Kyberuhkatiedustelu (CTI) -alusta on ohjelmistoinfrastruktuuri, jonka kautta tietoturvaorganisaatio kerää, käsittelee, rikastaa, analysoi ja toimii uhkatiedustelussa. Puolustusorganisaatioille — sotilaskomennoille, puolustusministeriöille, puolustusurakoitsijoille — uhkamalli on perustavanlaatuisesti erilainen kuin kaupallisille organisaatioille. Valtion rahoittamat vastustajat, pysyvän pääsyn operaatiot, toimitusketjun kompromissit ja informaatiooperaatiot eivät ole reunatapauksia; ne ovat perusuhkaympäristö.

Puolustuslaatinen CTI-alusta on rakennettava toimimaan tässä kontekstissa: käsittelemään luokiteltuja tiedustelusyötteitä, korreloimaan kyberitunnisteita signaali- ja inhimillisen tiedustelun kanssa ja integroimaan sekä kaupalliseen SIEM-infrastruktuuriin että luokiteltuihin operatiivisiin verkkoihin.

Alustan arkkitehtuuri: neljä käsittelyvaihetta

Keräys. CTI-alusta syöttää tiedustelua useista lähdetyypeistä: kaupalliset uhkasyötteet (ISAC-jakaminen, kaupalliset toimittajat), avointen lähteiden tiedustelu (OSINT — Telegram-kanavat, pimeän verkon foorumit, paste-sivustot, verkkotunnusten rekisteröintidata), sisäinen telemetria (SIEM-lokit, päätepisteiden havaitsemishälytykset, verkkovirtadata) ja luokitellut kansalliset tiedustelusyötteet tapauksen mukaan. Keräyskerros normalisoi nämä syötteet yhteiseen sisäiseen formaattiin ja liittää alkuperämetadatan (lähde, keräysaika, luottamus, luokittelutaso) jokaiseen tietueeseen.

Normalisointi ja rikastus. Raakakerätty data on erittäin heterogeenistä. IP-osoite, josta yksi syöte raportoi kompromissin indikaattorina (IoC), on merkkijono CSV:ssä. Toisessa syötteessä se on rakenteinen STIX-havaintoobjekti. Normalisointivaihe ratkaisee tämän: rakenteisten tunnisteiden (IP:t, verkkotunnukset, tiivisteet, URL:t, sähköpostiosoitteet, CVE:t) uuttaminen rakenteettomista lähteistä ja kaiken muuntaminen alustan sisäiseen skeemaan.

Rikastus täydentää normalisoituja tunnisteita lisäkontekstilla: WHOIS ja passiivinen DNS verkkotunnus-/IP-tunnisteille; maantieteellinen sijainti; ASN-attribuointi; historialliset SIEM-havainnot; ja suhteet tunnettuihin uhkatoimijoihin tai kampanjoihin alustan tietämyskannasta. Raaka IP-osoite, joka on rikastettu tiedoilla "sijaitsee ASN:ssä 12345, historiallisesti yhdistetty APT28 C2 -infrastruktuuriin, ensimmäinen havainto 2025-03-14", on toimintakelpoinen tiedustelutuote. Sama IP ilman rikastusta on datapiste.

Analyysi ja korrelaatio. Analyysikierros tunnistaa tunnisteiden väliset suhteet ja attribuoi ne uhkatoimijaprofiileihin. Tässä alustan tietämysgraafi on keskeinen: graafitietokanta (tyypillisesti Neo4j tai tarkoitukseen rakennettu uhkagraafi), joka tallentaa toimijoiden, kampanjoiden, tekniikoiden ja tunnisteiden väliset suhteet, mahdollistaa graafin läpäisykyselyt — "näytä kaikki infrastruktuuri, joka on yhdistetty samaan toimijaan kuin tämä IP, kahden hypyn päässä."

MITRE ATT&CK -kehyksen integraatio on standardi moderneissa CTI-alustoissa. Jokainen havaittu tekniikka merkitään vastaavaan ATT&CK-tekniikan ID:hen, mahdollistaen kattavuuskuiluanalyysin (mitkä ATT&CK-tekniikat eivät kuulu havaitsemiskattavuuteemme?) ja uhkatoimijaprofiloinnin (tämä toimija käyttää johdonmukaisesti T1566:ta — tietojenkalastelu — alkuun pääsyyn, jota seuraa T1053 — ajoitettu tehtäväpysyvyys).

Jakelu. Tiedustelu on arvokasta vain, kun se saavuttaa tiimit, jotka voivat toimia sen perusteella. Jakelukerros julkaisee tiedustelutuotteita kullekin kuluttajalle sopivissa formaateissa: rakenteelliset IoC-syötteet (STIX/TAXII muille CTI-alustoille ja SIEM-järjestelmille), ihmisluettavat raportit (analyytikkojen muotoilema) ja suorat SIEM-integraatiot (IoC-estojen ja havaintosääntöjen suora työntäminen SIEM-sääntömoottoreihin).

STIX ja TAXII: yhteentoimivuuskerros

STIX (Structured Threat Information eXpression) on datamalli kyberuhkatiedustelun esittämiseen — uhkatoimijat, kampanjat, tunnisteeet, hyökkäysmallit ja niiden väliset suhteet. TAXII (Trusted Automated eXchange of Intelligence Information) on siirtoprotokolla STIX-objektien vaihtamiseen alustojen välillä. Yhdessä ne mahdollistavat automatisoidun, kone-to-kone-tiedustelujakamisen.

Puolustusorganisaatioille STIX/TAXII-toteutus ei ole valinnainen — se on mekanismi, jonka kautta NATO NCIA, kansalliset CERT:t ja luotetut kumppaniorganisaatiot jakavat luokiteltua ja luokittelematonta uhkatiedustelua. CTI-alusta, joka ei pysty kuluttamaan tai tuottamaan STIX 2.1 -nippuja, on eristetty laajemmasta jakamisen ekosysteemistä.

Puolustuskohtaiset uhkalähteet

Kaupallinen CTI-alusta, joka luottaa toimittajasyötteisiin, ohittaa operatiivisesti relevantimman tiedustelun puolustusorganisaatioille. Puolustuskohtaiset lähteet sisältävät:

Telegram-monitorointi. Vuodesta 2022 Telegramista on tullut ensisijainen operatiivisen turvallisuuden kanava valtion linjassa oleville uhkatoimijoille, haktiivistiryhmille ja kineettisiä operaatioita tukeville uhkatoimijoille. Kanavat ilmoittavat kohteista ennen hyökkäyksiä, julkaisevat väitettyjä tietomurtoja ja koordinoivat tiedusteluharjoituksia. Relevanttien kanavien järjestelmällinen monitorointi — entiteetin uuttamisella ja ristiinkorrelaatiolla tunnettuja toimijaprofiileja vastaan — tarjoaa varoitustiedustelua, jota kaupallisissa syötteissä ei ole saatavilla.

Pimeän verkon foorumimonitorointi. Valtion toimijoiden käyttämä rikollinen infrastruktuuri (luodinvarmat hosting-palvelut, pääsynvälittäjät, hyväksikäyttömarkkinat) käydään kauppaa pimeän verkon foorumeilla. Näiden monitorointi tiettyjen organisaatioiden, järjestelmien tai tunnuksien mainintojen varalta antaa varhaisen varoituksen lähestyvistä hyökkäyksistä.

Verkkotunnus- ja sertifikaattitiedustelu. Valtion rahoittamat toimijat rekisteröivät puolustusorganisaatioita jäljitteleviä verkkotunnuksia kohdennettuihin tietojenkalastelukampanjoihin. Sertifikaatin läpinäkyvyyslokit, passiivinen DNS ja uusien verkkotunnusten rekisteröintien monitorointi voivat havaita nämä valmistelut ennen kampanjan käynnistämistä.

Keskeinen oivallus: Uhkatiedusteluattribuointi — kyberincidentin tai kampanjan osoittaminen tietylle valtiontoimijalle — vaatii konvergenssin useiden todistetyyppien yli: TTP:t, infrastruktuuri, kohdistusmallit, ajoitus ja mahdollisuuksien mukaan signaali- ja inhimillinen tiedustelu. CTI-alusta, joka on rakennettu puolustukselle, on kyettävä integroimaan kaikki nämä, ei vain kyberitunnisteita eristyksissä.

SIEM-integraatioarkkitehtuuri

CTI-alustat tuottavat arvoa pääasiassa integraation kautta SIEM:iin (Security Information and Event Management), jossa havaitseminen ja reagointi tapahtuu. Integraatio ottaa kaksi muotoa: IoC-pohjainen havaitseminen (CTI-alusta työntää tunnetut haitalliset IP:t, verkkotunnukset ja tiivisteet SIEM:iin estolistoina ja havaintosääntöinä) ja TTP-pohjainen havaitseminen (CTI-alusta julkaisee MITRE ATT&CK-linjattua havaintologiikkaa, joka on johdettu uhkatoimijaprofiloinnista).

Modernit arkkitehtuurit toteuttavat tämän SOAR (Security Orchestration, Automation and Response) -playbokkien kautta, jotka automaattisesti syöttävät CTI-tuotoksia, soveltavat niitä SIEM-havaintopinoon ja käynnistävät korkean luottamuksen hälytysten reagointityönkulkuja. SIEM-SOAR-CTI-triadi on puolustuksen SOC:n (Security Operations Center) operatiivinen selkäranka.