Threat Intelligence в Казахстане: от чтения отчетов к спасению бизнеса
Все чаще в кулуарных разговорах с руководителями бизнеса звучит одна и та же фраза: «Мы уже столько всего согласовали купить и внедрить нашим ИБ-шникам, но спокойствия внутри почему-то не прибавляется. Страшно».
Мне кажется, это бизнес совершает одни и те же ошибки, которые уже давно разобраны по косточкам мировыми экспертами, но замечать мы их отказываемся.
Недавно коллеги-аналитики из SANS Institute опубликовали отчет по Threat Intelligence за 2025 год. Цифры там отрезвляющие: 70,2% компаний признают, что ландшафт угроз усложняется настолько быстро, что старые методы просто не работают. При этом 86% — используют практики MITRE ATT&CK, но количество успешных атак не падает. Потому что мы путаем активность с результатом — потребляем тонны информации, но не превращаем ее в действия.
Первые 90 секунд, которые стоят всего
Эрик Циммерман, гуру цифровой криминалистики, в своей февральской статье 2026 года описал феномен, который я часто наблюдаю в инцидентах в РК. Он назвал это «первыми 90 секундами».
Суть простая и страшная: большинство провалов в расследованиях происходят не из-за отсутствия денег на софт. Они происходят в первые мгновения после обнаружения атаки, когда информации мало, давление высоко, а паника уже начинает застилать глаза — речь о том, какое решение вы принимаете.
Циммерман подчеркивает важную вещь: «первые 90 секунд» — это не единичный момент. Это паттерн, который повторяется каждый раз, когда вы находите новую зараженную машину. Вы нашли одну — у вас есть 90 секунд, чтобы решить, сохранять её или переустанавливать. Нашли вторую — снова 90 секунд, чтобы понять, связаны ли они. И так до бесконечности.
Я видел своими глазами, как ИБ-команды в РК теряют контроль над расследованием именно здесь. ИБ-эксплуатант получает алерт. Вместо того чтобы спросить «что выполнилось на этой системе?», он начинает панически дергать за рычаги, пытаясь «потушить». Он не сохраняет логи, не фиксирует артефакты. В статье Циммермана есть жестокая правда: если вы начинаете логировать только после обнаружения атаки — вы уже проиграли, вы никогда не докажете, как злоумышленник попал внутрь, сколько он там был и, главное, ушел ли он на самом деле. А ведь именно эти вопросы задают потом собственники и регуляторы.
В наших реалиях это усугубляется тем, что у многих до сих пор нет понимания собственной сети. Где логи? Как далеко они хранятся? Что происходит в АСУ ТП на заводе? Представьте хирурга, который во время операции впервые видит анатомию пациента. Примерно так выглядят 90% расследований.
Шум, который нас убивает
Теперь давайте честно посмотрим на то, что нам продают под видом «сведений об угрозах». Вы покупаете фиды от вендора или подключаете какой-то опенсорс, вам ежедневно сыплются отчеты о новых zero-day уязвимостях, ваши аналитики тонут в этом море.
В свежем отчете ThreatConnect приведена убийственная статистика: из более чем 8000 отчетов об угрозах, собранных за три месяца, лишь 5,8% содержали действительно полезную, действенную информацию об эксплуатируемых zero-day уязвимостях. Еще 8,3% — про активно используемые, но не обязательно «нулевые» дыры. Остальное — шум.
86% отчетов содержали какие-то упоминания уязвимостей, но только 14% из них заслуживали внимания. Представьте, что ваша команда тратит по 2-3 минуты на каждый отчет. Это более 400 часов работы впустую. Четыреста часов, которые ваши высокооплачиваемые специалисты могли бы потратить на реальную защиту, а не на чтение пустых рекламных статей и перепечаток новостей.
Промышленность под ударом
Отчет SANS State of ICS/OT Security 2025 показывает: только 14% организаций чувствуют себя полностью готовыми к киберугрозам в своих операционных средах. В Казахстане, с нашей концентрацией промышленных активов, эта цифра должна вызывать холодный пот у каждого акционера — и, в первую очередь, у государства. 70% опасных уязвимостей находятся глубоко внутри промышленных сетей, ближе к технологическому процессу, а не на периметре. Но наши системы мониторинга настроены на периметр. Мы не видим, что происходит внутри, и потребляем бесполезные внешние данные, создавая иллюзию защиты. Команды безопасности не могут с уверенностью сказать, что происходит внутри их OT-сетей. Они рассуждают о промышленных рисках, глядя на логи из IT-систем. Это все равно что судить о работе доменной печи по данным с парковочного терминала.
Где деньги, Евгений?
И тут мы подходим к самому больному — к возврату инвестиций. Опрос SANS 2025 года показывает, что 62% команд называют недостаток финансирования главным тормозом. Это рекордный показатель за все годы. Почему? Да потому что они не умеют считать деньги. Они приходят к собственнику и начинают рассказывать про хеши, IP-адреса и тактики из MITRE ATT&CK. Собственник вежливо кивает, а потом спрашивает: «Сколько мы сэкономим, если внедрим вашу систему?».
И тут наступает тишина.
Хотя, забавно, больше трети руководителей высшего звена теперь участвуют в формировании управленческих запросов к threat intelligence. Это прогресс. Но они до сих пор не получают ответа на свой главный вопрос. Они хотят знать: «Какой zero-day убьет мой бизнес завтра?». Но, как мы уже выяснили, настоящая угроза часто не в zero-day.
Риск-квантификация — это то, что отличает зрелый бизнес от незрелого.
Представьте ситуацию. Ваша threat intelligence платформа ловит сообщение о новой кампании программ-вымогателей, которая использует уязвимость CVE-2024-32001. Обычный подход: служба безопасности в панике бежит патчить всё подряд, включая принтеры в бухгалтерии.
Умный подход выглядит иначе. TI-платформа проверяет: есть ли эта CVE в ваших внутренних данных сканирования уязвимостей? На каких активах? Помечены ли эти активы как критичные для бизнеса (например, процессинговый центр или АСУ ТП насосной станции)? Совпадают ли тактики этой атаки с паттернами из ваших прошлых инцидентов?
В результате вы целенаправленно патчите 5 самых важных серверов, а не 500 случайных. Вы сообщаете бизнесу: «Риск снижен, под контролем». Вы экономите миллионы тенге на простое и зарплате людей. И вы доказываете свою ценность.
Почему нам нужна своя, казахстанская платформа
Теперь о нашем, казахстанском. Я внимательно слежу за рынком. У нас много профессионалов, которые пишут правильные вещи. Но когда дело доходит до внедрения — мы либо берем западные «коробки», либо пытаемся собрать велосипед из открытых источников. И то, и другое — тупик для растущего бизнеса.
Западные платформы не учитывают нашу специфику. Они не до конца знают, какие угрозы актуальны для нефтегазового сектора Казахстана, для наших банков второго уровня, для госсектора. Они не интегрированы с местными регуляторами и CERT. У них нет данных о том, что в нашем регионе работает конкретная хакерская группа, которая бьет именно по процессингу. Они дают отличные отчеты про китайские и российские APT-группы, но понятия не имеют о локальных «хактивистах», которые могут положить сайт госоргана в пятницу вечером.
Нам нужна локализованная платформа, которая умеет:
1. Собирать данные из локальных источников. Открытые данные, сообщества, информация от регуляторов, частных ОЦИБ, МВД, крупных секторальных и индустриальных CERT.
2. Говорить на языке казахстанского бизнеса. Приоритеты для нефтегаза — целостность процесса, для финтеха — сохранность транзакций, для госсектора — непрерывность оказания услуг.
3. Показывать ROI собственнику в тенге. «Если мы не закроем эту дыру, ожидаемый ущерб — 50 миллионов тенге. Внедрение контроля стоит 5 миллионов. Что делаем?».
Тренды 2026: время взрослеть
Какие тренды мы видим в мировом CTI на 2025-2026 годы, и почему они важны для нас?
Во-первых, это геополитика и регуляторика. Влияние геополитических сдвигов и регуляторных изменений на CTI-процессы резко выросло. Threat intelligence становится мостом между технической реальностью и требованиями комплаенса. Если у вас нет данных о том, как вы защищаетесь от актуальных угроз, аудитор вас просто «съест».
Во-вторых, это использование внутренних данных. 90% компаний собирают внешние данные, и только 64% используют внутренние. Это огромная неиспользованная возможность. Ваши собственные инциденты, ваши логи, ваши уязвимости — это лучший источник intelligence. Но без платформы, которая может соединить внутреннее и внешнее, эти данные так и останутся разрозненными кусками пазла.
В-третьих, автоматизация и ИИ. 74% респондентов уже встроили автоматизацию в процессы. Больше трети используют ИИ. Но ИИ — это не магия. Это инструмент фильтрации того самого шума — может сократить 400 часов ручного труда до нескольких минут, отсеяв 86% бесполезных отчетов.
Мы входим в период, когда «просто купить firewall» больше не работает. Не работает и «просто купить фид угроз». Работает только системный подход, где данные об угрозах превращаются в конкретные действия. Где первые 90 секунд инцидента — это не паника, а отработанный до автоматизма сценарий. Где собственник понимает, за что он платит, и видит результат в финансовых показателях.
Появление зрелой, локализованной платформы Threat Intelligence в Казахстане — это не вопрос престижа. Это вопрос выживаемости бизнеса. Потому что, как показывает практика, либо вы управляете рисками, либо риски управляют вами. И когда на кону стоят производственные процессы, деньги вкладчиков или здоровье нации, выбора особого нет.
P.S. Собственникам на заметку: когда ваш CISO в следующий раз попросит денег на «какую-то там разведку», не спешите крутить пальцем у виска. Спросите его, сколько конкретных тенге мы потеряем, если к нам придет конкретный злоумышленник. Попросите показать расчет. Если он начнет сыпать техническими терминами — требуйте перевода на язык бизнеса. Время иллюзий прошло. Наступило время считать убытки до того, как они случились.