Опрос SANS 2026 показал разрыв между ценностью CTI и её влиянием

Отчёт SANS Cyber Threat Intelligence Survey 2026 продемонстрировал ограниченное влияние киберразведки на принятие решений. При этом она остаётся важной функцией на уровне руководства компаний По данным исследования, 91% руководителей по информационной безопасности считают CTI значимой, однако только 26% отмечают её заметное влияние на принимаемые в их компании решения.

В SANS CTI Survey 2026 принял участие 401 специалист по кибербезопасности из разных стран. Данные собирались с ноября 2025 по январь 2026 года. Впервые в 2026 году опрос включал отдельный блок для руководителей. Его заполнили 67 директоров по информационной безопасности и руководителей служб безопасности. 

Основная причина разрыва связана с отсутствием понятных метрик и обратной связи. В отчёте указано, что 51% организаций не собирают данные об эффективности CTI, а 43% не отслеживают развитие своих программ. Без измерений невозможно обосновать бюджет и показать результат.

Проблема финансирования остаётся одной из ключевых. Её отметили 44% опрошенных. При этом задачи CTI расширяются и выходят за пределы операционной безопасности, включая управление рисками, сделки слияния и поглощения, защиту бренда и цепочки поставок. В исследовании отмечается, что увеличение количества отчётов не усиливает влияние CTI. Несмотря на их регулярную подготовку, команды часто не фиксируют, где именно данные повлияли на результат.

Старший менеджер по сбору данных в Intel 471 Уилл Гласс отмечает, что взаимодействие с внутренними заказчиками повышает практическую ценность CTI. Он указывает, что необходимо использовать понятный язык и учитывать задачи других подразделений. Такой подход помогает ускорять устранение уязвимостей и получать данные об инцидентах для дальнейшего анализа. CTI-команды должны учитывать свои ограничения. Во время резонансных инцидентов нагрузка на них резко возрастает. В таких ситуациях требуется понятный процесс проверки информации и передачи данных руководству. Подобный подход снижает неопределённость и позволяет избежать хаотичных действий.

В 2026 году значительное внимание в отчёте уделено атакам группы TeamPCP на цепочки поставок в среде разработки. Публикация исходного кода вредоносного ПО Shai-Hulud привела к атакам на репозитории пакетов, процессы CI/CD и учётные записи разработчиков. В таких условиях исследователи рекомендуют оперативно информировать о ситуации, формировать гипотезы для поиска угроз и проверять журналы событий.

Отчёт также фиксирует рост использования искусственного интеллекта. 45% команд-респондентов применяют ИИ для обработки данных, подготовки отчётов и автоматизации процессов. 

Эффективные программы CTI ориентируются на потребности стейкхолдеров и связывают аналитику с конкретными решениями. Для оценки используются показатели охвата, применения и влияния на решения. В качестве ориентира задействуется модель зрелости CTI-CMM, включающая 100 метрик и охватывающая ключевые направления, в том числе угрозы, риски и архитектуру.