Wat is een cyberdreigingsintelligentie (CTI) platform?

Een CTI-platform is de software-infrastructuur waarmee een beveiligingsorganisatie dreigingsintelligentie verzamelt, verwerkt, verrijkt, analyseert en ernaar handelt. Voor defensieorganisaties verwerkt het geclassificeerde inlichtingenfeeds, correleert het cyber-indicatoren met signalen en menselijke inlichtingen en integreert het met zowel commerciële SIEM-infrastructuur als geclassificeerde operationele netwerken.

Wat zijn de vier verwerkingsfasen van een defensie-CTI-platform?

Een defensie-CTI-platform verwerkt inlichtingen via vier fasen: verzameling (verwerking van commerciële feeds, OSINT, interne telemetrie en geclassificeerde bronnen), normalisatie en verrijking (heterogene gegevens omzetten naar gestructureerde indicatoren met context), analyse en correlatie (grafgebaseerde attributie aan dreigingsactorprofielen) en distributie (publiceren van STIX/TAXII-feeds en SIEM-integraties).

Wat zijn STIX en TAXII en waarom zijn ze vereist voor defensie-CTI-platforms?

STIX is het datamodel voor het weergeven van cyberdreigingsintelligentie, inclusief dreigingsactoren, indicatoren en aanvalspatronen. TAXII is het transportprotocol voor het uitwisselen van STIX-objecten tussen platforms. Voor defensieorganisaties is STIX/TAXII het mechanisme waarmee NATO NCIA, nationale CERT's en vertrouwde partners geclassificeerde en niet-geclassificeerde dreigingsintelligentie delen.

Welke defensiespecifieke dreigingsbronnen moet een CTI-platform bewaken?

Defensiespecifieke bronnen omvatten Telegram-kanaalbewaking (staatsgebonden actoren kondigen doelen aan en coördineren operaties daar), bewaking van dark-webforums (bulletproof hosting en toegangsmakelaarsmarkten die door staatsactoren worden gebruikt) en certificaattransparantie- en passieve DNS-bewaking om domeinregistraties te detecteren die defensieorganisaties nabootsen vóór phishingcampagnes worden gelanceerd.

Hoe integreert een CTI-platform met SIEM voor defensieoperaties?

CTI-platforms leveren waarde via twee SIEM-integratievormen: IoC-gebaseerde detectie (bekende slechte IP's, domeinen en hashes pushen als bloklijsten en detectieregels) en TTP-gebaseerde detectie (publiceren van MITRE ATT&CK-afgestemde detectielogica). Moderne architecturen gebruiken SOAR-playbooks om CTI-uitvoer automatisch te verwerken en responsworkflows te activeren voor hoog-vertrouwen-meldingen.

Cyberdreigingsintelligentieplatforms voor defensie

Een cyberdreigingsintelligentie (CTI) platform is de software-infrastructuur waarmee een beveiligingsorganisatie dreigingsintelligentie verzamelt, verwerkt, verrijkt, analyseert en ernaar handelt. Voor defensieorganisaties — militaire commando's, defensieministeries, defensieaannemers — is het dreigingsmodel fundamenteel anders dan bij commerciële organisaties. Door staten gesponsorde adversairen, persistente toegangsoperaties, toeleveringsketincompromitteringen en informatieoperaties zijn geen randgevallen; zij zijn de basisdreigingsomgeving.

Een defensieklasse CTI-platform moet worden gebouwd om in deze context te werken: geclassificeerde inlichtingenfeeds verwerken, cyber-indicatoren correleren met signalen en menselijke inlichtingen en integreren met zowel commerciële SIEM-infrastructuur als geclassificeerde operationele netwerken.

Platformarchitectuur: vier verwerkingsfasen

Verzameling. Een CTI-platform verwerkt inlichtingen van meerdere brontypen: commerciële dreigingsfeeds (ISAC-deling, commerciële leveranciers), open-source intelligence (OSINT — Telegram-kanalen, dark-webforums, paste-sites, domeinregistratiegegevens), interne telemetrie (SIEM-logs, eindpuntdetectiemeldingen, netwerkstroomgegevens) en geclassificeerde nationale inlichtingenfeeds waar van toepassing. De verzamellaag normaliseert deze invoer naar een gemeenschappelijk intern formaat en wijst herkomstmetadata (bron, verzameltijd, vertrouwen, classificatieniveau) toe aan elk record.

Normalisatie en verrijking. Ruwe verzamelde gegevens zijn sterk heterogeen. Een IP-adres gerapporteerd als een indicator van compromittering (IoC) door één feed is een string in een CSV. In een andere feed is het een gestructureerde STIX-observatie. De normalisatiefase lost dit op: gestructureerde indicatoren (IP's, domeinen, hashes, URL's, e-mailadressen, CVE's) extraheren uit ongestructureerde bronnen en alles omzetten naar het interne schema van het platform.

Verrijking vergroot genormaliseerde indicatoren met aanvullende context: WHOIS en passieve DNS voor domein/IP-indicatoren; geolocatie; ASN-attributie; historische SIEM-observaties; en relaties met bekende dreigingsactoren of campagnes uit de kennisbasis van het platform. Een rauw IP-adres dat is verrijkt met "gehost in ASN 12345, historisch geassocieerd met APT28 C2-infrastructuur, eerste keer waargenomen 2025-03-14" is een bruikbaar inlichtingenproduct. Hetzelfde IP zonder verrijking is een datapunt.

Analyse en correlatie. De analyselaag identificeert relaties tussen indicatoren en schrijft ze toe aan dreigingsactorprofielen. Dit is waar de kennisgraaf van het platform centraal staat: een grafendatabase (doorgaans Neo4j of een speciaal gebouwde dreigingsgraaf) die relaties opslaat tussen actoren, campagnes, technieken en indicatoren maakt graftraversalvragen mogelijk — "laat me alle infrastructuur zien die is verbonden met dezelfde actor als dit IP, twee stappen verwijderd."

MITRE ATT&CK-raamwerk integratie is standaard in moderne CTI-platforms. Elke waargenomen techniek is gelabeld aan de overeenkomstige ATT&CK-techniek-ID, wat dekkingskloof-analyse mogelijk maakt (welke ATT&CK-technieken worden niet gedekt door onze detectie?) en dreigingsactorprofilering (deze actor gebruikt consistent T1566 — phishing — als initiële toegang, gevolgd door T1053 — geplande taak persistentie).

Distributie. Inlichtingen zijn alleen waardevol wanneer ze de teams bereiken die ernaar kunnen handelen. De distributiefase publiceert inlichtingenproducten in formaten die geschikt zijn voor elke consument: gestructureerde IoC-feeds (STIX/TAXII voor andere CTI-platforms en SIEM-systemen), door mensen leesbare rapporten (opgemaakt voor analisten) en directe SIEM-integraties (IoC-blokken en detectieregels rechtstreeks naar SIEM-regelengines pushen).

STIX en TAXII: de interoperabiliteitslaag

STIX (Structured Threat Information eXpression) is het datamodel voor het weergeven van cyberdreigingsintelligentie — dreigingsactoren, campagnes, indicatoren, aanvalspatronen en de relaties daartussen. TAXII (Trusted Automated eXchange of Intelligence Information) is het transportprotocol voor het uitwisselen van STIX-objecten tussen platforms. Samen maken ze geautomatiseerde, machine-naar-machine inlichtingendeling mogelijk.

Voor defensieorganisaties is STIX/TAXII-implementatie niet optioneel — het is het mechanisme waarmee NATO NCIA, nationale CERT's en vertrouwde partnerorganisaties geclassificeerde en niet-geclassificeerde dreigingsintelligentie delen. Een CTI-platform dat STIX 2.1-bundles niet kan consumeren of produceren, is geïsoleerd van het bredere delingsecosysteem.

Defensiespecifieke dreigingsbronnen

Een commercieel CTI-platform dat vertrouwt op leveranciersfeeds mist de meest operationeel relevante inlichtingen voor defensieorganisaties. Defensiespecifieke bronnen omvatten:

Telegram-bewaking. Sinds 2022 is Telegram een primair operationeel beveiligingskanaal geworden voor staatsgebonden dreigingsactoren, hacktivistische groepen en dreigingsactoren die kinetische operaties ondersteunen. Kanalen kondigen doelen aan vóór aanvallen, plaatsen beweerde inbreuken en coördineren verkenning. Systematische bewaking van relevante kanalen — met entiteitsextractie en kruiscorrelatie tegen bekende actorprofielen — biedt waarschuwingsintelligentie die niet beschikbaar is in commerciële feeds.

Bewaking van dark-webforums. Criminele infrastructuur die door staatsactoren wordt gebruikt (bulletproof hosting, toegangsmakelaars, exploitmarkten) wordt verhandeld op dark-webforums. Het bewaken hiervan op vermeldingen van specifieke organisaties, systemen of referenties geeft vroege waarschuwing voor aanstaande aanvallen.

Domein- en certificaatintelligentie. Door staten gesponsorde actoren registreren domeinen die defensieorganisaties nabootsen voor spear-phishingcampagnes. Certificaattransparantielogs, passieve DNS en bewaking van nieuwe domeinregistraties kunnen deze voorbereidingen detecteren vóór de campagne wordt gelanceerd.

Kernpunt: Dreigingsintelligentieattributie — het toewijzen van een cyberincident of campagne aan een specifieke staatsactor — vereist convergentie over meerdere bewijstypen: TTP's, infrastructuur, doelwitpatronen, timing en waar beschikbaar, signalen en menselijke inlichtingen. Een CTI-platform gebouwd voor defensie moet in staat zijn al deze typen te integreren, niet alleen cyber-indicatoren geïsoleerd.

SIEM-integratiearchitectuur

CTI-platforms leveren waarde voornamelijk via integratie met het SIEM (Security Information and Event Management) systeem, waar detectie en respons plaatsvindt. De integratie neemt twee vormen aan: IoC-gebaseerde detectie (het CTI-platform pusht bekende slechte IP's, domeinen en hashes naar het SIEM als bloklijsten en detectieregels) en TTP-gebaseerde detectie (het CTI-platform publiceert MITRE ATT&CK-afgestemde detectielogica afgeleid van dreigingsactorprofilering).

Moderne architecturen implementeren dit via SOAR (Security Orchestration, Automation and Response) playbooks die automatisch CTI-uitvoer verwerken, deze toepassen op de SIEM-detectiestapel en responsworkflows activeren voor hoog-vertrouwen-meldingen. De SIEM-SOAR-CTI-triade is de operationele ruggengraat van een defensie-SOC (Security Operations Center).

Cyberdreigingsintelligentieplatforms voor defensie

Platformarchitectuur: vier verwerkingsfasen

STIX en TAXII: de interoperabiliteitslaag

Defensiespecifieke dreigingsbronnen

SIEM-integratiearchitectuur

Bespreek uw project

Veelgestelde vragen

Cyberdreigingsintelligentieplatforms voor defensie

Platformarchitectuur: vier verwerkingsfasen

STIX en TAXII: de interoperabiliteitslaag

Defensiespecifieke dreigingsbronnen

SIEM-integratiearchitectuur

Bespreek uw project

Veelgestelde vragen

Gerelateerde artikelen