Понедельник, 9:15 утра. Звонок от клиента - розничная сеть на 80 человек: «Бухгалтерия открыла письмо от ФНС, на трёх машинах что-то грузится». Домен отправителя и два хеша вложения лежали в бесплатном фиде URLhaus за 48 часов до этого письма. Блокировка домена на NGFW - три минуты. Разбор инцидента постфактум - три рабочих дня: артефакты на всех endpoints, перепроверка всей почты, объяснения руководству. Для компании на 80 человек это не про бюджет даже - это про время единственного безопасника, который параллельно закрывает двадцать других задач.
Ниже - практическое сравнение бесплатных инструментов и OSINT-источников для кибербезопасности, из которых один аналитик собирает рабочую разведку угроз для SMB за два часа в неделю. Без коммерческих подписок, без выделенной TI-команды.
Зачем малому бизнесу разведка угроз: бизнес-логика атаки
Типичный аргумент руководства: «Нас-то кому атаковать?». По данным IBM X-Force Threat Intelligence Index 2025, 70% атак, зафиксированных X-Force за 2024 год, затронули организации критической инфраструктуры. Но «критическая инфраструктура» - не только энергетика и банки. Это их подрядчики, поставщики, интеграторы - компании на 50–500 человек, через которые атакующие пролезают в целевую организацию. CrowdStrike Global Threat Report 2025 фиксирует рост активности China-nexus adversaries на 150% за год. Mandiant в M-Trends 2025 отследил более четырёх новых APT-группировок впервые за 2024 год.Атакующие используют одни и те же тактики разведки (Reconnaissance по MITRE ATT&CK) против всех целей: Active Scanning (T1595), Search Open Technical Databases (T1596), Search Open Websites/Domains (T1593), Gather Victim Identity Information (T1589). Компания с открытым RDP и публичным списком сотрудников на сайте - такая же валидная цель для автоматизированного сканирования, как и банк. Сканеру всё равно, сколько у вас выручка.
Финансовый контекст: штрафы за утечку персональных данных по 152-ФЗ растут, для МСБ оборотные штрафы - прямой удар по выручке. Один из частых сценариев - credential stuffing через утёкшие учётные данные. По данным Have I Been Pwned, утечка LinkedIn 2012 года (полный объём стал известен в 2016) - 164,6 млн записей с email и паролями. Российский онлайн-кинотеатр START скомпрометирован в 2021 году, данные опубликованы в 2022 - 7,46 млн уникальных записей с email и паролями (HIBP), исходный дамп содержал ~44 млн строк логов. Эти базы до сих пор используются для атак на организации, где сотрудники переиспользуют пароли. Скомпрометированная учётная запись сотрудника - это не внешняя атака на периметр, а вход через легитимный хост без единого алерта на firewall.
Threat intelligence для малого бизнеса - не про отчёты об APT на 200 страниц. Это про то, чтобы узнать о фишинговой кампании до того, как письмо окажется в ящике бухгалтера.
Бесплатные фиды угроз для SMB: сравнение и ограничения
Не все бесплатные фиды угроз одинаково полезны. Ниже - сравнение пяти источников, которые я подключал при построении TI-процессов для МСБ-компаний. Оценка - по реальному соотношению сигнала к шуму.| Фид | Тип IOC | Формат | Обновление | False Positives | Когда использовать |
|---|---|---|---|---|---|
| AlienVault OTX | IP, домены, хеши, URL | STIX/JSON, API | Непрерывно | Средние | Универсальный источник, но требует фильтрации по отрасли |
| URLhaus (abuse.ch) | URL вредоносных загрузок | CSV, JSON, API | Несколько раз в час | Низкие | Блокировка URL на прокси/NGFW |
| Feodo Tracker (abuse.ch) | IP C2-серверов ботнетов | CSV, blocklist | Несколько раз в день | Низкие | Прямая загрузка в blocklist firewall |
| AbuseIPDB | IP с репортами о вредоносной активности | API (JSON) | Непрерывно | Высокие | Обогащение контекста при разборе алертов, не для массовой блокировки |
| PhishTank | URL фишинговых страниц | CSV, API | Несколько раз в день | Средние | Блокировка фишинга на прокси |
Фиды от abuse.ch (URLhaus, Feodo Tracker) дают самый чистый сигнал - данные курируются сообществом и проверяются перед публикацией. AlienVault OTX - широчайший охват, но значительная часть IOC может не относиться к вашей отрасли или региону; без фильтрации он генерирует шум. AbuseIPDB - crowd-sourced репорты, куда нередко попадают легитимные IP: VPN-провайдеры, CDN-узлы, поисковые боты. Автоматическая блокировка по AbuseIPDB - рецепт для проблем. Я использую его только для ручной проверки конкретных подозрительных IP, когда разбираю алерт.
Ограничения, о которых в документации не пишут:
- Нет SLA на актуальность - фид может отстать на часы без уведомления
- Нет гарантии покрытия конкретной отрасли
- Контекст минимален: IOC без привязки к TTP и кампаниям
- Нет поддержки - если API перестал отвечать, разбираться придётся самому
OSINT-инструменты для ИБ: минимальный стек и его место в kill chain
Вторая часть бесплатного threat intelligence - OSINT-разведка собственной инфраструктуры. Если вы не знаете, что видит атакующий при сканировании ваших активов, вы работаете вслепую. Это, кстати, прямое требование NIST CSF v2.0 (ID.AM-01): инвентаризация активов организации должна поддерживаться в актуальном состоянии.| Инструмент | Что делает | Free tier | Ограничения | Статус |
|---|---|---|---|---|
| Shodan | Индексирует открытые порты, сервисы, баннеры | Бесплатная регистрация: ≈2 страницы веб-поиска на запрос; полноценный API - разовая покупка membership | Нет исторических данных, жёсткий лимит запросов без membership | Активный коммерческий продукт |
| theHarvester | Сбор email, поддоменов, IP из публичных источников | Полностью бесплатный, входит в Kali Linux | Зависит от доступности внешних API | Активно поддерживается, GitHub |
| SpiderFoot | Автоматизация OSINT по 100+ источникам | Open-source версия (GitHub: smicallef/spiderfoot). SpiderFoot HX - коммерческий SaaS | Требует развёртывания на своём сервере | Активно поддерживается, GitHub |
| Google Dorks | Поиск индексированных конфигов, бэкапов, логов | Полностью бесплатный | Ручной процесс, Google может ограничить частоту | N/A (метод, не софт) |
Как OSINT-инструменты связаны с TTP атакующих - и почему это важно:
- Shodan - атакующий использует Search Open Technical Databases (T1596) для поиска открытых сервисов вашей компании. Вы делаете то же самое, но первыми. Нашли открытый RDP - закрываете или прячете за VPN. На одном проекте так обнаружили забытый Elasticsearch на 9200 без аутентификации - с полной базой клиентов внутри
- theHarvester - атакующий применяет Gather Victim Identity Information (T1589) для сбора email сотрудников. Нашли email финдиректора в публичных источниках - добавляете в watchlist антифишинга
- Google Dorks - атакующий использует Search Open Websites/Domains (T1593) для поиска случайно опубликованных .env-файлов, бэкапов конфигурации. Нашли индексированный файл с паролями - убираете и меняете credentials
Отдельный момент - инсайдерская угроза. Если theHarvester находит email сотрудника в утечке (тех самых 164 миллионов LinkedIn-записей или 7,46 миллиона START), это потенциально скомпрометированная учётная запись. Легитимный хост, через который атакующий входит без единого алерта на периметре. Gather Victim Org Information (T1591) - атакующий собирает информацию о структуре компании из открытых источников, и ваш собственный сайт с разделом «Команда» - основной поставщик этих данных.
MISP vs OpenCTI: бесплатные TI-платформы для среднего бизнеса
Когда количество фидов переваливает за три-четыре, ручная работа (скачал CSV - загрузил в SIEM) перестаёт масштабироваться. Нужна платформа для нормализации, хранения и автоматической выгрузки IOC. На рынке бесплатных решений два основных варианта: MISP и OpenCTI.Требования к окружению для развёртывания:
| Параметр | MISP | OpenCTI |
|---|---|---|
| RAM минимум | 4 ГБ (без модулей), 8 ГБ рекомендуется | 8 ГБ минимум, 16 ГБ рекомендуется |
| Диск | 20+ ГБ | 50+ ГБ (ElasticSearch/OpenSearch) |
| ОС | Ubuntu 22.04+, RHEL 8+ | Ubuntu 22.04+, Docker |
| Развёртывание | Bare-metal или VM | Docker Compose или Kubernetes |
| Зависимости | MySQL/MariaDB, Redis, PHP | ElasticSearch, Redis, RabbitMQ, MinIO |
Сравнение по ключевым критериям:
| Критерий | MISP | OpenCTI | Когда это важно |
|---|---|---|---|
| Модель данных | Собственная (Events, Attributes) | STIX 2.1 нативно | OpenCTI удобнее при обмене с внешними системами по STIX/TAXII |
| Визуализация связей | Базовая (correlation engine) | Графовая, продвинутая | OpenCTI выигрывает при анализе связей IOC-TTP-кампания |
| Сообщество фидов | Крупнейшее: тысячи организаций | Меньше, растёт | MISP даёт доступ к sharing groups - готовые наборы IOC от сообщества |
| Порог входа | Средний | Высокий (больше компонентов) | MISP запускается быстрее, OpenCTI требует больше настройки |
| Интеграция с SIEM | Прямая (syslog, API, MISP-modules) | Через connector framework | MISP проще интегрировать с MaxPatrol SIEM, KUMA, ELK |
| Подходит для | 1–3 аналитика, фокус на IOC | 3+ аналитика, фокус на графах TTP | SMB - MISP; средний бизнес с выделенной командой - OpenCTI |
Когда не нужна ни одна из них: если в компании один ИБ-специалист и до пяти источников IOC, начинать разумнее с Google Sheets + RSS-ридер + скрипт автоматической проверки хешей. Платформа нужна, когда объём IOC делает ручное управление невозможным - обычно это порог в 5–10 фидов и более 1000 IOC в неделю. До этого порога платформа - оверкилл, который сожрёт время на настройку и поддержку.
Рекомендация для SMB: MISP. Ниже порог входа, меньше требования к железу, крупнейшее сообщество для обмена IOC. OpenCTI - выбор для компаний, где есть потребность строить графы связей между IOC и TTP и хотя бы два аналитика, которые эти графы будут читать. Красивые графы без людей, которые их интерпретируют - дорогие обои.
Минимальная программа threat intelligence: чеклист для одного аналитика
Требования к окружению:- Рабочая станция: любая ОС, Python 3.9+, доступ к интернету
- Опционально: VM с 8 ГБ RAM для MISP (Ubuntu 22.04)
- Бюджет: 0 рублей
- Время: 2 часа в неделю
- Проверка фидов (30 мин). Скачать свежие IOC из URLhaus и Feodo Tracker. Сверить с логами NGFW/прокси за неделю. Если MISP развёрнут - фиды подтягиваются автоматически, проверка сводится к просмотру дашборда.
- OSINT-сканирование активов (30 мин). Запустить
theHarvester -d yourdomain.ru -b all- проверить, появились ли новые email или поддомены. Проверить Shodan по IP-адресам компании - не открылось ли новых портов. Каждый раз, когда я это делаю, нахожу что-нибудь, о чём ИТ-отдел не знал. - Проверка утечек (15 мин). Проверить ключевые домены через Have I Been Pwned. Для автоматизации - API с бесплатным ключом для доменных проверок.
- Обновление блоклистов (15 мин). Загрузить актуальные IOC в NGFW, DNS-фильтр, lookup-таблицы SIEM.
- Отчёт (30 мин). Что нашли, что заблокировали, что требует внимания. Одна страница для руководства - соответствует функции GV.OC-01 по NIST CSF v2.0: результаты TI информируют управление рисками организации.
Python:
import requests
API_KEY = "бесплатный_ключ_abuseipdb"
def check_ip(ip):
url = "https://api.abuseipdb.com/api/v2/check"
headers = {"Key": API_KEY, "Accept": "application/json"}
params = {"ipAddress": ip, "maxAgeInDays": 30}
try:
r = requests.get(url, headers=headers, params=params)
r.raise_for_status()
data = r.json().get("data", {})
except (requests.RequestException, ValueError):
return None, None
return data.get("abuseConfidenceScore"), data.get("totalReports")
# Confidence > 75 - повод для блокировки или расследования
# Confidence < 25 - вероятно false positive (CDN, VPN)Фиды угроз бесплатно: detection-правила для SIEM
Каждый шаг - конкретное действие с конкретным результатом. Playbook на одну страницу, который закрывает 80% типовых срабатываний по IOC-фидам.
Большинство разговоров о TI-программе без бюджета начинаются с «у нас нет денег на threat intelligence». Но за полтора года работы с МСБ-клиентами я убедился: реальная проблема - не деньги. Я видел SOC с коммерческой подпиской за миллионы рублей в год, где фиды загружены, дашборды настроены, отчёты генерируются - и ни один аналитик не проверяет их чаще раза в месяц. Параллельно - компания на 60 человек, где единственный безопасник проверяет URLhaus и Shodan каждое утро, и за полгода предотвратил два инцидента с ransomware, заблокировав C2-домены за сутки до рассылки.
Разница - в привычке тратить 20 минут в день на проверку фидов и обновление блоклистов. Коммерческие платформы эту привычку не создают. Они создают иллюзию, что процесс работает без человека. Бесплатный threat intelligence для малого бизнеса, который кто-то реально смотрит каждый день, эффективнее коммерческого, на который никто не смотрит. MISP уже интегрируется с большинством SIEM, OpenCTI строит графы TTP на уровне enterprise-решений - разрыв между бесплатными и платными инструментами сужается каждый квартал. Если интересно как другие команды выстраивают TI на бесплатных фидах и какие источники реально дают сигнал - на codeby.net обсуждаем это в треде по разведке угроз и OSINT-практикам.
