Кто такой TI-аналитик и чем он занимается
TI-аналитик — специалист по киберразведке, который собирает, обрабатывает и анализирует данные об угрозах, чтобы компания понимала: кто на неё нападает, каким образом и чего следует ожидать. Аббревиатура TI расшифровывается как Threat Intelligence — разведка угроз. Если SOC-аналитик реагирует на то, что уже происходит, TI-аналитик работает на опережение: он должен знать об угрозе раньше, чем она материализуется в инцидент.
Суть работы — превратить сырые данные из разных источников в actionable intelligence: конкретные выводы, индикаторы компрометации (IoC), тактики и техники атак (TTPs), аналитические отчёты, которые помогают другим командам принимать решения. TI-аналитик не просто собирает фиды угроз — он интерпретирует их применительно к конкретной организации, её отрасли и профилю риска.
Направление Threat Intelligence делится на несколько уровней. Стратегический TI — аналитика для руководства: тренды угроз, ландшафт атак на отрасль, долгосрочные риски. Оперативный TI — информация о конкретных кампаниях, группировках, их инфраструктуре и целях. Тактический TI — технические детали: IoC, сигнатуры, правила обнаружения. Технический TI — низкоуровневые артефакты: хэши файлов, IP-адреса, домены, паттерны сетевого трафика. TI-аналитик может специализироваться на одном уровне или работать на всех сразу — зависит от размера и зрелости команды безопасности.
💡 TI-аналитика — не просто «слежка за хакерами». Это аналитическая профессия с элементами журналистского расследования, разведывательного анализа и технической экспертизы. Специалист работает со сложно структурированными данными, которые нужно интерпретировать в условиях неполноты информации. Подробнее о том, как данные об угрозах устроены системно — в статье Threat Hunting: проактивный поиск угроз.
Чем TI-аналитик отличается от SOC-аналитика и Threat Hunter
SOC-аналитик работает с алертами, расследует события и реагирует на инциденты в режиме реального времени. Его горизонт — «здесь и сейчас». Threat Hunter проактивно ищет признаки компрометации внутри инфраструктуры, выдвигая гипотезы на основе данных об угрозах. TI-аналитик — поставщик этих данных для обоих. Он изучает внешний мир угроз, формирует контекст и создаёт интеллектуальный продукт — отчёты, IoC-фиды, модели атакующих, — которые затем используют SOC и хантеры в своей работе. Три роли образуют цепочку: TI собирает знания об угрозах, Hunter ищет их следы в инфраструктуре, SOC реагирует на найденное.
Что изучает и с чем работает TI-аналитик
Источники данных об угрозах
Работа TI-аналитика начинается с выбора и настройки правильных источников. Источников десятки — задача аналитика не собирать всё подряд, а выстраивать приоритеты исходя из отраслевого профиля организации. Основные категории:
- OSINT-источники: публичные репозитории IoC (AlienVault OTX, VirusTotal, URLhaus, MalwareBazaar), блоги вендоров безопасности, отчёты об APT-кампаниях, национальные CERT.
- Коммерческие фиды: Recorded Future, Mandiant Advantage, Kaspersky TIP, F6 Threat Intelligence — платные платформы с расширенными возможностями атрибуции и анализа.
- Даркнет и андеграунд-форумы: мониторинг ресурсов, где продаются данные, обсуждаются цели атак, публикуются украденные базы. Требует специального инструментария и осторожности.
- Внутренняя телеметрия: SIEM-события, EDR-данные, netflow. TI-аналитик обогащает их внешним контекстом — превращая безликие IP-адреса в профили угроз.
- ISAC и отраслевые сообщества: обмен данными об угрозах внутри отрасли. В России — ФинЦЕРТ для финансового сектора, ГосСОПКА для государственных структур.
Основные инструменты TI-аналитика
Стек инструментов TI-аналитика разнообразен — в зависимости от задачи и уровня анализа используются разные классы решений.
- TIP (Threat Intelligence Platform): MISP, OpenCTI, Anomali ThreatStream — платформы для агрегации, обогащения и распределения IoC внутри организации.
- MITRE ATT&CK Navigator: картирование TTPs атакующих на матрицу ATT&CK. Обязательный инструмент для профилирования групп и построения сценариев атак.
- Анализ вредоносного ПО: VirusTotal, AnyRun, Joe Sandbox для быстрого статического и динамического анализа семплов. Более глубокий анализ вредоносного ПО выходит в отдельную специализацию.
- OSINT-инструменты: Maltego, SpiderFoot, Shodan, Censys для исследования инфраструктуры атакующих. Подборка OSINT-инструментов охватывает большую часть этого стека.
- Python и скриптинг: автоматизация сбора данных, парсинг фидов, интеграция с API платформ. Без базового Python в TI сегодня сложно.
💡 MITRE ATT&CK — центральный фреймворк в работе TI-аналитика. Знание матрицы на уровне «могу соотнести любой IoC или TTP с конкретной техникой и группировкой» — это не преимущество, а минимальный профессиональный стандарт. Если вы ещё не работали с ATT&CK Navigator — начните с него до любого курса.
Ключевые навыки и знания
Технические навыки
TI — прежде всего аналитическая дисциплина, но без технической базы в ней не выжить. Специалист должен разбираться в сетях достаточно, чтобы интерпретировать сетевые IoC; понимать вредоносное ПО на уровне поведения, не обязательно на уровне реверс-инженера; читать и писать на Python для автоматизации рутинных задач. Список технических компетенций, без которых не обойтись:
- Протоколы и сетевая модель TCP/IP — понимание DNS, HTTP/S, TLS, SMTP на уровне, достаточном для анализа сетевых артефактов атак
- MITRE ATT&CK и Kill Chain — обязательное рабочее знание, не поверхностное знакомство
- Базовый анализ вредоносного ПО: поведенческий анализ в sandbox, чтение отчётов из AnyRun, Joe Sandbox
- Python — парсинг фидов, работа с API (VirusTotal, MISP), базовая автоматизация
- Работа с SIEM и SIEM-системами — чтение алертов, понимание логики корреляции
- OSINT-методологии — исследование инфраструктуры атакующих, атрибуция кампаний
Аналитические и «мягкие» навыки
TI — редкая ИБ-специальность, где письменная и структурная коммуникация критически важна. Аналитик создаёт отчёты для разных аудиторий: технические бюллетени для SOC, короткие executive summary для CISO, детальные аналитические записки для команды безопасности. Писать чётко и убедительно — не бонус, а профессиональное требование. Помимо этого:
- Структурированное аналитическое мышление: умение работать с неполными данными, формулировать выводы с явным указанием степени уверенности
- Английский язык: большинство отчётов об APT, инструментов анализа и сообществ — на английском. Уровень B2 и выше — рабочий минимум
- Атрибуция и профилирование: умение связывать кампании, инфраструктуру и TTPs с конкретными группировками с разумной степенью достоверности
- Отслеживание трендов: мониторинг ландшафта угроз — регулярная задача, а не разовое действие. Специалист должен самостоятельно формировать привычку следить за отраслью
Карьерный путь: грейды, зарплаты, пути входа
Junior, Middle, Senior: что ожидает на каждом уровне
TI — специализация с высоким порогом входа. Чистых Junior-позиций здесь крайне мало: большинство работодателей ожидают хотя бы 1–2 года опыта в смежных ролях — SOC, форензике или OSINT. Тем не менее карьерная лестница существует.
Junior TI-аналитик
Задачи: мониторинг фидов, обогащение IoC, базовая работа в MISP/OpenCTI, помощь в написании бюллетеней. Зарплата в России — от 90 000 до 130 000 ₽. Позиция встречается редко: чаще Junior берут «SOC-аналитика с интересом к TI» и растят в нужном направлении.
Middle TI-аналитик
Задачи: самостоятельное профилирование группировок, написание технических отчётов, разработка IoC-фидов и правил обнаружения для SOC, взаимодействие с коммерческими платформами. Зарплата — 150 000–220 000 ₽. Это основной «рабочий» грейд профессии.
Senior TI-аналитик / Lead
Задачи: стратегические отчёты для руководства, разработка TI-процессов в компании, менторство команды, участие в атрибуции сложных кампаний, взаимодействие с отраслевыми ISAC. Зарплата — от 250 000 до 350 000+ ₽. Таких специалистов в России единицы, спрос устойчиво превышает предложение.
Как войти в профессию
Прямых путей в TI несколько, и каждый имеет свои преимущества.
Из SOC: наиболее распространённый путь. SOC-аналитик 1–2 уровня накапливает опыт работы с алертами и начинает углубляться в контекст угроз — это и есть TI. Переход происходит органично при наличии интереса и готовности самостоятельно изучать аналитику.
Из OSINT-аналитики: OSINT-аналитики с фокусом на кибербезопасность легко переходят в TI — навыки исследования инфраструктуры напрямую применимы. Нужно добавить технические знания о вредоносном ПО и фреймворки.
Из форензики: специалисты по цифровой криминалистике обладают глубоким пониманием артефактов атак — это ценный фундамент для TI-работы, особенно на техническом и оперативном уровне.
С нуля: возможно, но сложнее. Оптимальный маршрут — сначала получить базу в SOC, параллельно изучать MITRE ATT&CK, практиковаться на публичных репозиториях IoC и прорешивать CTF-задания с TI-фокусом.
💡 Общая карта профессий в кибербезопасности и позиции TI-аналитика в ней — в статье Карта профессий в кибербезопасности. Полезно для понимания, куда двигаться дальше из TI и какие смежные специализации открываются по мере роста.
Где учиться Threat Intelligence
Если вы хотите не просто читать о TI, а применять его на практике — потребуются структурированные знания: методология сбора и анализа данных, работа с платформами, понимание фреймворков. Ниже — актуальные программы обучения.
INSECA
Threat Intelligence. Практический курс по киберразведке
62-часовой онлайн-курс (6 недель), который проводит специалист по форензике и TI Олег Скулкин совместно с командой из пяти практикующих экспертов. Программа охватывает полный жизненный цикл CTI: от планирования разведки и сбора данных — до анализа, атрибуции и распределения разведывательного продукта внутри организации. 17 практических работ воссоздают реальные рабочие сценарии: сбор данных с помощью Python, выявление фишинговых ресурсов, работа с реальным порталом BI.ZONE Threat Intelligence. В качестве бонуса — бесплатный доступ к курсу по OpenCTI. По окончании — удостоверение о повышении квалификации.
F6
Двухдневный интенсив (12 часов) от F6 — компании с двадцатилетним опытом расследования киберпреступлений. Курс строится вокруг реальных кейсов: работа с данными разведки, анализ угроз, практические методы атрибуции. Формат — видеолекции и практика. По окончании выдаётся сертификат. Ориентирован на действующих ИБ-специалистов.