки проти нашої публічно доступної інфраструктури?». PIR визначають обсяг, визначають вибір джерел збору і створюють підзвітність — аналітики знають, за якими критеріями їх оцінюватимуть.

Після визначення PIR зіставте їх із загрозливими акторами та джерелами збору. PIR про діяльність-передвісник програм-вимагачів (брокери початкового доступу, що продають доступ до державних мереж) пов'язується з моніторингом форумів дарквебу та Telegram-каналів. PIR про таргетинг державних акторів пов'язується з розвідкою реєстрацій доменів, моніторингом журналів прозорості сертифікатів та відкритими джерелами щодо конкретних груп акторів. Це зіставлення визначає архітектуру збору.

Фаза 2 — визначення та налаштування джерел збору

Збір — це перша оперативна фаза, що передбачає зовнішній інструментарій. Державні програми CTI зазвичай черпають із п'яти категорій джерел:

OSINT (розвідка з відкритих джерел). Загальнодоступні звіти про загрози, розкриття вразливостей, звіти про аналіз шкідливого ПЗ та дані про репутацію доменів/IP. Найдоступніша й найменш затратна категорія. Якість значно варіюється — відібраний OSINT вимагає аналітичного судження для відокремлення сигналу від шуму. Інструменти в цій категорії включають агрегатори розвідки загроз, монітори журналів прозорості сертифікатів і пасивні DNS-платформи.

Моніторинг Telegram та соціальних платформ. Починаючи з 2022 року, Telegram став основним оперативним каналом для державно-орієнтованих загрозливих акторів, хактивістських груп і злочинних акторів, що підтримують кінетичні операції. Канали оголошують рішення про таргетинг до початку атак, публікують заявлені докази зломів і координують розвідку. Систематичний моніторинг із автоматизованим вилученням сутностей — ідентифікація згаданих організацій, IP-діапазонів і методів атак — забезпечує попереджувальну розвідку, недоступну через традиційні фіди. Corvus.Sense автоматизує цей збір, застосовуючи класифікацію на основі LLM до контенту Telegram у масштабі для виявлення оперативно релевантних загроз для державних організацій.

Моніторинг дарквебу. Злочинні форуми, ринки брокерів доступу та сайти-вставки, де торгують скомпрометованими обліковими даними, переліками початкового доступу та результатами розвідки. Моніторинг згадок конкретних організацій, IP-діапазонів або доменів облікових даних забезпечує завчасне попередження про майбутні атаки. Це вимагає спеціалізованого інструментарію та експертизи аналітиків — моніторинг дарквебу без мовної компетентності та оперативного контексту дає високий рівень хибних спрацьовувань.

ISAC та спільноти довіреного обміну. Центри обміну та аналізу інформації (ISAC) для державного, оборонного та секторів критичної інфраструктури надають відібрану розвідку загроз від організацій-партнерів. Членство в ISAC дає доступ до секторально специфічних індикаторів і контексту, яких комерційні фіди не містять. Для оборонних організацій еквівалентом є угоди про обмін NCIA NATO та національними CERT.

Комерційні фіди розвідки загроз. Такі постачальники, як Recorded Future, Mandiant і Flashpoint, надають відібрані, аналітично збагачені розвідувальні продукти, що охоплюють готову розвідку, моніторинг дарквебу та пріоритизацію вразливостей. Комерційні фіди дорогі — ліцензування обходиться від $50 000 до $500 000 на рік залежно від обсягу, — але вони виробничого рівня і вимагають меншої аналітичної витрати порівняно зі збором сирого OSINT. Більшість державних програм з бюджетними обмеженнями починають з відкритої інфраструктури та вибірково додають комерційні фіди в міру зрілості програми.

Фаза 3 — побудова конвеєра обробки

Сирі зібрані дані — не розвідка. Конвеєр обробки перетворює результати збору в структуровані, збагачені, дедубліковані індикатори, з якими аналітики можуть діяти.

Конвеєр має три функціональні компоненти. Завантаження обробляє механіку отримання даних із кожного типу джерел за визначеним розкладом: опитування API для комерційних фідів, RSS і скрейпінг для OSINT-джерел, витягування STIX/TAXII для обміну ISAC, а також вебхук або API-інтеграція для внутрішньої телеметрії SIEM. Кожне джерело потребує спеціалізованого адаптера, що нормалізує результати до внутрішньої схеми індикаторів платформи.

Збагачення доповнює кожен завантажений індикатор додатковим контекстом: WHOIS і пасивний DNS для домену та IP-індикаторів, геолокація та атрибуція ASN, історичні спостереження SIEM і зв'язки з відомими профілями загрозливих акторів. IP-адреса, збагачена інформацією «розміщена в ASN, пов'язаній з історичною інфраструктурою APT, вперше помічена в кампаніях 2025 року, що атакують організації [сектору]», є дієвою. Той самий IP без збагачення — лише точка даних. Конвеєри збагачення мають бути розроблені з урахуванням затримки — повільне збагачення затримує дієвий результат. Агресивно кешуйте результати збагачення та оновлюйте асинхронно.

Дедублікація запобігає тому, щоб один і той самий індикатор оброблявся та зберігався кілька разів у міру надходження з різних джерел. Без дедублікації насичене фідами середовище створює бази даних індикаторів із мільйонами зайвих записів, що погіршують продуктивність запитів і впевненість аналітиків. Дедублікація має діяти як на рівні індикатора (однаковий IP з двох джерел), так і на семантичному рівні (той самий домен із кінцевою крапкою та без неї).

Ключовий висновок: Вибір платформи на цій фазі є суттєвим, але не незворотнім. MISP (Malware Information Sharing Platform) і OpenCTI — обидві платформи виробничого рівня з відкритим кодом, розгорнуті національними CERT та оборонними організаціями по всьому світу. Обидві підтримують STIX 2.1 і TAXII 2.1. OpenCTI пропонує більш сучасну граф-орієнтовану модель даних і розширену підтримку аналітичних робочих процесів; MISP має ширшу спільноту обміну та глибшу інтеграцію з ISAC. Починайте з тієї, яку використовують ваші партнери — сумісність із партнерами обміну важливіша за внутрішні відмінності у функціональності.

Фаза 4 — встановлення аналітичних робочих процесів

Розвідувальна програма без аналітичних робочих процесів — це репозиторій даних. Аналітичні робочі процеси визначають повторювані процеси, за допомогою яких сирий збір перетворюється на готові розвідувальні продукти, що доходять до споживачів.

Сортування. Не всі вхідні індикатори заслуговують на увагу аналітика. Сортування — це процес пріоритизації черги: автоматичне закриття низькодостовірних, малорелевантних індикаторів; маршрутизація пріоритетних оповіщень (нові IoC, пов'язані з відстежуваними групами акторів, що атакують ваш сектор) до негайного розгляду; та пакетна обробка рутинного збагачення у планові вікна обробки. Критерії сортування мають бути явно визначені — без них аналітики пріоритизують за обсягом, а не за релевантністю до PIR.

Аналіз. Аналітична робота набуває двох форм: тактичний аналіз (оцінка конкретного індикатора або оповіщення — чи є цей IoC достовірним, який його контекст, чи виправдовує він оновлення правила виявлення?) і стратегічний аналіз (складання оцінок намірів, спроможностей та таргетингу загрозливих акторів, що визначають рішення в галузі безпеки на рівні керівництва). Більшість державних програм починають із тактичного аналізу як свого основного продукту і поступово переходять до стратегічних оцінок у міру того, як команда набуває знань про ландшафт загроз.

Поширення. Розвідувальні продукти мають надходити до споживачів у форматах, з якими вони можуть діяти, і через канали, які вони моніторять. Оперативні індикатори передаються до SIEM у вигляді оновлень правил виявлення. Щотижневі огляди загроз надходять до CISO та керівництва безпеки у вигляді структурованих звітів. Пріоритетні оповіщення запускають пряме повідомлення команди реагування на інциденти. Стратегічні оцінки поширюються у вигляді брифінгових документів або формальних розвідувальних продуктів. Збої поширення — коли хороший аналіз лежить непрочитаним у порталі, який ніхто не відвідує, — є такими ж поширеними в державних програмах, як і збої збору.

Фаза 5 — інтеграція з SIEM і SOAR

Цінність програми CTI реалізується насамперед через інтеграцію зі стеком операцій безпеки. Двома основними точками інтеграції є платформи SIEM і SOAR, де відбуваються виявлення та реагування.

Інтеграція SIEM набуває двох форм. Інтеграція на основі IoC передає відомо шкідливі індикатори (IP-адреси, домени, хеші файлів, URL) з платформи CTI до SIEM у вигляді таблиць пошуку або правил виявлення за списком блокування. Коли мережева подія збігається з відомо шкідливим IP, SIEM генерує оповіщення. Це найвищочастотний і найменш трудомісткий для аналітика тип інтеграції. Інтеграція на основі TTP є більш складною: платформа CTI публікує логіку виявлення, вирівняну за MITRE ATT&CK, отриману з профілювання загрозливих акторів, і SIEM реалізує правила виявлення, що ідентифікують поведінкові патерни відстежуваних акторів, а не конкретні індикатори (які постійно змінюються).

Інтеграція SOAR автоматизує реагування на високодостовірні оповіщення, отримані від CTI: коли платформа CTI ідентифікує новий C2-домен, пов'язаний із відстежуваною групою акторів, плейбук SOAR автоматично створює правило блокування, відкриває тікет і повідомляє відповідного аналітика. Автоматизацію необхідно ретельно налаштовувати — втома від оповіщень через гучні плейбуки SOAR є швидшим способом втратити довіру аналітиків, ніж будь-який інший збій у стеці.

Фаза 6 — вимірювання ефективності та замикання петлі зворотного зв'язку

Програма CTI, яка не вимірює власну ефективність, не може вдосконалюватися. Вимірювання вимагає двох компонентів: внутрішніх метрик і зворотного зв'язку від споживачів.

Внутрішні метрики охоплюють справність збору (час роботи джерел, обсяг індикаторів, затримка збагачення), продуктивність аналітиків (оброблені індикатори, складені звіти, оновлені правила виявлення) і своєчасність (час від першого виявлення індикатора до виробничого правила виявлення). Ці метрики є необхідними, але недостатніми — програма може досягати всіх їх і все одно не виробляти жодних рішень.

Зворотний зв'язок від споживачів замикає петлю між виробництвом розвідки та оперативним впливом. Після кожного розвідувального продукту — брифінгу про загрозу, пакету правил виявлення, стратегічної оцінки — отримуйте структурований зворотний зв'язок від споживача: чи була розвідка точною? Своєчасною? Чи підтримала вона прийняття рішення? Чого не вистачало? Зворотний зв'язок, що доходить до аналітиків, визначає пріоритети збору і допомагає їм зрозуміти, чи є їхня робота оперативно релевантною. Без механізму зворотного зв'язку програми оптимізуються за обсягом виробництва, а не за впливом.

Ключові ролі в державній програмі CTI

Мінімально життєздатна програма вимагає щонайменше двох ролей. CTI-аналітик займається щоденним збором, сортуванням, збагаченням та тактичною звітністю. Він потребує знань з аналізу індикаторів, знайомства з фреймворком MITRE ATT&CK і практичних знань стека інструментів. Менеджер програми або керівник розвідки відповідає за процес вимог, управляє відносинами зі споживачами, координує з керівництвом і забезпечує функціонування петлі зворотного зв'язку. У двоосібній програмі ці ролі часто значно перекриваються.

Зрілі програми додають спеціалізовані ролі: аналітик шкідливого ПЗ, здатний виконувати зворотний інжиніринг зразків і виробляти технічні індикатори з перших принципів; мисливець за загрозами, який використовує CTI для проактивних запитів до SIEM у пошуку індикаторів компрометації, що ще не спрацювали оповіщень; і стратегічний аналітик, що складає оцінки намірів загрозливих акторів на рівні керівництва та довгострокових тенденцій таргетингу. Ці ролі є прагматичними для більшості державних програм першого покоління — вони представляють модель укомплектування спроможності зрілості від Рівня 2 до Рівня 3.

Категорії інструментів для оцінки

Ландшафт інструментів CTI охоплює чотири функціональні категорії. Платформа розвідки загроз (MISP, OpenCTI, ThreatConnect, Anomali) забезпечує зберігання індикаторів, збагачення, аналітичні робочі процеси та обмін STIX/TAXII. Шар інструментів збору забезпечує автоматизоване завантаження з конкретних типів джерел: інструменти моніторингу Telegram (наприклад, Corvus.Sense), сервіси моніторингу дарквебу та комерційні конектори фідів. SIEM (Splunk, Microsoft Sentinel, IBM QRadar) є шаром виявлення та оповіщення, де результати CTI споживаються оперативно. Платформа SOAR (Palo Alto XSOAR, Splunk SOAR) автоматизує робочі процеси реагування, керовані оповіщеннями від CTI.

Оцінюйте інструменти за трьома критеріями: чи інтегрується він із вашим існуючим стеком SIEM без нестандартної розробки; чи підтримує він STIX 2.1 для обміну з організаціями-партнерами; і чи може ваша поточна команда аналітиків його експлуатувати без спеціалізованої підтримки постачальника. Останній критерій виключає дивовижну кількість корпоративних інструментів з розгляду в державних програмах з обмеженим технічним персоналом.

Як визначити розвідувальні вимоги за 5 кроків

Наведений нижче процес розроблений для виконання протягом одного дворижневого спринту керівником безпеки з доступом до ключових організаційних стейкхолдерів.

Визначте всіх споживачів розвідки. Нанесіть на карту кожен підрозділ, що використовуватиме результати CTI: SOC, офіс CISO, мережеві/кінцевотерміналні команди, закупівлі (ризики постачальників), юридичне та комплаєнс. Кожен тип споживача має різні вимоги, що визначають різні збіркові активності.
Проведіть воркшоп з пріоритетних розвідувальних вимог. Проведіть структуровані сесії з кожною групою споживачів. Запитайте: які рішення вам потрібно приймати і яка інформаційна прогалина заважає вам робити це впевнено? Перетворіть прогалини на конкретні відповідні питання PIR.
Зіставте PIR із загрозливими акторами та джерелами збору. Для кожного PIR визначте, які загрозливі актори є релевантними для вашого сектору та географії, а потім визначте, які джерела збору можуть відповісти на питання. Це зіставлення визначає вашу мінімально необхідну архітектуру збору.
Призначте відповідальних і терміни звітування. Кожен PIR потребує відповідального аналітика, визначеного терміну виконання (щоденно, щотижня, щомісяця) і каналу поширення. Без явного закріплення відповідальності PIR залишаються прагматичними, а не оперативними.
Встановіть петлю зворотного зв'язку. Після кожного поширеного розвідувального продукту отримуйте структурований зворотний зв'язок: чи був він точним, своєчасним і дієвим? Чи підтримав він прийняття рішення? Включайте зворотний зв'язок у наступний цикл планування збору.

Поширені помилки при побудові державних програм CTI

Збирати, не споживаючи. Найпоширеніша помилка. Команди розгортають екземпляр MISP, завантажують 50 комерційних фідів і накопичують мільйони індикаторів, які жоден аналітик не читає і жодне правило виявлення не використовує. Першопричина майже завжди — відсутній процес вимог: ніхто не визначив, на які питання програма мала відповідати, тому результат не має споживача.

Відсутність петлі зворотного зв'язку. Розвідувальні програми, що не отримують зворотного зв'язку від споживачів, втрачають калібровку вже через один звітний цикл. Аналітики оптимізуються за обсягом результатів, оскільки це можна виміряти; без зворотного зв'язку про те, чи підтримав цей результат рішення, вони не мають сигналу для підвищення якості. Петлі зворотного зв'язку є структурними, а не культурними — їх необхідно явно вбудувати в оперативний ритм програми.

Будувати Фазу 3 до завершення Фази 1. Спокусливо інвестувати в складний конвеєр обробки до завершення процесу вимог. Результатом є технічно вражаюча система, що збирає не те і виробляє результат, яким ніхто не користується. Присвятіть перший місяць вимогам, а не інструментарію.

Ставитися до CTI як до проблеми команди безпеки. Програми CTI, що обмежені суто командою безпеки, виробляють оперативну розвідку і пропускають стратегічних споживачів — закупівлі, юридичну службу, керівництво — яким потрібен контекст загроз для рішень, що команда безпеки не може приймати самостійно. Побудова споживацьких відносин за межами периметру безпеки — це функція управління програмою, а не технічна.

Пов'язане читання: щодо технічної архітектури платформи CTI після встановлення фундаменту програми — дивіться Платформи кіберрозвідки загроз для оборони. Щодо ширшого стека моніторингу OSINT, що живить збір у державних CTI-програмах, пов'язана стаття детально охоплює вибір джерел та інструментарій. Організаціям, що розбудовують сторону виявлення стека, також варто ознайомитися з інтеграцією SIEM/SOAR для військових середовищ.

Обговоріть вашу програму CTI

Ми будуємо автоматизовані системи збору та обробки розвідки загроз для оборонних і державних організацій — від моніторингу Telegram до конвеєрів інтеграції з SIEM.

Corvus.Sense → Замовити брифінг

Цей аналіз підготовлений інженерами Corvus Intelligence, які створюють місієкритичне програмне забезпечення для оборонних і державних організацій. Дізнайтесь про нашу команду →

Часті запитання

Скільки коштує побудова державної програми CTI?

Мінімально життєздатна програма CTI — один аналітик, одна платформа з відкритим кодом (MISP або OpenCTI), відібрані OSINT-фіди та базова інтеграція з SIEM — може бути запущена менш ніж за $150 000 на рік, включно з персоналом. Зріла спроможність із комерційними ліцензіями фідів, виділеними аналітиками, автоматизованим інструментарієм збору та повною інтеграцією SIEM/SOAR зазвичай коштує від $500 000 до $1,5 млн на рік. Бюджет — найпоширеніше обмеження в держсекторі, тому поетапний підхід — починаючи з інструментів з відкритим кодом і єдиного визначеного сценарію використання — є рекомендованою точкою входу.

Скільки аналітиків потрібно державній програмі CTI?

Мінімально функціональна CTI-функція вимагає щонайменше двох аналітиків для забезпечення безперервності (покриття під час відпустки, хвороби та ротації). На практиці програма, що підтримує один орган або командування, може ефективно працювати з двома-чотирма аналітиками за умови автоматизованого збору та наявності інструментарію для обробки надходжень, збагачення та дедублікації. Програми, що охоплюють кілька організацій або працюють із засекреченою розвідкою, зазвичай потребують шести-десяти аналітиків на ролях збору, аналізу та поширення.

Чи має державна програма CTI використовувати інструменти з відкритим кодом чи комерційні?

Платформи з відкритим кодом — MISP і OpenCTI — є виробничого рівня, широко розгорнуті в національних CERT і оборонних організаціях та забезпечують повну підтримку STIX/TAXII. Вони є рекомендованою відправною точкою для державних програм, які не можуть обґрунтувати комерційне ліцензування в першому році. Комерційні інструменти (Recorded Future, Mandiant Advantage, Flashpoint) додають аналітичні дослідницькі портали, відібрану готову розвідку та покриття дарквебу, яке інструменти з відкритим кодом не відтворюють. Практична відповідь для більшості державних програм — відкрита інфраструктура з вибірковими комерційними підписками на фіди для закриття конкретних прогалин у зборі.

Що таке модель зрілості CTI і де перебуває більшість державних органів?

Модель зрілості CTI описує прогресію від реактивного рівня (відсутність структурованої розвідувальної спроможності, реагування на інциденти постфактум) через проактивний (структурований збір, визначені вимоги, інтеграція з виявленням) до прогнозувального (передбачення дій противника до їх здійснення, замкнені петлі зворотного зв'язку, розвідка, що визначає рішення на стратегічному рівні). Більшість державних органів поза спеціалізованими розвідувальними або оборонними організаціями діють на реактивному або ранньому проактивному рівні — вони пасивно споживають розвідку загроз через рекомендації постачальників та оповіщення CERT, не маючи власного структурованого процесу вимог, збору чи поширення.

Яка найбільша помилка державних організацій при запуску програми CTI?

Збирати, не споживаючи. Легко запустити фіди, завантажити індикатори та заповнити базу даних. Помилка полягає в тому, що ніхто не читає результат, правила виявлення ніколи не оновлюються, і програма не виробляє жодних рішень. Першопричина майже завжди одна: вимоги до розвідки ніколи не були визначені, тому аналітики не знають, що збирати, а споживачі не знають, про що запитувати. Петля зворотного зв'язку — де споживачі повідомляють CTI-команді, чи була розвідка точною та дієвою, — так і не встановлюється. Спочатку виправте процес вимог, потім будуйте збір.