CTI в Казахстане: цифры, которые нельзя игнорировать Коллеги, пролистал свежий SANS 2025 CTI Survey. Отчет мощный. Цифры кричат. Если коротко — разрыв между «мы покупаем фиды» и «мы реально защищены» становится пропастью. Пару цитат, от которых у меня глаз дергался: • 70,2% говорят, что ландшафт угроз усложняется быстрее, чем они успевают адаптироваться • 52% — наконец-то имеют выделенные CTI-команды (рост на 10% с 2018) • 90% собирают внешние данные, но только 64% используют внутренние • 55% пытаются мерить эффективность, остальные живут «на глазок» • 62% называют недостаток финансирования главным тормозом — это рекорд за всю историю опросов Но самое больное. 86% используют MITRE ATT&CK. 77% применяют CTI для охоты. Казалось бы — все при деле, молодцы. Только количество успешных атак не падает. Почему? Потому что мы путаем потребление с действием. Мы читаем отчеты, подписаны на 10 фидов, но на вопрос «а что внутри твоей сети происходит?» — тишина. Особенно убил слайд про внешние vs внутренние источники. 90% организаций смотрят наружу, и только 64% — внутрь. То есть мы отлично знаем, какие хакеры есть в мире, но понятия не имеем, что творится у нас на промышленных контроллерах. При этом 52% руководителей уже участвуют в формировании запросов к threat intelligence. Бизнес хочет понимать риски. Но CTI-команды до сих пор не могут ответить на вопрос «сколько денег мы сэкономим?». Отсюда и 62% с недостатком бюджета. Резюме от SANS: intelligence должен быть структурированным, контекстным, измеримым и выраженным в терминах бизнеса. Иначе это просто коллекционирование статей. А теперь к нашему В понедельник на Bluescreen.kz выйдет моя свежая колонка. Разобрал там: — почему «первые 90 секунд» после обнаружения атаки решают всё — как мы тонем в шуме (из 8000 отчетов только 5.8% реально полезны) — почему западные платформы не закрывают наши риски в нефтегазе и финтехе — и главное — во сколько в тенге обходится отсутствие нормальной threat intelligence Кому надоело читать про хеши и TTP и хочется про деньги и риски — заходите в понедельник. Разложу по полкам, почему Казахстану нужна своя, локализованная платформа, и что будет с теми, кто продолжит просто «покупать фиды». P.S. Собственникам читать обязательно. Особенно про 400 часов работы аналитиков впустую. Это ж чистая прибыль мимо кассы.