Kuinka rakentaa kyberuhkatiedusteluohjelma valtiollisille organisaatioille

Kirjoittanut Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

3. kesäkuuta 2026 10 min lukuaika

Useimmat viranomaiset ja puolustusorganisaatiot reagoivat kyberuhkiin jälkikäteen: ne vastaavat tapauksiin niiden jälkeen, kuluttavat uhkaneuvontoja passiivisesti eikä niillä ole jäsenneltyä mekanismia vastustajan toimien ennakoimiseksi ennen niiden tapahtumista. Kyberuhkatiedustelu (CTI) -ohjelmat ovat olemassa muuttaakseen tätä asentoa – antaakseen turvallisuustiimeille päätösetumatkan jatkuvan kiinniottoyrittämisen sijaan. Sellaisen rakentaminen valtiollisessa organisaatiossa on vaikeampaa kuin kaupallisissa ympäristöissä, rakenteellisista eikä teknisistä syistä.

Tämä opas kattaa koko elinkaaren: miksi viranomaiset jäävät CTI-kypsyydessä jälkeen, kuinka jaksottaa rakentaminen kuuden operatiivisen vaiheen yli, mitä rooleja ja työkaluja tarvitaan, ja vikaantumismallit, jotka tappavat ohjelmat ennen kuin ne tuottavat arvoa. Kohdeyleisö on turvallisuusjohtaja tai ohjelmajohtaja, jolle on annettu toimeksianto perustaa CTI-kyvykkyys ja joka tarvitsee käytännön viitekehyksen sen toteuttamiseen.

Miksi viranomaiset jäävät CTI-kypsyydessä jälkeen

Kolme rakenteellista rajoitetta selittää kuilun sen välillä, mitä viranomaiset tietävät tarvitsevansa ja mitä ne ovat tosiasiassa rakentaneet.

Budjettisyklit ja hankintaviiveet. Kaupalliset organisaatiot voivat solmia sopimuksen uhkatiedustelutoimittajan kanssa viikoissa. Viranomaishankinta kestää kuukausia tai vuosia. Siihen mennessä, kun CTI-alustan hankinta on valmis, uhkakenttä on muuttunut ja vaatimusasiakirja on vanhentunut. Tämä luo vahvan preferenssin avoimen lähdekoodin työkaluille (MISP, OpenCTI), jotka voidaan ottaa käyttöön ilman hankintaprosessia, vaikka pitkän aikavälin tiekartta sisältäisikin kaupallisen kyvykkyyden.

Osaajapula ja luokitteluesteet. Pätevät CTI-analyytikot – ne, jotka ymmärtävät vastustajan TTP:t, osaavat lukea haittaohjelmien käyttäytymistä ja muuntaa tekniset indikaattorit strategisiksi arvioinneiksi – ovat harvinaisia ja kallistuvat yksityiselle sektorille palkkauksen suhteen. Viranomaisohjelmat, jotka palkkaavat heitä, kohtaavat toissijaisen ongelman: eri luokitustasoilla työskentelevät analyytikot eivät voi jakaa indikaattoreita osastojen välillä ilman hyväksyttyjä verkkotunnukset ylittäviä ratkaisuja, mikä pirstaloi tiedustelukuvan, jonka yhtenäinen CTI-ohjelma on tarkoitettu tarjoamaan.

Ei määriteltyä vaatimusprosessia. Kaupalliset organisaatiot rakentavat CTI-ohjelmat suhteellisen selkeän uhkamallin ympärille: taloudellisesti motivoituneet toimijat kohdistavat rahoitustietoja, tunnuksia ja operatiivisia häiriöitä. Viranomaiset kohtaavat monimutkaisemman uhkakentän – valtiolähtöinen vakoilu, vaikutusoperaatiot, kriittisen infrastruktuurin kohdentaminen, toimitusketjuhyökkäykset – mutta niiltä puuttuu usein sisäinen prosessi tämän monimutkaisuuden muuntamiseksi jäsennellyiksi tiedusteluvaatimuksiksi, jotka ohjaavat keruuta ja analyysiä.

Keskeinen oivallus: Yleisin vikaantumismalli valtiollisissa CTI-ohjelmissa ei ole teknologiaongelma – se on vaatimusongelma. Organisaatiot, jotka pystyttävät MISP-instanssin, tilaavat kaupallisia syötteitä ja sisäistävät indikaattoreita ilman määriteltyä kuluttajakantaa ja palautesilmukkaa, ovat rakentaneet tietokannan, eivät tiedusteluohjelmaa. Vaatimusprosessin on edellettävä teknologiainvestointia.

CTI-kypsyysmalli: reaktiivisesta ennustavaan

CTI-kypsyys on etenemispolku. Sen ymmärtäminen, missä organisaatiosi sijaitsee, on edellytys realististen tavoitteiden asettamiselle rakentamiselle.

Reaktiivinen (taso 1). Ei jäsenneltyä tiedustelukykyä. Organisaatio vastaa tapauksiin niiden jälkeen, kuluttaa toimittajien ja kansallisten CERT-organisaatioiden uhkaneuvontoja passiivisesti eikä sillä ole omistautunutta CTI-henkilöstöä. Tiedustelu on ad hoc – analyytikot hakevat indikaattoreita vastauksena tiettyihin tapauksiin jatkuvan perustan sijaan. Useimmat viranomaiset omistautuneiden tiedustelu- tai puolustusorganisaatioiden ulkopuolella toimivat täällä.

Ennakoiva (taso 2). Määritellyt tiedusteluvaatimukset ovat olemassa. Keruulähteet on tunnistettu ja niitä seurataan säännöllisesti. Alusta (kaupallinen tai avoimen lähdekoodin) sisäistää, rikastaa ja tallentaa indikaattoreita. Analyytikot tuottavat säännöllistä raportointia, joka tavoittaa määritellyt kuluttajat. SIEM:n tunnistussäännöt päivitetään CTI-tuotoksista. Tämä on ensimmäisen sukupolven valtiollisen CTI-ohjelman tavoitetila – saavutettavissa 12–18 kuukaudessa ohjelman aloittamisesta oikeilla resursseilla.

Ennustava (taso 3). Ohjelma ennakoi vastustajan toimia ennen niiden tapahtumista: seuraa vastustajan infrastruktuurin kehittymistä, havaitsee kampanjan valmisteluaktiviteettia ja tuottaa strategisia arviointeja, jotka ohjaavat turvallisuusinvestointeja ennen hyökkäyksiä. Suljetut palautesilmukat ovat olemassa tiedustelun kuluttajien ja CTI-tiimin välillä, mahdollistaen jatkuvan parantamisen. Ennustava kypsyys vaatii kestävää investointia, kokeneiden analyytikkojen ja luokitellun tiedustelun integraatiota, joita useimmat viranomaiset eivät saavuta ensimmäisellä ohjelmajaksolla.

Vaihe 1 – määritä tiedusteluvaatimukset

Tiedusteluvaatimukset ovat kysymyksiä, joihin CTI-ohjelma sitoutuu vastaamaan määritellyllä tahdilla määritellyille kuluttajille. Ilman niitä keruu on ohjaamatonta ja analyysi irrotettu operatiivisesta tarpeesta.

Vaatimusten määrittelyprosessi alkaa kuluttajien kartoittamisesta: kuka organisaatiossa käyttää CTI-tuotosta ja mihin päätöksiin? SOC-analyytikko tarvitsee operatiivisia indikaattoreita – tuoreita IoC:ta tunnistussääntöjen päivittämiseksi. CISO tarvitsee strategisia uhkabriifauksia – mitkä toimijaryhmät kohdistavat sektoriisi ja onko uskottavia merkkejä lähestyvistä kampanjoista? Verkkostrateginen tiimi tarvitsee haavoittuvuuden priorisointitiedustelua – mitä julkaistuja CVE:ita hyödynnetään aktiivisesti luonnonvaraisissa olosuhteissa infrastruktuuriprofiiliasi vastaan?

Jokainen kuluttajatyyppi tuottaa joukon prioriteetin mukaisia tiedusteluvaatimuksia (PIR): spesifisiä, vastattavia kysymyksiä, joihin ohjelma sitoutuu vastaamaan. Esimerkkejä valtiollisista konteksteista: "Mitkä valtiolähtöiset uhkatoimijat ovat osoittaneet aikomuksen ja kyvyn kohdistaa [virastosektori] organisaatioihin viimeisten 90 päivän aikana?" tai "Onko merkkejä aktiivisesta tiedustelusta julkisesti näkyvää infrastruktuuriamme vastaan?" PIR:t määrittelevät laajuuden, ohjaavat keruulähteen valintaa ja luovat vastuullisuuden – analyytikot tietävät, mitä vastaan heitä mitataan.

Kun PIR:t on määritelty, kartoita ne uhkatoimijoihin ja keruulähteisiin. PIR ransomware-edeltäjätoiminnasta (alkupääsyn välittäjät, jotka myyvät pääsyä valtiollisiin verkkoihin) kartoittuu pimeän verkon foorumin seurantaan ja Telegram-kanavan seurantaan. PIR valtiollisesta kohdentamisesta kartoittuu verkkotunnuksen rekisteröintitiedusteluun, sertifikaattien läpinäkyvyysseurantaan ja avoimen lähdekoodin raportointiin tietyistä toimijaryhmistä. Tämä kartoitus määrittelee keruuarkkitehtuurin.

Vaihe 2 – tunnista ja konfiguroi keruulähteet

Keruu on ensimmäinen operatiivinen vaihe, johon liittyy ulkoinen välineistö. Valtiollisten CTI-ohjelmien keruulähteet tulevat tyypillisesti viidestä lähdeluokasta:

OSINT (Open Source Intelligence). Julkisesti saatavilla olevat uhkaraportit, haavoittuvuuspaljastukset, haittaohjelma-analyysiraportit ja verkkotunnus-/IP-maineen data. Helpoimmin saatavilla oleva ja alhaisimman kustannuksen luokka. Laatu vaihtelee merkittävästi – kuratoitu OSINT vaatii analyytikon arviointikykyä erottaakseen signaalin kohinasta. Tämän luokan työkaluja ovat uhkatiedusteluaggregaattorit, sertifikaattien läpinäkyvyyslokin monitorit ja passiiviset DNS-alustat.

Telegram- ja sosiaalinen alustamonitorointi. Vuodesta 2022 alkaen Telegram on tullut ensisijaiseksi operatiiviseksi kanavaksi valtiolähtöisille uhkatoimijoille, hakktivistiryhmille ja kineettisiä operaatioita tukeville rikollisille toimijoille. Kanavat ilmoittavat kohdentamispäätöksistä ennen hyökkäyksiä, julkaisevat väitettyä murtoindisointia ja koordinoivat tiedustelua. Järjestelmällinen seuranta automatisoidulla entiteettipoistolla – mainittujen organisaatioiden, IP-alueiden ja hyökkäysmenetelmien tunnistaminen – tarjoaa varoitustiedustelua, jota perinteiset syötteet eivät tarjoa. Corvus.Sense automatisoi tämän keruun soveltaen LLM-pohjaista luokittelua Telegram-sisältöön laajassa mittakaavassa tuodakseen esiin operatiivisesti relevantteja uhkia valtiollisille organisaatioille.

Pimeän verkon monitorointi. Rikollisia foorumeita, alkupääsyn välittäjämarkkinoita ja pastaussivustoja, joissa vaihdetaan vaarannettuja tunnuksia, alkupääsylistauksia ja tiedustelulöydöksiä. Tiettyjen organisaatioiden, IP-alueiden tai tunnustoimialueiden mainintojen seuranta tarjoaa varhaisen varoituksen lähestyvistä hyökkäyksistä. Tämä vaatii omistautunutta välineistöä ja analyytikkoasiantuntemusta – pimeän verkon monitorointi ilman kielitaitoa ja operatiivista kontekstia tuottaa korkean väärän positiivisuuden.

ISAC:t ja luotetut jakamisyhteisöt. Tietojenvaihtokeskukset (ISAC) valtiolle, puolustukselle ja kriittisen infrastruktuurin sektoreille tarjoavat kuratoitua uhkatiedustelua vertaisorganisaatioilta. ISAC-jäsenyys antaa pääsyn sektorikohtaisiin indikaattoreihin ja kontekstiin, joita kaupalliset syötteet eivät tarjoa. Puolustusorganisaatioille NATO NCIA:n ja kansallisten CERT-jakamisjärjestelyjen vastine.

Kaupalliset uhkatiedustelusyötteet. Toimittajat kuten Recorded Future, Mandiant ja Flashpoint tarjoavat kuratoituja, analyytikoiden rikastamia tiedustelutuotteita, jotka kattavat valmiin tiedustelun, pimeän verkon monitoroinnin ja haavoittuvuuden priorisoinnin. Kaupalliset syötteet ovat kalliita – lisensointi vaihtelee 50 000–500 000 dollariin vuodessa laajuuden mukaan – mutta ne ovat tuotantotasoisia ja vaativat vähemmän analyytikon työtaakkaa kuin raaka OSINT-keruu. Useimmat viranomaisohjelmat budjettirajoitteilla aloittavat avoimen lähdekoodin infrastruktuurilla ja lisäävät kaupallisia syötteitä valikoivasti ohjelman kypsyessä.

Vaihe 3 – rakenna käsittelyputki

Raaka kerätty data ei ole tiedustelua. Käsittelyputki muuntaa keruutuloksen jäsennellyiksi, rikastetuiksi, deduplikoiduiksi indikaattoreiksi, joihin analyytikot voivat toimia.

Putkella on kolme toiminnallista komponenttia. Sisäänsyöttö käsittelee datan vetämisen mekaniikat kustakin lähdetyypistä määritellyllä aikataululla: API-kyselyt kaupallisille syötteille, RSS ja scraping OSINT-lähteille, STIX/TAXII-veto ISAC-jakamiseen sekä webhook- tai API-integraatio SIEM:n sisäisestä telemetriasta. Jokainen lähde vaatii tarkoitukseen rakennetun adapterin, joka normalisoi tulosteen alustan sisäiseen indikaattorikaavaan.

Rikastaminen täydentää jokaisen sisäistetyn indikaattorin lisäkontekstilla: WHOIS ja passiivinen DNS verkkotunnus- ja IP-indikaattoreille, geolokaatio ja ASN-attribuutio, historialliset SIEM-havainnot ja suhteet tunnettuihin uhkatoimijaprofiileihin. IP-osoite rikastettuna "ASN:ssä isännöity, joka liittyy historialliseen APT-infrastruktuuriin, ensimmäinen näkyminen vuoden 2025 [sektori] organisaatioihin kohdistetuissa kampanjoissa" on toimiva. Sama IP ilman rikastamista on datapiste. Rikastusputket on suunniteltava latenssille – hidas rikastaminen viivyttää toimivaa tuotosta. Välimuistita rikastustulokset aggressiivisesti ja päivitä asynkronisesti.

Deduplikointi estää saman indikaattorin käsittelyn ja tallentamisen useita kertoja saapuessaan eri lähteistä. Ilman deduplikointia kiireinen syötteen ympäristö luo indikaattorikantoja, joissa on miljoonia päällekkäisiä merkintöjä, jotka heikentävät kyselyn suorituskykyä ja analyytikon luottamusta. Deduplikoinnin on toimittava sekä indikaattoritasolla (sama IP kahdesta lähteestä) että semanttisella tasolla (sama verkkotunnus loppupisteen kanssa ja ilman).

Keskeinen oivallus: Alustan valinta tässä vaiheessa on merkittävää mutta ei peruuttamatonta. MISP (Malware Information Sharing Platform) ja OpenCTI ovat molemmat tuotantotasoisia avoimen lähdekoodin alustoja, joita kansalliset CERT-organisaatiot ja puolustusorganisaatiot käyttävät maailmanlaajuisesti. Molemmat tukevat STIX 2.1:tä ja TAXII 2.1:tä. OpenCTI tarjoaa modernimman graafi-keskeisen datamallin ja rikkaamman analyytikkotyönkulun tuen; MISP:llä on suurempi jakamisyhteisö ja laajempi ISAC-integraatio. Aloita sillä, jota vertaisesi käyttävät – yhteentoimivuus jakamiskumppaneidesi kanssa on tärkeämpää kuin sisäiset ominaisuuserot.

Vaihe 4 – perusta analyytikkotyönkulut

Tiedusteluohjelma ilman analyytikkotyönkulkuja on datavarasto. Analyytikkotyönkulut määrittelevät toistettavat prosessit, joiden kautta raaka keruu muuttuu valmiiksi tiedustelutuotteiksi, jotka saavuttavat kuluttajat.

Triagaus. Kaikki saapuvat indikaattorit eivät ansaitse analyytikon huomiota. Triagaus on prosessi jonon priorisoimiseksi: auto-sulkeminen alhaisen luottamuksen, alhaisen relevanssin indikaattorit; korkean prioriteetin hälytysten reititys (uudet IoC:t, jotka liittyvät seurattuihin toimijaryhmiin, jotka kohdistavat sektoriasi) välittömään tarkistukseen; ja rutiininomaisen rikastustyön erittely ajoitettuihin käsittelyikkunoihin. Triagauskriteerit on määriteltävä eksplisiittisesti – ilman niitä analyytikot priorisoivat volyymin mukaan eikä PIR:iin liittyvän relevanssin mukaan.

Analyysi. Analyytikkotyö ottaa kaksi muotoa: taktinen analyysi (tietyn indikaattorin tai hälytyksen arviointi – onko tämä IoC uskottava, mikä on sen konteksti, ansaitseeko se tunnistussäännön päivityksen?) ja strateginen analyysi (arviointien tuottaminen uhkatoimijan aikomuksesta, kyvystä ja kohdentamisesta, jotka informoivat turvallisuuspäätöksiä johtotasolla). Useimmat viranomaisohjelmat aloittavat taktisen analyysin ensisijaisena tuotoksenaan ja rakentavat kohti strategisia arviointeja tiimin saadessa tuntemusta uhkakenttään.

Jakelu. Tiedustelutuotteiden on saavutettava kuluttajansa muodoissa, joihin he voivat toimia, ja kanavien kautta, joita he seuraavat. Operatiiviset indikaattorit virtaavat SIEM:iin tunnistussääntöpäivityksinä. Viikoittaiset uhkakoosteet menevät CISO:lle ja turvallisuusjohdolle jäsenneltyinä raportteina. Korkean prioriteetin hälytykset laukaisevat suoran ilmoituksen tapausvastetiimille. Strategiset arvioinnit jaetaan briifausdokumentteina tai virallisina tiedustelutuotteina. Jakeluepäonnistumiset – joissa hyvä analyysi istuu lukemattomana portaalissa, jota kukaan ei vieraile – ovat yhtä yleisiä valtiollisissa ohjelmissa kuin keruuepäonnistumiset.

Vaihe 5 – integroi SIEM:iin ja SOAR:iin

CTI-ohjelman arvo realisoituu ensisijaisesti integraation kautta turvallisuusoperaatioiden pinoon. Kaksi ensisijaista integraatiopistettä ovat SIEM- ja SOAR-alustat, joissa tunnistus ja vastaus tapahtuvat.

SIEM-integraatio ottaa kaksi muotoa. IoC-pohjainen integraatio työntää tunnetut huonot indikaattorit (IP-osoitteet, verkkotunnukset, tiedostotiivisteet, URL-osoitteet) CTI-alustalta SIEM:iin hakutaulukoina tai estolistojen tunnistussääntöinä. Kun verkkotapahtuma vastaa tunnettua huonoa IP:tä, SIEM laukaisee hälytyksen. Tämä on korkein taajuus, alhaisin analyytikon työtaakka integraatiotyyppi. TTP-pohjainen integraatio on kehittyneempää: CTI-alusta julkaisee MITRE ATT&CK-linjatun tunnistuslogiikan, joka johdetaan uhkatoimijaprofiloinnista, ja SIEM toteuttaa tunnistussäännöt, jotka tunnistavat seurattujen toimijoiden käyttäytymismallit eikä tiettyjä indikaattoreita (jotka kiertyvät jatkuvasti).

SOAR-integraatio automatisoi vastauksen korkean luottamuksen CTI-peräisiin hälytyksiin: kun CTI-alusta tunnistaa uuden C2-verkkotunnuksen, joka liittyy seurattuun toimijaryhmään, SOAR-kirja luo automaattisesti estosäännön, avaa tiketin ja ilmoittaa asiaankuuluvalle analyytikkolle. Automaatio on viritettävä huolellisesti – hälytysuupumus meluisista SOAR-kirjoista on nopeampi tapa menettää analyytikon luottamus kuin mikään muu vikaantumismalli pinossa.

Vaihe 6 – mittaa tehokkuutta ja sulje palautesilmukka

CTI-ohjelma, joka ei mittaa omaa tehokkuuttaan, ei voi parantua. Mittaaminen vaatii kaksi komponenttia: sisäiset mittarit ja kuluttajapalaute.

Sisäiset mittarit kattavat keruun terveyden (lähteen toiminta-aika, indikaattorin volyymi, rikastamisen latenssi), analyytikon tuottavuuden (käsitellyt indikaattorit, tuotetut raportit, päivitetyt tunnistussäännöt) ja oikea-aikaisuuden (aika indikaattorin ensimmäisestä näkymisestä tunnistussääntöön tuotannossa). Nämä mittarit ovat tarpeellisia mutta riittämättömiä – ohjelma voi saavuttaa ne kaikki ja silti tuottaa päätöksiä.

Kuluttajapalaute sulkee silmukan tiedustelun tuotannon ja operatiivisen vaikutuksen välillä. Jokaisen tiedustelutuotteen – uhkabriifauksen, tunnistussääntöerän, strategisen arvioinnin – jälkeen pyydä kuluttajalta jäsenneltyä palautetta: oliko tiedustelu tarkkaa? Oliko se oikea-aikaista? Tukeeko se päätöstä? Mitä puuttui? Analyytikkoihin saapuva palaute ohjaa keruun priorisointia ja auttaa heitä ymmärtämään, onko heidän työnsä operatiivisesti relevanttia. Ilman palautemekanismia ohjelmat optimoivat tuotantovolyymiä eikä vaikutusta.

Keskeiset roolit valtiollisessa CTI-ohjelmassa

Minimikelvollinen ohjelma vaatii vähintään kaksi roolia. CTI-analyytikko käsittelee päivittäistä keruuta, triagausta, rikastamista ja taktista raportointia. He tarvitsevat asiantuntemuksen indikaattorianalyysissä, tuttuuden MITRE ATT&CK-kehykseen ja toimivan tietämyksen välinepinosta. Ohjelmajohtaja tai tiedustelupäällikkö omistaa vaatimusprosessin, hallitsee kuluttajasuhteita, koordinoi johdon kanssa ja varmistaa palautesilmukan toiminnan. Kaksihenkisessä ohjelmassa nämä roolit usein limittyvät merkittävästi.

Kypsät ohjelmat lisäävät erikoistuneita rooleja: haittaohjelma-analyytikko, joka osaa käänteistekniikalla tutkia näytteitä ja tuottaa teknisiä indikaattoreita perusperiaatteista; uhkametsästäjä, joka käyttää CTI:tä ohjatakseen ennakoivia kyselyitä SIEM:iin etsien kompromissin merkkejä, jotka eivät ole vielä laukaisseet hälytyksiä; ja strateginen analyytikko, joka tuottaa johdon tason arviointeja uhkatoimijan aikomuksesta ja pitkän aikavälin kohdentamistrendeistä. Nämä roolit ovat toiveikkaita useimmille ensimmäisen sukupolven viranomaisohjelmille – ne edustavat tason 2–3 kypsyyskyvykkyyden henkilöstömallia.

Arvioitavat työkaluluokat

CTI-työkalukenttä kattaa neljä toiminnallista luokkaa. Uhkatiedusteluaalusta (MISP, OpenCTI, ThreatConnect, Anomali) käsittelee indikaattorin tallentamisen, rikastamisen, analyytikkotyönkulut ja STIX/TAXII-vaihdon. Keruuvälineistökerros käsittelee automatisoidun sisäänsyötön tietyistä lähdetyypeistä: Telegram-seurantatyökalut (kuten Corvus.Sense), pimeän verkon seurantapalvelut ja kaupalliset syötekytkimet. SIEM (Splunk, Microsoft Sentinel, IBM QRadar) on tunnistus- ja hälytyskerros, jossa CTI-tuotoksia käytetään operatiivisesti. SOAR-alusta (Palo Alto XSOAR, Splunk SOAR) automatisoi CTI-peräisillä hälytyksillä ohjatut vastaustyönkulut.

Arvioi työkalut kolmea kriteeriä vastaan: integroituuko se olemassa olevaan SIEM-pinoosi ilman räätälöityä kehitystä; tukeeko se STIX 2.1:tä jakamiseen kumppaniorganisaatioiden kanssa; ja voiko nykyinen analyytikkotiimisi käyttää sitä ilman erityistoimittajan tukea. Viimeinen kriteeri eliminoi yllättävän monen yritystyökalun harkinnasta viranomaisohjelmissa, joilla on rajallinen tekninen henkilöstö.

Kuinka määritellä tiedusteluvaatimukset 5 vaiheessa

Seuraava prosessi on suunniteltu toteutettavaksi yhdessä kahden viikon sprintissä turvallisuusjohtajan toimesta, jolla on pääsy keskeisiin organisaation sidosryhmiin.

Tunnista kaikki tiedustelun kuluttajat. Kartoita jokainen yksikkö, joka käyttää CTI-tuotosta: SOC, CISO-toimisto, verkko-/päätepistetiimit, hankinta (toimittajariski), lakitiimi ja vaatimustenmukaisuustiimi. Jokaisella kuluttajatyypillä on erilliset vaatimukset, jotka ohjaavat erilaisia keruutoimintoja.
Järjestä prioriteetin mukaisten tiedusteluvaatimusten työpaja. Järjestä jäsenneltyjä istuntoja jokaisen kuluttajaryhmän kanssa. Kysy: mitä päätöksiä sinun on tehtävä ja mikä tietovaje estää sinua tekemästä niitä luottavaisesti? Muunna vajeet spesifisiksi, vastattaviksi PIR-kysymyksiksi.
Kartoita PIR:t uhkatoimijoihin ja keruulähteisiin. Tunnista jokaisen PIR:n kohdalla, mitkä uhkatoimijat ovat relevantteja sektorillesi ja maantieteellesi, sitten tunnista mitkä keruulähteet voivat vastata kysymykseen. Tämä kartoitus määrittelee minimikelvollisen keruuarkkitehtuurisi.
Määritä omistajat ja raportointitahti. Jokaisella PIR:llä on oltava vastuussa oleva analyytikko, määritelty toimitustahdistus (päivittäinen, viikoittainen, kuukausittainen) ja jakelukana. Ilman eksplisiittistä omistajuutta PIR:t pysyvät toiveikkaina eikä operatiivisina.
Perusta palautesilmukka. Jokaisen tiedustelutuotteen toimittamisen jälkeen pyydä jäsenneltyä palautetta: oliko se tarkkaa, oikea-aikaista ja toimivaa? Tukeeko se päätöstä? Sisällytä palaute seuraavaan keruusuunnittelukiertoon.

Yleisiä virheitä valtiollisten CTI-ohjelmien rakentamisessa

Kerätään ilman kuluttamista. Yleisin vikaantumismalli. Tiimit pystyttävät MISP-instanssin, sisäistävät 50 kaupallista syötettä ja keräävät miljoonia indikaattoreita, joita kukaan analyytikko ei lue eikä mikään tunnistussääntö viittaa. Perussyy on lähes aina puuttuva vaatimusprosessi – kukaan ei määritellyt, mihin kysymyksiin ohjelman piti vastata, joten tuotoksella ei ole kuluttajaa.

Ei palautesilmukkaa. Tiedusteluohjelmat, jotka eivät pyydä kuluttajapalautetta, menettävät kalibroinnin yhden raportointikierron sisällä. Analyytikot optimoivat tuotantovolyymia, koska se on mitattavissa; ilman palautetta siitä, tukeeko tuotos päätöksiä, heillä ei ole laadun parantamisen signaalia. Palautesilmukat ovat rakenteellisia, eivät kulttuurisia – ne on rakennettava eksplisiittisesti ohjelman operatiiviseen tahtiin.

Vaiheen 3 ylirakennus ennen vaiheen 1 valmistumista. On houkuttelevaa investoida kehittyneeseen käsittelyputkeen ennen vaatimusprosessin valmistumista. Tuloksena on teknisesti vaikuttava järjestelmä, joka kerää vääriä asioita ja tuottaa tuotoksen, jota kukaan ei käytä. Vietä ensimmäinen kuukausi vaatimuksiin, ei välineistöön.

CTI:n käsitteleminen turvallisuustiimin ongelmana. CTI-ohjelmat, jotka on rajattu kokonaan turvallisuustiimin sisälle, tuottavat operatiivista tiedustelua ja ohittavat strategiset kuluttajat – hankinnan, lain, johdon – jotka tarvitsevat uhkakontekstin päätöksiin, joita turvallisuustiimi ei yksin voi tehdä. Kuluttajasuhteiden rakentaminen turvallisuuden ulkopuolelle on ohjelmajohtamistoiminto, ei tekninen.

Aiheeseen liittyvää lukemista: CTI-alustan teknisestä arkkitehtuurista ohjelman perustan perustamisen jälkeen, ks. Kyberuhkatiedustelualustat puolustukseen. Laajemmalle OSINT-seurantapinosta, joka syöttää valtiollista CTI-keruuta, linkitetty artikkeli kattaa lähteiden valinnan ja välineistön perusteellisesti. Tunnistuspuolen rakentavien organisaatioiden tulisi myös tarkistaa SIEM/SOAR-integraatio sotilaallisiin ympäristöihin.

Keskustele CTI-ohjelmastasi

Rakennamme automatisoituja uhkatiedustelun keruu- ja käsittelyjärjestelmiä puolustus- ja valtiollisille organisaatioille — Telegram-seurannasta SIEM-integraatioputkiin.

Corvus.Sense → Varaa briifaus

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat missiokriittistä ohjelmistoa puolustus- ja valtiollisille organisaatioille. Lue lisää tiimistämme →

Usein kysytyt kysymykset

Paljonko valtiollisen CTI-ohjelman rakentaminen maksaa?

Minimikelvollinen CTI-ohjelma — yksi analyytikko, yksi avoimen lähdekoodin alusta (MISP tai OpenCTI), kuratoituja OSINT-syötteitä ja perustason SIEM-integraatio — voidaan pystyttää alle 150 000 dollarin vuosikustannuksella henkilöstö mukaan lukien. Kypsä kyvykkyys kaupallisine syötteineen, omistautuneine analyytikkoineen, automatisoiduine keräilytyökaluineen ja täydellisine SIEM/SOAR-integraatioineen maksaa tyypillisesti 500 000–1,5 miljoonaa dollaria vuodessa. Budjetti on yleisin rajoite valtiollisissa ohjelmissa, minkä vuoksi vaiheittainen lähestymistapa — aloittaminen avoimen lähdekoodin työkaluilla ja yhdellä määritellyllä käyttötapauksella — on suositeltu aloituspolku.

Kuinka monta analyytikkoa valtiollinen CTI-ohjelma tarvitsee?

Minimikelvollinen CTI-toiminto vaatii vähintään kaksi analyytikkoa jatkuvuuden varmistamiseksi (peitto loma-aikoina, sairastapauksissa ja rotaatioissa). Käytännössä yhtä virastoa tai komentoa tukeva ohjelma voi toimia tehokkaasti kahdella tai neljällä analyytikolla, jos keruu on automatisoitu ja heitä tukee sisäänsyöttöä, rikastamista ja duplikaattien poistoa käsittelevä työkalusto. Useita organisaatioita kattavat tai luokiteltua tiedustelua käsittelevät ohjelmat vaativat tyypillisesti kuudesta kymmeneen analyytikkoa keruu-, analyysi- ja jakelurooleihin.

Pitäisikö valtiollisen CTI-ohjelman käyttää avoimen lähdekoodin vai kaupallisia työkaluja?

Avoimen lähdekoodin alustat — MISP ja OpenCTI — ovat tuotantotasoisia, laajasti käytettyjä kansallisissa CERT-organisaatioissa ja puolustusorganisaatioissa, ja ne tarjoavat täyden STIX/TAXII-tuen. Ne ovat suositeltu lähtökohta valtiollisille ohjelmille, jotka eivät voi perustella kaupallista lisensointia ensimmäisenä vuonna. Kaupalliset työkalut (Recorded Future, Mandiant Advantage, Flashpoint) lisäävät analyytikkotason tutkimusportaaleja, kuratoitua valmista tiedustelua ja pimeän verkon kattavuutta, joita avoimen lähdekoodin työkalut eivät korvaa. Käytännön vastaus useimmille valtiollisille ohjelmille on avoimen lähdekoodin infrastruktuuri valikoivien kaupallisten syötteen tilausten kanssa tiettyihin keruun puutteisiin.

Mikä on CTI-kypsyysmalli ja missä useimmat viranomaiset sijaitsevat?

CTI-kypsyysmalli kuvaa etenemistä reaktiivisesta (ei jäsenneltyä tiedustelukykyä, vastataan tapauksiin jälkikäteen) ennakoivaan (jäsennelty keruu, määritellyt vaatimukset, integroitu tunnistukseen) ennustavaan (ennakoidaan vastustajan toimia ennen niiden tapahtumista, suljetut palautesilmukat, tiedustelu ohjaa päätöksiä strategisella tasolla). Useimmat viranomaiset omistautuneiden tiedustelu- tai puolustusorganisaatioiden ulkopuolella toimivat reaktiivisella tai varhaisella ennakoivalla kypsyystasolla — ne kuluttavat uhkatiedustelua passiivisesti toimittajan neuvontojen ja CERT-hälytysten kautta, mutta niillä ei ole omaa jäsenneltyä vaatimus-, keruu- tai jakeluprosessia.

Mikä on suurin virhe, jonka viranomaiset tekevät aloittaessaan CTI-ohjelman?

Kerätään ilman kuluttamista. On helppoa pystyttää syötteitä, sisäistää indikaattoreita ja täyttää tietokanta. Vikaantumismalli on se, että kukaan ei lue tuotosta, tunnistussääntöjä ei koskaan päivitetä ja ohjelma ei tuota päätöksiä. Perussyy on lähes aina sama: tiedusteluvaatimuksia ei koskaan määritelty, joten analyytikot eivät tiedä mitä kerätä eivätkä kuluttajat tiedä mitä pyytää. Palautesilmukkaa — jossa kuluttajat kertovat CTI-tiimille, oliko tiedustelu tarkkaa ja toimittavaa — ei koskaan perusteta. Korjaa ensin vaatimusprosessi, sitten rakenna keruu.