Основы разведки: от сырых данных к действенной разведке

TL;DR

Разведка — это не просто сбор данных — это систематическое преобразование сырой информации в действенные выводы, которые управляют принятием решений. Эта основополагающая статья охватывает:

Пирамида DIKW: Прогрессия Данные → Информация → Знания → Мудрость
Уровни разведки: Стратегические, Оперативные и Тактические различия
Дисциплины сбора (INT): HUMINT, SIGINT, OSINT, GEOINT, MASINT, FININT
Разведывательный цикл: Непрерывный 6-фазный процесс от требований до обратной связи
Оценка источников: Система Адмиралтейства для оценки надёжности и достоверности
Когнитивные предрасположенности: Тихие убийцы качественного разведывательного анализа
Проблемы атрибуции: Почему “кто это сделал” сложнее, чем кажется
Применение к киберразведке (CTI): Как традиционные разведывательные концепции соотносятся с современным обнаружением угроз

Что такое разведка?

Разведка часто неправильно понимается. Это не просто накопление фактов и не синоним данных или информации. Разведка представляет собой очищенный продукт строгого аналитического процесса — преобразование разрозненных точек данных в когерентное, контекстное понимание, которое позволяет принимать обоснованные решения.

“Разведка — это информация, которая была собрана, интегрирована, оценена, проанализирована и интерпретирована.” — Joint Publication 2-0, Joint Intelligence

Это различие важно. Датчик, обнаруживающий сетевой трафик, производит данные. Когда эти данные разбирает и коррелирует, они становятся информацией. Когда аналитик определяет, что паттерн трафика соответствует известному поведению командно-контрольного сервера, это становится знаниями. Когда руководство использует эти знания для авторизации защитных мер или атрибуции активности конкретному актору угроз, мы приближаемся к мудрости.

Критический момент: Разведка — это не истина — это оценка истины на основе неполной информации. Каждый разведывательный продукт несёт присущую неопределённость, поэтому уровни доверия и оценка источников являются фундаментальными для дисциплины.

Пирамида DIKW: от шума к инсайту

Иерархия Данные-Информация-Знания-Мудрость (DIKW) предоставляет фундаментальную структуру для понимания того, как сырые входы трансформируются в действенную разведку.

DIKW Pyramid

Данные (Что?)

Сырые, необработанные факты без контекста. В кибероператорациях это включает:

Захват пакетов
Записи логов
Хеши файлов
IP-адреса
DNS-запросы

Данные сами по себе отвечают на вопрос “Что произошло?”, но не предоставляют значения.

Пример: 192.168.1.105 connected to 45.33.32.156:443 at 03:42:17 UTC

Информация (Кто, Когда, Где?)

Данные становятся информацией, когда организованы, структурированы и получают контекст. Информация отвечает на базовые вопросы.

Пример: “Рабочая станция WS-105, назначенная пользователю john.doe из финансового отдела, установила зашифрованное соединение с IP-адресом, геолоцированным в Санкт-Петербурге, Россия, в нерабочее время.”

Знания (Как? Почему?)

Знания появляются из анализа паттернов, корреляции множества источников информации и применения экспертизы. Они обеспечивают понимание механизмов и мотивации.

Пример: “Этот паттерн соединения соответствует известному поведению маяка Cobalt Strike. Целевой IP связан с инфраструктурой, ранее атрибутированной APT29. Финансовый отдел имеет доступ к конфиденциальным документам M&A. Это, вероятно, представляет начальный доступ продвинутого актора угроз, проводящего экономический шпионаж.”

Мудрость (Что нам делать?)

Мудрость синтезирует знания с опытом, этическими соображениями и стратегическим контекстом для информирования решений. Она обеспечивает предвидение и оптимальный выбор действий.

Пример: “Основываясь на уровне доверия к атрибуции (УМЕРЕННЫЙ), потенциальном влиянии на бизнес и геополитическом контексте, мы рекомендуем: (1) немедленную сетевую изоляцию затронутых систем, (2) привлечение реагирования на инциденты, (3) уведомление юридического консультанта о потенциальном участии государственного актора, и (4) координацию с отраслевыми партнёрами ISAC, которые могут столкнуться с аналогичным таргетированием.”

Четыре качества действенной разведки

Не вся разведка создаётся равной. Эффективная разведка демонстрирует четыре критических характеристики:

Качество	Определение	Контрпример
Действенная	Позволяет принимать конкретные решения или действия	“В интернете существуют плохие акторы”
Своевременная	Доставляется, когда ещё может повлиять на результаты	Отчёт об атрибуции, прибывший через 6 месяцев после взлома
Релевантная	Отвечает конкретным требованиям потребителя	Отправка разведки об угрозах ICS/SCADA компании SaaS
Точная	Фактически правильная с соответствующими уровнями доверия	Неправильная атрибуция commodity-вредоносного ПО к APT

Аббревиатура ATRA (Actionable, Timely, Relevant, Accurate) предоставляет полезную мнемонику для оценки качества разведки.

Оценка источников: система Адмиралтейства

Source Reliability Matrix

Прежде чем любая информация становится разведкой, она должна быть оценена. Разведывательное сообщество использует стандартизированные системы оценки для оценки как надёжности источника, так и достоверности информации.

Система Адмиралтейства/НАТО

Эта двухосевая система оценки, также известная как “система 6x6” или “система НАТО”, является стандартом со времён Второй мировой войны:

Надёжность источника (A-F)

Оценка	Описание	Критерии
A	Полностью надёжный	Нет сомнений в подлинности, достоверности и компетентности источника. История полной надёжности.
B	Обычно надёжный	Незначительные сомнения. История преимущественно достоверной информации.
C	Достаточно надёжный	Сомнения существуют. В прошлом предоставлял достоверную информацию.
D	Обычно ненадёжный	Значительные сомнения. История частично достоверной, частично недостоверной информации.
E	Ненадёжный	Отсутствие подлинности, достоверности или компетентности. История недостоверной информации.
F	Невозможно оценить	Нет основы для оценки надёжности. Новый или неизвестный источник.

Достоверность информации (1-6)

Оценка	Описание	Критерии
1	Подтверждено	Подтверждено независимыми источниками. Логично, согласуется с другой информацией.
2	Вероятно истинно	Не подтверждено, но логично и согласуется с другой информацией.
3	Возможно истинно	Не подтверждено. Разумно логично, но ограниченное подтверждение.
4	Сомнительно истинно	Не подтверждено. Возможно, но не логично. Нет другой информации для поддержки.
5	Маловероятно	Не подтверждено. Не логично. Противоречит другой информации.
6	Невозможно оценить	Нет основы для оценки достоверности.

Практическое применение

Пример оценки:

Источник: Пользователь подпольного форума "xShadowBrokerx" (активен 3 года,
          подтверждённая история продаж, предыдущие точные утечки)
Информация: Утверждает о предстоящей кампании ransomware, нацеленной на здравоохранение

Оценка: B2
- Надёжность источника: B (Обычно надёжный) - Установленное присутствие, послужной список
- Достоверность информации: 2 (Вероятно истинно) - Согласуется с наблюдаемым
  ландшафтом угроз, не подтверждено независимо

Почему это важно: Без оценки источников вы не можете назначить уровни доверия вашим оценкам. Аналитик, который относится к источнику B1 так же, как к E5, будет производить мусорную разведку.

Киберспецифические соображения

В CTI оценка источников распространяется на:

Тип источника	Факторы надёжности
Потоки разведки об угрозах	Репутация поставщика, частота обновлений, уровень ложных срабатываний
Форумы даркнета	Возраст аккаунта, оценка репутации, подтверждённые транзакции
Образцы вредоносного ПО	Источник отправки, среда песочницы, глубина анализа
OSINT	Достоверность публикации, экспертиза автора, подтверждение
Технические индикаторы	Метод сбора, возраст, контекст

Когнитивные предрасположенности: тихие убийцы

Cognitive Biases

Разведывательные неудачи редко происходят из-за недостатка информации — они происходят из-за сбоев в анализе. Когнитивные предрасположенности — это систематические ошибки в мышлении, которые влияют на решения и суждения.

“Мы видим то, что ожидаем увидеть, а не то, что на самом деле есть.” — Richards Heuer, Psychology of Intelligence Analysis

Критические предрасположенности для разведывательных аналитиков

Предрасположенность к подтверждению

Определение: Поиск, интерпретация и запоминание информации, которая подтверждает уже существующие убеждения.

Исторический пример: Оценка ОМУ Ирака (2002-2003). Аналитики сосредоточились на информации, поддерживающей существование программ ОМУ, игнорируя противоречащие доказательства. Предположение, что Саддам Хусейн должен иметь ОМУ, привело к избирательной интерпретации неоднозначных данных.

Смягчение: Адвокат дьявола, Анализ конкурирующих гипотез (ACH)

Предрасположенность к якорению

Определение: Чрезмерная опора на первую встреченную информацию (“якорь”).

Пример в CTI: Начальная атрибуция конкретному актору угроз становится якорем. Все последующие доказательства интерпретируются через эту призму, даже когда они должны побудить к пересмотру.

Смягчение: Явно документировать начальные предположения, регулярно их пересматривать

Зеркальное отображение

Определение: Предположение, что противники думают и действуют так же, как мы в их ситуации.

Исторический пример: Пёрл-Харбор (1941). Американские аналитики предполагали, что Япония не атакует, потому что это было бы “иррационально” учитывая военное превосходство США. Они не смогли понять японский стратегический расчёт.

Смягчение: Анализ красной команды, культурная экспертиза

Групповое мышление

Определение: Давление конформизма внутри группы подавляет несогласные мнения и альтернативный анализ.

Исторический пример: Залив Свиней (1961). Планировщики ЦРУ убедили себя, что вторжение удастся; несогласные голоса были подавлены или исключены.

Смягчение: Структурированное несогласие (назначение роли “адвоката дьявола”), анонимная обратная связь

Эвристика доступности

Определение: Переоценка информации, которая легко приходит на ум (недавние, драматичные или лично пережитые события).

Пример в CTI: После громкой атаки ransomware аналитики могут чрезмерно атрибутировать последующие инциденты тому же актору, потому что эта угроза на первом месте в сознании.

Смягчение: Анализ базовых ставок, структурированные контрольные списки

Структурированные аналитические техники (SAT)

Разведывательное сообщество разработало SAT специально для противодействия когнитивным предрасположенностям:

Техника	Цель	Когда использовать
Анализ конкурирующих гипотез (ACH)	Систематическая оценка множества объяснений против доказательств	Атрибуция, комплексные оценки
Проверка ключевых предположений	Выявление и проверка базовых предположений	Любая крупная оценка
Анализ красной команды	Думать как противник	Оценка угроз, анализ уязвимостей
Адвокат дьявола	Аргументировать против преобладающего мнения	Перед финализацией оценок
Индикаторы и предупреждения (I&W)	Определить наблюдаемые события, которые сигнализировали бы об изменении	Мониторинг, прогнозирование

Примечание: Подробная методология SAT будет рассмотрена в Части 1 этой серии.

Уровни разведки: стратегический, оперативный, тактический

Разведывательные требования и продукты значительно различаются в зависимости от горизонта принятия решений потребителя.

Intelligence Levels

Стратегическая разведка

Аудитория: Руководители, Совет директоров, Политики
Горизонт: 12-36 месяцев
Фокус: Тренды ландшафта угроз, риск-позиция, инвестиционные приоритеты, геополитические сдвиги
Пример: “Государственные акторы всё чаще нацеливаются на цепочки поставок в нашем секторе. Мы рекомендуем диверсифицировать критических поставщиков и внедрить дополнительные контроли рисков третьих сторон.”

Оперативная разведка

Аудитория: Менеджеры безопасности, IR-команды, Hunt-команды
Горизонт: Недели до месяцев
Фокус: Анализ кампаний, профили акторов угроз, эволюция TTP, паттерны инфраструктуры
Пример: “APT41 перешёл от кастомного вредоносного ПО к техникам living-off-the-land в Q4. Hunt-команды должны приоритизировать обнаружение злоупотреблений LOLBins.”

Тактическая разведка

Аудитория: SOC-аналитики, Инженеры детектирования, Респонденты на инциденты
Горизонт: Часы до дней
Фокус: IOC, сигнатуры детектирования, конкретные TTP, немедленные процедуры реагирования
Пример: “Заблокировать хеш abc123..., IP 45.33.32.156, и мониторить персистентность запланированных задач с использованием schtasks.exe /create.”

Критический инсайт: Организации часто переинвестируют в тактическую разведку (потоки IOC), недоинвестируя в стратегическую и оперативную разведку. IOC по своей природе скоропортящиеся — они представляют артефакты атаки, а не поведение. Зрелые разведывательные программы балансируют все три уровня.

Дисциплины сбора разведки (“INT”)

Сбор разведки организован в специализированные дисциплины, каждая с уникальными источниками, методами и аналитическими требованиями. Эти дисциплины коллективно называются “INT”.

Intelligence Disciplines

Основные дисциплины сбора

HUMINT (Человеческая разведка)

Определение: Разведка, полученная от человеческих источников через межличностный контакт.

Источники:

Информаторы и агенты
Дипломатические отчёты
Дебрифинги путешественников
Перебежчики
Допросы
Выведывание (социальная инженерия в кибер-контексте)

Характеристики:

Самая древняя разведывательная дисциплина (датируется античностью)
Предоставляет намерения и мотивацию (“почему”)
Высокая ценность, высокий риск
Трудно масштабировать
Уязвима для обмана и двойных агентов

Кибер-применение: Взаимодействие с акторами угроз на подпольных форумах, вербовка источников внутри преступных организаций, оценки социальной инженерии, программы инсайдерских угроз.

Проблема оценки источника: Человеческие источники могут быть перевербованы, обмануты или иметь собственные повестки дня. Подтверждение необходимо.

SIGINT (Сигнальная разведка)

Определение: Разведка, полученная из перехвата сигналов, включая коммуникации и электронные излучения.

Поддисциплины:

Аббревиатура	Название	Фокус
COMINT	Коммуникационная разведка	Перехваты голоса, текста, сообщений
ELINT	Электронная разведка	Некоммуникационные сигналы (радар, телеметрия)
FISINT	Разведка иностранных инструментальных сигналов	Системы вооружений, телеметрия космических аппаратов

Характеристики:

Техническая, масштабируемая коллекция
Объём создаёт аналитические проблемы
Шифрование является значительным препятствием
Предоставляет паттерны и содержание коммуникаций
Правовые рамки значительно различаются в зависимости от юрисдикции

Кибер-применение: Анализ сетевого трафика, анализ протоколов C2 вредоносного ПО, анализ метаданных зашифрованного трафика, пассивный сбор DNS.

OSINT (Разведка из открытых источников)

Определение: Разведка, полученная из публично доступных источников.

Источники:

СМИ (печать, вещание, онлайн)
Академические публикации
Правительственные отчёты и документы
Социальные сети
Коммерческие базы данных
Техническая документация
Материалы конференций
Судебные записи
Патентные заявки

Характеристики:

Доступна и экономически эффективна
Объём требует сложной фильтрации
Проблемы верификации (дезинформация, ложная информация)
По оценкам, обеспечивает 60-80% разведывательных требований
Легально для сбора, но этические и правовые соображения остаются

Кибер-применение: Исследование акторов угроз, разведка уязвимостей, мониторинг утечек учётных данных, защита бренда, картирование поверхности атаки.

Правовые/этические соображения:

Законы о конфиденциальности: GDPR, CCPA и другие нормативы могут ограничивать сбор и обработку персональных данных
Условия использования: Скрапинг может нарушать ToS платформ
Долг заботы: Собранная информация может раскрыть лиц в группе риска
Ответственное раскрытие: Информация об уязвимостях требует осторожного обращения

GEOINT (Геопространственная разведка)

Определение: Разведка, полученная из анализа изображений и геопространственной информации.

Источники:

Спутниковые снимки (оптические, радарные, мультиспектральные)
Аэрофотосъёмка
Картографические данные
Сервисы на основе местоположения
Метаданные геолокации

Характеристики:

Предоставляет физический контекст
Коммерческая доступность демократизировала доступ
Временной анализ выявляет паттерны
Интеграция с другими INT повышает ценность

Кибер-применение: Картирование физической инфраструктуры, идентификация дата-центров, верификация цепочки поставок, поддержка атрибуции (корреляция физических и кибер-активностей).

MASINT (Измерительная и сигнатурная разведка)

Определение: Разведка, полученная из анализа данных, полученных от измерительных инструментов с целью идентификации отличительных характеристик, связанных с источником, излучателем или отправителем.

Области фокуса:

Радарные сигнатуры
Акустические сигнатуры
Ядерное излучение
Химическое/биологическое обнаружение
Спектральный анализ
Анализ материалов

Характеристики:

Высоко техническая
Требует специализированных датчиков
Предоставляет уникальные возможности идентификации
Часто дополняет другие INT

Кибер-применение: Анализ электромагнитных излучений (TEMPEST), атаки по побочным каналам, идентификация оборудования.

Дополнительные дисциплины

INT	Полное название	Фокус
FININT	Финансовая разведка	Денежные транзакции, обход санкций, отмывание денег, отслеживание криптовалют
SOCMINT	Разведка социальных сетей	Анализ социальных платформ, операции влияния, атрибуция персон
TECHINT	Техническая разведка	Анализ иностранного оружия и оборудования, реверс-инжиниринг вредоносного ПО
IMINT	Разведка изображений	Подраздел GEOINT, сфокусированный на анализе изображений
MEDINT	Медицинская разведка	Разведка, связанная со здоровьем, биологические угрозы, мониторинг пандемий

Примечание о “CYBINT”: Хотя иногда используется разговорно, CYBINT не является формально признанной самостоятельной дисциплиной. Киберразведка обычно представляет собой “всесточный” синтез SIGINT, OSINT, HUMINT и TECHINT, применяемый к кибер-домену.

Разведывательный цикл

Разведывательный цикл описывает процесс, посредством которого сырая информация преобразуется в готовую разведку и доставляется потребителям. Хотя существуют различные модели, шестифазная модель широко принята:

Intelligence Cycle

Фаза 1: Требования (Планирование и руководство)

Разведка начинается с вопроса. Требования определяют:

Приоритетные разведывательные требования (PIR): Критические вопросы, на которые руководству нужны ответы
Основные элементы информации (EEI): Конкретные точки данных, необходимые для решения PIR
Акцент сбора: Какие INT приоритизировать
Разведывательные пробелы: Что мы не знаем, но должны знать

Пример PIR: “Какие акторы угроз наиболее вероятно будут нацеливаться на нашу организацию в ближайшие 12 месяцев, и какие TTP они используют?”

Распространённая точка сбоя: Требования, которые слишком расплывчаты (“расскажите об угрозах”) или слишком узки (упущены возникающие угрозы).

Фаза 2: Сбор

Систематический сбор сырой информации с использованием соответствующих INT. Эффективный сбор:

Согласуется с определёнными требованиями
Использует множество INT для подтверждения
Документирует источники и методы
Поддерживает цепочку хранения
Выявляет пробелы в сборе

Управление сбором включает приоритизацию ограниченных активов сбора против многочисленных требований. Не всё можно собрать — компромиссы необходимы.

Фаза 3: Обработка (Эксплуатация)

Сырой собранный материал преобразуется в используемую форму:

Перевод
Расшифровка
Преобразование формата
Нормализация данных
Дедупликация
Первоначальная валидация
Оценка источников

Фаза 4: Анализ (Производство)

Интеллектуальное ядро разведывательной работы. Анализ включает:

Корреляцию множества источников
Распознавание паттернов
Разработку и тестирование гипотез
Применение структурированных аналитических техник (SAT)
Оценку надёжности и достоверности
Назначение уровней доверия
Производство готовых разведывательных продуктов

Аналитическая строгость: Профессиональный анализ использует SAT для смягчения когнитивных предрасположенностей и обеспечения защитимых выводов. Оценка без уровня доверия и поддерживающего рассуждения — это мнение, а не разведка.

Фаза 5: Распространение

Готовая разведка должна достичь потребителей в соответствующих форматах и через защищённые каналы:

Письменные отчёты (оценки, брифинги)
Предупреждения и уведомления
Машиночитаемые потоки (STIX/TAXII)
Дашборды и визуализации
Устные брифинги

Ключевой принцип: Разведка, которая не достигает правильного человека в правильное время, бесполезна, независимо от того, насколько она точна.

Фаза 6: Обратная связь (Оценка)

Потребители предоставляют обратную связь о:

Релевантности для их потребностей
Своевременности доставки
Действенности рекомендаций
Точности (с течением времени)

Эта обратная связь уточняет будущие требования, завершая цикл.

Атрибуция: спектр доверия

Атрибуция — определение того, кто несёт ответственность за действие — является одним из самых сложных аспектов разведывательной работы, особенно в кибер-домене.

Почему атрибуция сложна

Вызов	Описание
Ложные флаги	Противники умышленно подкладывают доказательства, указывающие на других
Общий инструментарий	Множество акторов используют одни и те же семейства вредоносного ПО (Cobalt Strike, Mimikatz)
Прокси-операции	Подрядчики, наёмные преступники скрывают истинных спонсоров
Перекрытие инфраструктуры	Общий хостинг, bulletproof-провайдеры, скомпрометированные системы
Параллельная разработка	Похожие TTP могут возникать независимо
Умышленная путаница	APT28 vs APT29 имеют перекрывающиеся операции

Уровни доверия к атрибуции

Уровень	Описание	Основа
ВЫСОКИЙ	Мы оцениваем с высокой уверенностью…	Множество независимых источников, подтверждающие доказательства через INT, согласованность с известными паттернами
УМЕРЕННЫЙ	Мы оцениваем с умеренной уверенностью…	Хорошие доказательства из меньшего количества источников, некоторые аналитические пробелы, общая согласованность
НИЗКИЙ	Мы оцениваем с низкой уверенностью…	Ограниченные доказательства, значительные пробелы, возможно, но неопределённо

Критический момент: Даже “ВЫСОКИЙ доверие” — это не определённость. NIE по ОМУ Ирака 2002 года оценил с “высокой уверенностью”, что Ирак имеет программы ОМУ — и ошибся.

Атрибуция на практике

Атрибуция в реальном мире редко даёт чёткие ответы:

Пример — Лучшее заявление об атрибуции:

“Мы оцениваем с УМЕРЕННОЙ уверенностью, что APT29 несёт ответственность за это вторжение, на основе: (1) перекрытия инфраструктуры с ранее атрибутированными операциями APT29, (2) согласованности TTP с документированными плейбуками APT29, и (3) согласованности целей со стратегическими интересами России. Однако мы не можем исключить возможность сложной операции под ложным флагом, общего инструментария или участия подрядчиков. Рассмотренные альтернативные гипотезы включают APT28 и криминальных акторов с российской связью.”

Это более честно — и более полезно — чем просто сказать “Это сделал APT29.”

Применение к киберразведке (CTI)

Традиционные разведывательные рамки напрямую отображаются на киберразведку:

Традиционная концепция	Применение в CTI
PIR	“Какие группы ransomware нацеливаются на наш сектор?”
HUMINT	Участие в форумах даркнета, программы инсайдерских угроз
SIGINT	Анализ сетевого трафика, исследование протоколов C2
OSINT	Блоги акторов угроз, paste-сайты, репозитории кода
GEOINT	Геолокация инфраструктуры, соответствие резиденции данных
Оценка источников	Оценка качества потоков угроз, доверие к индикаторам
Разведывательный цикл	Операции программы CTI
Когнитивные предрасположенности	Обучение аналитиков, структурированный анализ

Пирамида боли

Пирамида боли Дэвида Бьянко (2013) иллюстрирует связь между типами индикаторов и стоимостью для противников, когда эти индикаторы запрещены:

Pyramid of Pain

Уровень	Тип индикатора	Боль противника	Примечания
Верх	TTP	ОЧЕНЬ ТРУДНО!	Должен менять поведение, ремесло
	Инструменты	Сложно	Должен найти/разработать новые инструменты
	Артефакты хоста	Раздражает	Ключи реестра, пути файлов, мьютексы
	Сетевые артефакты	Раздражает	Паттерны URI, протоколы C2, JA3
	Доменные имена	Просто	DNS дёшев, но требует настройки
	IP-адреса	Легко	Инфраструктура взаимозаменяема
Низ	Хеш-значения	Тривиально	Перекомпилировать = новый хеш

Ключевой инсайт: Организации, которые фокусируют обнаружение на Тактиках, Техниках и Процедурах (TTP), а не на атомарных индикаторах, создают значительно более высокие затраты для противников. Это согласуется с поведенческим подходом MITRE ATT&CK.

Кейс-стади: от данных к разведке

Давайте проследим, как сырые данные становятся действенной разведкой через правильный аналитический процесс:

Данные

timestamp: 2024-11-15T03:42:17Z
src_ip: 192.168.1.105
dst_ip: 45.33.32.156
dst_port: 443
bytes_out: 2847
bytes_in: 156892

Информация

Источник: Рабочая станция WS-105 (Финансы, пользователь: john.doe)
Назначение: IP геолоцирован в Санкт-Петербурге, Россия
Провайдер: VPS-провайдер с документированной историей злоупотреблений
Время: 03:42 UTC (нерабочие часы для Восточного побережья США)
Паттерн трафика: Маленький запрос, большой ответ (возможная эксфильтрация или check-in маяка)

Процесс анализа

Шаг 1: Оценка источников

Сетевая телеметрия: A1 (наши собственные датчики, сырые данные)
Разведка об угрозах по IP назначения: B2 (авторитетный поставщик, не подтверждено независимо)
Отчёт ISAC: C2 (отчёты коллег, ограниченные детали)

Шаг 2: Генерация гипотез

Вредоносная C2-коммуникация (APT)
Вредоносная C2-коммуникация (криминальная)
Легитимная, но необычная бизнес-активность
Скомпрометированное стороннее приложение
Ложное срабатывание (CDN, облачный сервис)

Шаг 3: Оценка доказательств

Доказательство	H1 (APT)	H2 (Крим.)	H3 (Легит.)	H4 (Сторон.)	H5 (Ложн.)
Российский IP	++	+	-	N	N
Нерабочие часы	+	+	-	N	N
Паттерн трафика	++	++	N	+	-
Предшеств. spearphish	++	+	–	N	–
Корреляция ISAC	++	N	–	N	–
Цель фин. отдела	++	+	N	N	N

Шаг 4: Оценка

После применения методологии ACH:

Мы оцениваем с УМЕРЕННОЙ уверенностью, что эта активность представляет командно-контрольную коммуникацию продвинутого актора угроз, вероятно APT29 или аффилированная сущность. Эта оценка основана на: корреляции инфраструктуры с ранее атрибутированными операциями (B2), согласованности TTP с документированными плейбуками государственных акторов, согласованности целей с задачами экономического шпионажа, и подтверждающей активности, сообщённой коллегами по отрасли.
Альтернативные гипотезы: Криминальный актор (возможно, но менее согласуется с целями), скомпрометированное стороннее ПО (требует дополнительного расследования).
Ключевые предположения: Атрибуция разведки об угрозах IP назначения точна; spearphishing-письмо было начальным вектором.
Разведывательные пробелы: Образец вредоносного ПО не восстановлен; ограниченная видимость латерального движения.

Мудрость

Рекомендации:

Инициировать процедуры реагирования на инциденты (ВЫСОКИЙ приоритет)
Сохранить криминалистические доказательства для потенциального привлечения правоохранительных органов
Привлечь юридического консультанта относительно последствий атрибуции государственного актора
Координировать с отраслевым ISAC (поделиться индикаторами, запросить дополнительный контекст)
Проинформировать руководство о потенциальном влиянии на бизнес
Расширить обнаружение связанных TTP по всему предприятию
Проверить сторонние приложения с доступом к финансам

Взгляд вперёд

Эта фундаментальная статья устанавливает концептуальную рамку для разведывательных операций. Последующие статьи в этой серии предоставят более глубокое погружение:

Часть 1: Глубокое погружение в OSINT — Источники, инструменты, ремесло и правовые соображения
Часть 2: Основы SIGINT — От РЧ до пакета
Часть 3: HUMINT в кибероператорациях — Социальная инженерия и далее
Часть 4: GEOINT для кибер — Физико-цифровая конвергенция
Часть 5: Структурированный анализ — ACH, красная команда и смягчение когнитивных предрасположенностей

Глоссарий

Термин	Определение
ACH	Анализ конкурирующих гипотез - структурированная техника для оценки множества объяснений
COMINT	Коммуникационная разведка - подраздел SIGINT
CTI	Киберразведка об угрозах
EEI	Основные элементы информации
ELINT	Электронная разведка - подраздел SIGINT
FININT	Финансовая разведка
GEOINT	Геопространственная разведка
HUMINT	Человеческая разведка
I&W	Индикаторы и предупреждения
IMINT	Разведка изображений
INT	Разведывательная дисциплина
IOC	Индикатор компрометации
ISAC	Центр обмена и анализа информации
MASINT	Измерительная и сигнатурная разведка
OSINT	Разведка из открытых источников
PIR	Приоритетное разведывательное требование
SAT	Структурированная аналитическая техника
SIGINT	Сигнальная разведка
SOCMINT	Разведка социальных сетей
TECHINT	Техническая разведка
TTP	Тактики, техники и процедуры

Ссылки и дополнительное чтение

Официальные публикации

Joint Publication 2-0: Joint Intelligence (US DoD)
Intelligence Community Directive 203: Analytic Standards
Intelligence Community Directive 206: Sourcing Requirements
NIST SP 800-150: Guide to Cyber Threat Information Sharing

Фундаментальные тексты

Heuer, R. (1999). Psychology of Intelligence Analysis — Обязательное чтение о когнитивных предрасположенностях
Lowenthal, M. (2019). Intelligence: From Secrets to Policy — Комплексный обзор
Clark, R. (2019). Intelligence Analysis: A Target-Centric Approach — Современные аналитические методы

Исторические кейс-стади

Wohlstetter, R. (1962). Pearl Harbor: Warning and Decision — Классическое исследование разведывательной неудачи
Jervis, R. (2010). Why Intelligence Fails — Анализ неудачи оценки ОМУ Ирака

CTI-специфические ресурсы

MITRE ATT&CK Framework: https://attack.mitre.org
Bianco, D. (2013). The Pyramid of Pain: https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
STIX/TAXII Standards: https://oasis-open.github.io/cti-documentation/
FIRST Traffic Light Protocol: https://www.first.org/tlp/

Эта статья является частью серии “Основы разведки”. Серия направлена на преодоление разрыва между традиционным разведывательным ремеслом и современными операциями киберразведки об угрозах.

Вопросы, исправления или отзывы? Откройте issue на GitHub или свяжитесь через страницу контактов.

Журнал изменений:

v1.1: Добавлен раздел оценки источников, раздел когнитивных предрасположенностей, уровни доверия к атрибуции, расширены правовые/этические соображения, исправлена структура пирамиды боли, добавлен глоссарий
v1.0: Первоначальный выпуск