Манифест · 2026 · CyberThreatTech

Современный
CTI мёртв.
Да здравствует
новый CTI.

Манифест человека, который вытащил CTI из подвала и перестал кормить SOC индикаторами.

Автор Николай Арефьев
Компания CyberThreatTech
Год 2026
!
Предупреждение
Слабонервным, вендорам с большими бюджетами и сторонникам «традиционных ценностей в кибербезе» — читать на свой страх и риск.
Вступление

CTI — стратегический
актив SOC

Я открою вам страшную тайну индустрии информационной безопасности 2026 года.

Готовы?

99,9% всего, что вы покупаете под маркой Cyber Threat Intelligence — это даже не вода. Это воздух. Которым вы дышите, пока тонете. — Тезис №0

Вы покупаете фиды с миллионами индикаторов. Вы нанимаете аналитиков, которые эти индикаторы смотрят. Вы строите SOC, который эти индикаторы проверяет. Вы платите миллионы — и получаете иллюзию защиты.

Но вот парадокс: CTI изначально создавался не для того, чтобы быть обслугой SOC. Не для того, чтобы кормить уставших аналитиков бесконечными алертами. CTI — это самостоятельный, мощный класс продуктов, который должен работать на опережение. На стратегию. На понимание того, что вообще происходит в вашем цифровом мире.

А что мы видим сегодня?

Мы видим, как CTI загоняют в подвал SOC, вешают на него тонны рутины и удивляются, что аналитики выгорают, а толку нет. Мы видим, как вендоры соревнуются в количестве IoC, а не в качестве понимания. Мы видим индустрию, которая производит кибер-порно: красиво, возбуждающе, но для реального дела бесполезно.

01
Провокация №01
Миф о «вендоре-спасителе»

Почему один источник — это слепота.

Знаете, в чём главная ловушка для любого CISO?

В желании выбрать одного вендора, купить одно «золотое» решение и наконец-то выдохнуть. «Вот сейчас мы подключим супер-фид от лидера рынка, и все угрозы будут видны как на ладони!»

Спойлер: не будут.

Потому что ни один источник в мире не даёт полной картины. Ни один.

Мунин помнит

Даже самые крутые глобальные вендоры видят мир со своей колокольни. У них свои методы сбора, свои приоритеты, свои слепые зоны. Если вы строите защиту только на одном источнике — вы смотрите на мир через замочную скважину.

Сила — в разнообразии.

В том, чтобы собирать данные отовсюду: с Запада и с Востока, из открытых источников и закрытых форумов, от глобальных гигантов и локальных специалистов.

Мы в CyberThreatTech не пытаемся заменить все источники одним. Мы делаем то, на что мало кто отваживается — собираем всё со всего мира, осмысляем, «отделяем зёрна от плевел» и отдаём вам только то, что реально важно для вашего бизнеса.

Хотите надеть шоры — выбирайте одного «спасителя». Хотите видеть всё — стройте систему, которая собирает разведку отовсюду.
02
Провокация №02
Рынок фидов для машин и пустота для людей

Посмотрите на рынок CTI. Что продаётся чаще всего?

Индикаторы. Тысячи индикаторов. Миллионы индикаторов, без контекста или какого-либо описания. Потоки данных, которые понимают только машины.

А где отчёты, которые понимают люди? Где управленческие дашборды, на основе которых можно принимать стратегические решения? Где анализ, который можно положить на стол совету директоров и сказать: «Вот наши риски, вот наши приоритеты, вот бюджет, который нам нужен»?

Тишина.

Потому что делать индикаторы для машин — легко. Настроил конвейер, собирай данные, продавай объём. А делать платформу, на которой удобно работать человеку — сложно.

Мы пошли по сложному пути. Начиная с 2015 года мы выстраиваем нашу концепцию Озера CTI (CTI Knowledge Lake) — единого пространства, где собираются, обогащаются и структурируются знания о киберугрозах со всего мира.

Сначала мы внутри проекта назвали проекты именами воронов из скандинавской мифологии. Но чем дальше развивалась концепция, тем больше приживались эти имена.

Два ворона Одина

Хугин и Мунин

Два режима. Две силы. Одна разведка.

Проект Хугин
Хугин
« мысль »

Анализирует и приоритезирует, отсеивая шум. Видит угрозу в моменте — что атакует, как атакует, насколько срочно реагировать. Это острый, быстрый разум, сидящий на плече.

Проект Мунин
Мунин
« память »

Собирает, помнит контекст и связывает прошлое с настоящим. Знает: эта группировка уже атаковала такие компании, этот инструмент мы видели три года назад. Память — это сила, которую нельзя купить.

А Один (вы) наконец-то получает не данные, а знания.

Мы делаем ставку на людей, которые за этими машинами стоят. Потому что в конечном счёте безопасность делают люди. И им должно быть удобно.

03
Провокация №03
99,9% IoC бесполезны без контекста

Я сейчас скажу крамольную вещь.

Индикаторы компрометации без контекста — это просто цифровой мусор.

Посмотрите на статистику. 60–70% успешных взломов используют известные уязвимости или техники. Не какие-то там zero-day из секретных лабораторий. А старые добрые дыры, про которые всем давно известно.

99,9%
Бесполезного CTI
Индикаторы без контекста — цифровой мусор, который не превращается в решение.
60–70%
Взломов
Через известные уязвимости и техники. Никаких zero-day из секретных лабораторий.

И что делает ваш CTI? Он приносит вам ещё один хэш. Ещё одну сигнатуру. Ещё один кусочек информации, который вы никогда не используете, потому что не понимаете, что с ним делать.

Хугин шепчет

А нужна вам не информация. Нужно решение. Нужен ответ на простой вопрос: «Что мне делать прямо сейчас, чтобы эта конкретная угроза не убила мой бизнес?»

Для ответа нужен контекст: откуда взялся этот индикатор, какое ВПО с ним связано, какие группировки его используют, против кого они обычно атакуют, насколько это релевантно именно моей компании.

И самое главное — нужна оценка уровня опасности, основанная не на абстрактных баллах, а на реальном контексте.

И если ваш CTI не даёт этого — он бесполезен. Выкиньте его и сэкономьте деньги.

04
Провокация №04
Data Intelligence должен умереть

Да здравствует Decision Intelligence.

Вам нужен не поток данных. Вам нужен фильтр.

Фильтр, который знает, что для завода в Перми опасен конкретный вирус, атакующий SCADA. И которому плевать на трояны, ворующие пароли от фейсбука.

Реально рабочие CTI-платформы должны генерировать не просто данные, а разведку, специфичную для конкретной организации.

Что слышит Один:
Когда система не орёт «Караул! 10 тысяч угроз!», а тихо шепчет на ухо: «Слушай, тут только три реально опасны. Вот эти. Разбирайся».

И здесь на помощь приходит Озеро знаний. Оно содержит не просто индикаторы, а всеобъемлющие знания всех четырёх уровней CTI: кто атакует такие объекты, как атакует, и, что важно, как этот профиль угроз сопоставляется с атаками на похожие объекты во всём мире.

05
Провокация №05
Контекст важнее данных, память важнее скорости

Есть миллиарды IoC. И даже если они связаны с ВПО или группировкой, этого недостаточно.

Четыре вопроса Мунина

Насколько они опасны? Как работает это ВПО? Кого и где атаковала группировка? Насколько этот IoC релевантен именно моей компании?

Ответы на эти вопросы даёт Озеро знаний. Именно там аккумулируются данные на основе автоматизированного разбора тысяч отчётов и структурированной базы знаний по группировкам, кампаниям, инструментам.

Но есть ещё один важный нюанс.

Это озеро должно быть доступно здесь и сейчас. И локально.

А не где-то в облаке, доступ к которому вы легко можете потерять из-за очередного сбоя в нашем сегменте интернета или просто потому, что не продлили подписку.

Локальное развёртывание — это не блажь. Это вопрос непрерывности вашей защиты.

06
Провокация №06
CTI без бизнес-контекста — это кибервандализм

Пропасть между SOC и C-suite — это пропасть, в которой гибнут миллиарды рублей.

Аналитик кричит про критическую уязвимость. Финансовый директор спрашивает: «Сколько это стоит?» Аналитик не знает. Финансовый директор посылает его лесом.

Знакомо?

А теперь представьте:
Атака на логистику остановит завод на неделю. Потенциальные потери — 500 млн рублей. Защита стоит 50 млн. ROI — 900%. И эта оценка уточнена на основе похожих инцидентов, происходивших с похожими компаниями по всему миру. — Язык бизнеса
500 млн ₽
Потенциальные потери
Остановка завода на неделю после атаки на логистику.
50 млн ₽
Стоимость защиты
Развёртывание полноценной CTI-системы с контекстом.
900%
ROI
Возврат инвестиций, посчитанный по реальным инцидентам.

Это не фантастика. Это когда каждая угроза привязана к финансовым метрикам. Когда система считает не «высокий» уровень угрозы, а финансовые потери в рублях для конкретного актива компании.

И здесь мы подключаем базу инцидентов, которая позволяет сравнивать вашу ситуацию с тем, что уже случалось у других, и делать выводы на основе реальной статистики.

Это и есть язык бизнеса.

07
Провокация №07
Zero Alert — не фантастика, а инженерная цель

Да, это именно та самая одна большая кнопка, о которой многие мечтают.

Неужели во времена, когда человечество развивает искусственный интеллект, эта концепция столь утопична в области ИБ?

Как живому аналитику, так и ИИ для принятия решения необходимо иметь максимально полный контекст инцидента. Структурированные знания, релевантные инциденту, понимание основных акторов в этом инциденте и, важно, знания об ожидаемых паттернах поведения этих акторов.

И это может дать Озеро CTI.

Идеальная CTI-платформа не генерирует алерты. Вообще. Ноль.

Потому что она сама разбирается. Сама интегрируется с SOAR. Сама блокирует угрозы. Сама изолирует заражённые хосты.

А аналитик пьёт кофе и смотрит, как система работает. И только если система не справляется — если угроза сложная, требующая человеческого интеллекта — тогда она зовёт человека.

Вороны прилетают

«Один, тут такое дело... Ты нам нужен». Человек не должен заниматься рутиной. Человек должен заниматься стратегией. Всё остальное должна делать машина.

И пока вы ей проигрываете.

08
Провокация №08
ИИ не заменит аналитика, но заменит его отсутствие

ИИ становится главным оружием защитников. Современные OSINT-инструменты способны обрабатывать потоки данных из Telegram, darknet и превращать их в структурированную разведку.

Что это значит?

Это значит, что эксперт, вооружённый ИИ, заменит десять экспертов без него. Маленькие команды смогут делать работу, которая раньше требовала огромного штата.

1 → 10
Эффект усиления
Аналитик с ИИ-инструментами делает работу команды из десяти.
10 000
Алертов в день
Объём, который раздавит любого аналитика без правильных инструментов.

Но если вы не вооружите своих людей ИИ — они просто не вывезут объём. Они выгорят. Уйдут. И останетесь вы с 10 тысячами алертов и нулём аналитиков.

09
Провокация №09
CTI — это не сервис, а нервная система

Где у вас находится Cyber Threat Intelligence?

В отдельном окошке? В сервисе, к которому подключаются, когда что-то случилось?

Это смертельно неправильно.

CTI должен быть везде. В каждом сетевом потоке. В каждом бизнес-приложении. В каждом устройстве. Он должен быть не внешним консультантом, а нервной системой организации, которая работает всегда.

Рефлекторным. Мгновенным. Встроенным.

Это путь от реактивной защиты — к проактивной. От центра компетенций — к центру прибыли. От шума — к тишине, в которой слышен только шёпот ворона.

Заключение

Слышать тишину

Один не спрашивал воронов: «Что вы видели?». Он спрашивал: «Что мне нужно знать?». — Старшая Эдда

В этом разница между данными и мудростью.

В мире, где каждый вендор обещает вам «всевидение», настоящая мудрость — в умении отсекать лишнее. В способности слышать сигналы.

Мы в CyberThreatTech не пытаемся быть самыми громкими. Мы пытаемся быть самыми тихими. Потому что настоящая угроза приходит не с грохотом взрыва, а с шёпотом, который вы не услышали за шумом собственных систем.

Наш продукт — не для всех

Он для тех, кто ищет всесторонний контекст. Для тех, кто понимает: даже самые крутые глобальные вендоры видят мир из своей колокольни. Если вы строите защиту только на одном источнике — вы смотрите на мир через замочную скважину.

Сила — в разнообразии.

В том, чтобы собирать данные отовсюду: с Запада и с Востока, из открытых источников и закрытых форумов, от глобальных гигантов и локальных специалистов.

Мы собираем всё. Мы создаём Озеро знаний. Мы даём вам контекст.

Покажем, как работает тишина.

Финал

Если вы готовы видеть картину целиком — приходите.

Поговорим. Покажем, как работает тишина.

Если нет — продолжайте.

Продолжайте покупать фиды. Продолжайте нанимать выгоревших аналитиков. Продолжайте отчитываться перед советом директоров о том, как у вас всё хорошо.

Но знайте: где-то там, в тишине, враг уже зашёл. И сидит. И ждёт.

А вы его не слышите.

Поговорим тихо

Демо «Озера CTI», разговор о вашей картине угроз — и тишина, в которой наконец-то слышны нужные сигналы.

Оставить контакты
Свяжитесь с нами

Оставьте координаты.

Расскажем про Озеро CTI, покажем как работает контекст вместо потока индикаторов, ответим на любые вопросы. Никакого спама, никаких холодных продаж — только разговор по делу.