Продолжаю серию об ИБ-гигиене для среднего бизнеса. В предыдущем посте я писал, что управление уязвимостями — одна из базовых вещей, которую многие откладывают из-за стоимости инструментов. На этот раз расскажу про конкретный инструмент, который закрывает сразу несколько задач и стоит ровно ноль рублей.
Речь про Sber X-Threat Intelligence (X-TI) — платформу, которую Сбер открыл в ноябре 2024 года для всех российских компаний. Я лично записался на демо, пообщался с командой Центра киберзащиты и теперь честно разбираю, что там внутри, чем платформа отличается от аналогов и когда её реально стоит использовать.
Никакой рекламы. Только разбор.
Откуда взялась платформа и почему это не маркетинг
Сбер восемь лет строил внутреннюю Threat Intelligence Platform — для защиты собственной инфраструктуры. Команда накопила базу данных, аналитику, сервисы мониторинга. После 2022 года руководство решило открыть часть этих данных для российского бизнеса бесплатно.
Причина не только альтруистическая. Есть ещё одна: Сбер как юридическое лицо по закону не может продавать ничего, кроме финансовых продуктов, поэтому X-TI коммерциализировать просто невозможно. Так что платформа останется бесплатной не из-за благородства, а потому что для неё нет другого пути.
По состоянию на апрель 2026 года к платформе подключено более 600 компаний — от небольших ИТ-фирм до крупных банков и госструктур.
Из чего состоит X-TI
Платформа делится на три модуля. Покажу, что реально есть в каждом.
Модуль 1. Threat Intelligence — база знаний
Это аналитические отчёты об угрозах, написанные руками аналитиков Центра киберзащиты Сбера. Не автогенерация, не парсинг RSS — люди читают, проверяют, обогащают и публикуют.
Каждый отчёт содержит:
-
описание угрозы с техническими деталями и скриншотами
-
индикаторы компрометации (IoC) с ручной валидацией
-
связи с группировками, CVE и вредоносным ПО
-
рекомендации по защите
Важный нюанс по IoC: в платформе их около 50–60 тысяч, хотя во внутренней базе Сбера — 50–60 миллионов. Разрыв объясняется просто: платные фиды, которые Сбер покупает для себя, нельзя перепаковать и раздавать бесплатно — это нарушение лицензий. Публикуются только те IoC, которые аналитики нашли сами: в паблике, в своей телеметрии, через threat hunting. Немного, но за каждым стоит конкретный человек и конкретное расследование.
В базе также есть карточки группировок, ВПО, TTPs в формате MITRE ATT&CK и граф связей — интерактивный, с возможностью «раскручивать» цепочки атак.
Модуль 2. Vulnerability Management (VM)
База уязвимостей: на момент демо — 569 тысяч уязвимостей. Собирается напрямую с вендорских источников (более 70 подключённых), а не только с NIST/NVD и БДУ. Это важно: данные появляются раньше и с большим контекстом.
Карточка уязвимости содержит:
-
CVSS v3 и v4 в разбивке по составляющим
-
EPSS (вероятность эксплуатации)
-
уязвимые версии ПО с точностью до патча
-
рекомендации по устранению
-
результаты ручного анализа эксплойтов
Как это работает практически. Вы загружаете инвентарь своей инфраструктуры — список ПО с версиями. Платформа маппит его на CVE и показывает применимые уязвимости. Без сканера, без агентов (хотя варианты с ними тоже есть).
Способов загрузить инвентарь несколько:
-
через EDR-агенты BI.ZONE TDR (если уже куплены)
-
через Security Vision или R-Vision — бесплатные урезанные версии для клиентов X-TI доступны по прямым ссылкам в платформе
-
через Ansible Playbook, который написала сама команда X-TI
-
по API — если есть своя автоматизация
Отдельный раздел — результаты тестирования ПО в лаборатории Сбертеха. Сбер проверяет весь устанавливаемый софт на недекларированные возможности, политические лозунги и уязвимости. Результаты публикуются в платформе. Если вашего ПО там нет — можно обратиться в лабораторию напрямую по их прайсу.
Модуль 3. External Attack Surface Management (EASM)
Мониторинг внешней поверхности атаки. Здесь пять сервисов:
Мониторинг подозрительного контента. Вы задаёте ключевые слова, IP, домены, ФИО руководителей. Платформа мониторит Telegram, даркнет, соцсети и сигнализирует, если находит упоминания: призывы к DDoS, публикации данных, пробивы и т.д.
Мониторинг фишинговых доменов. Регистрируете свои домены в ЛК, платформа ищет похожие (ML + LLM + классические алгоритмы). Для каждого находит скриншот, whois, анализирует контент. Блокировать из интерфейса пока нельзя — прорабатывается интеграция с BI.ZONE.
Мониторинг фишинговых приложений. Ищет по ключевым словам в маркетах. Актуально для любого бренда, чьи приложения могут подделывать мошенники.
Мониторинг утечек. По подтверждённому домену ищет в паблике строки вида «почта:пароль». Факт утечки учётных данных сотрудников — это информация, которую важно иметь.
Мониторинг DDoS. Команда встроилась в несколько ботнетов (без атакующей части), читает конфиги. Когда появляется задание на атаку вашего ресурса — платформа об этом предупреждает.
Защита периметра. Единственный модуль, который делается не своими силами — силами BI.ZONE и Metascan. Бесплатно: три месяца без ограничений на количество целей, затем ограниченный бесплатный скоуп навсегда (один-три домена).
Рынок: что ещё есть и сколько это стоит
Чтобы разговор был честным — покажу, в каком контексте существует X-TI.
|
Платформа |
Тип |
Ориентировочная стоимость |
IoC |
VM |
EASM |
|
Sber X-TI |
SaaS, облако РФ |
Бесплатно |
~60 тыс. (ручная валидация) |
Да, 569 тыс. уязвимостей |
Да (полный набор) |
|
R-Vision TIP |
On-premise / SaaS |
Платно |
Агрегатор фидов, сотни источников |
Частично (модуль VM отдельно) |
Нет |
|
Security Vision TIP |
On-premise |
Платно |
Агрегатор, 20+ сервисов обогащения |
Да |
Нет |
|
Kaspersky TI |
SaaS / API |
Платно |
Миллиарды, коммерческие фиды |
Нет (отдельные продукты) |
Частично (DFI) |
|
BI.ZONE ThreatVision |
SaaS |
Платно, по запросу |
Агрегатор, нейросетевая верификация |
Нет |
Нет |
|
PT Fusion / PT Feeds |
SaaS |
Платно, по запросу |
Фиды PT Expert Security Center |
Нет |
Нет |
|
F6 (Group-IB) TI |
SaaS |
Платно |
Широкое покрытие, даркнет |
Нет |
Частично |
Что это значит на практике.
Коммерческие TI-платформы (Kaspersky, F6, BI.ZONE ThreatVision) дают значительно больше IoC, глубже покрывают тактическую разведку, подключают десятки коммерческих фидов. Для зрелой службы ИБ с SOC и выделенными аналитиками — это правильный инструмент.
R-Vision TIP и Security Vision TIP — это платформы-агрегаторы. Они не генерируют контент сами, а позволяют собрать и нормализовать данные из разных источников. Отдельно стоит отметить: в марте 2025 года R-Vision и Сбер объявили об интеграции в рамках VM, R-Vision умеет поставлять результаты инвентаризации в Sber X-TI.
X-TI по количеству IoC уступает коммерческим решениям на порядок. Но у него есть другое: полный стек из TI + VM + EASM в одном месте, без единого рубля. Ни одна из перечисленных платформ не даёт EASM как часть базовой подписки.
Кому это реально полезно
Малый и средний бизнес без штатного ИБ-специалиста. X-TI позволяет хотя бы начать: загрузить инвентарь, увидеть критичные уязвимости, подключить мониторинг утечек и фишинговых доменов. Это не замена ИБ-команды, но лучше, чем ничего.
Средний бизнес с одним-двумя специалистами. Здесь X-TI начинает работать как полноценный инструмент. VM на основе инвентаря, мониторинг даркнета, фишинг — всё в одном ЛК. Аналитики экономят время.
Крупные компании с собственными TI-платформами используют X-TI как дополнительный источник данных. Сбер вручную валидирует свои IoC и отчёты — это ценно само по себе.
Кому X-TI не заменит платное решение. Если вам нужны миллионы актуальных IoC, автоматическая интеграция с SIEM или глубокие фиды по APT-группировкам — коммерческие платформы сделают это лучше. X-TI — это стартовая точка, а не финальное решение для зрелого SOC.
Что меня смутило — честно
IoC мало. 50–60 тысяч против десятков миллионов у Касперского. Ограничение объяснено и понятно, но факт остаётся фактом: для оперативного обогащения SIEM это недостаточно.
Блокировки из платформы не работают. Нашли фишинговый домен — идите блокировать вручную, либо используйте альтернативные сервисы, но уже за монеты.
Уведомления ещё дорабатываются. На момент демо настройка алертов была в процессе. Это значит, что часть сценариев мониторинга требует ручного заглядывания в интерфейс.
Платформа не торчит в паблике. Доступ — по белому списку IP-адресов. Это немного усложняет онбординг, но объяснимо с точки зрения безопасности самой платформы.
Данные клиентов Сбер не использует. Это был мой первый вопрос на демо. Ответ: телеметрию не собирают, инвентарь используется только для маппинга уязвимостей. Верить или нет — каждый решает сам, но хотя бы заявлено явно.
Что делать прямо сейчас
Если у вас нет ничего из TI и VM-инструментов:
-
Зарегистрироваться на sberbank.ru/promo/xti или написать на xti@sberbank.ru
-
Получить доступ (ручная проверка, занимает несколько дней)
-
Загрузить инвентарь — хотя бы через CSV или Ansible Playbook
-
Настроить мониторинг своих доменов и ключевых слов
-
Подключить сканер периметра пока действует трёхмесячный бесплатный период
Если у вас уже есть платные TI-инструменты — X-TI стоит рассмотреть как бесплатный дополнительный источник. Особенно мониторинг учетных данных и DDoS.
ссылка на оригинал статьи https://habr.com/ru/articles/1024650/