Platforma analizy zagrożeń cybernetycznych (CTI) to infrastruktura oprogramowania, przez którą organizacja bezpieczeństwa zbiera, przetwarza, wzbogaca, analizuje i reaguje na informacje wywiadowcze o zagrożeniach. Dla organizacji obronnych — dowództw wojskowych, ministerstw obrony, wykonawców obronnych — model zagrożeń jest zasadniczo różny od organizacji komercyjnych. Sponsorowane przez państwo podmioty zagrożeń, operacje trwałego dostępu, kompromitacje łańcucha dostaw i operacje informacyjne to nie przypadki brzegowe; to bazowe środowisko zagrożeń.

Platforma CTI klasy obronnej musi być zbudowana do działania w tym kontekście: obsługi niejawnych kanałów wywiadowczych, korelacji wskaźników cybernetycznych z danymi sygnałowymi i osobowymi, oraz integracji zarówno z komercyjną infrastrukturą SIEM, jak i z niejawnymi sieciami operacyjnymi.

Architektura platformy: cztery etapy przetwarzania

Zbieranie. Platforma CTI pozyskuje informacje wywiadowcze z wielu typów źródeł: komercyjne kanały zagrożeń (wymiana ISAC, dostawcy komercyjni), wywiad ze źródeł otwartych (OSINT — kanały Telegram, fora darkweb, strony paste, dane rejestracji domen), wewnętrzna telemetria (dzienniki SIEM, alerty wykrywania na endpoint, dane przepływu sieciowego) i niejawne krajowe kanały wywiadowcze tam, gdzie jest to możliwe. Warstwa zbierania normalizuje te dane wejściowe do wspólnego formatu wewnętrznego i przypisuje metadane proweniencji (źródło, czas zbierania, pewność, poziom klasyfikacji) do każdego rekordu.

Normalizacja i wzbogacanie. Surowe zebrane dane są wysoce heterogeniczne. Adres IP zgłoszony jako wskaźnik kompromitacji (IoC) przez jeden kanał to ciąg znaków w CSV. W innym kanale jest to ustrukturyzowany STIX Observable. Etap normalizacji to rozwiązuje: wyodrębniając ustrukturyzowane wskaźniki (IP, domeny, skróty, URL, adresy e-mail, CVE) ze źródeł nieustrukturyzowanych i konwertując wszystko do wewnętrznego schematu platformy.

Wzbogacanie uzupełnia znormalizowane wskaźniki o dodatkowy kontekst: WHOIS i pasywny DNS dla wskaźników domen/IP; geolokalizacja; atrybucja ASN; historyczne obserwacje SIEM; oraz relacje ze znanych podmiotów zagrożeń lub kampanii z bazy wiedzy platformy. Surowy adres IP wzbogacony o "hostowany w ASN 12345, historycznie powiązany z infrastrukturą C2 APT28, po raz pierwszy obserwowany 2025-03-14" to wykonalny produkt wywiadowczy. Ten sam IP bez wzbogacenia to tylko punkt danych.

Analiza i korelacja. Warstwa analityczna identyfikuje relacje między wskaźnikami i przypisuje je do profili podmiotów zagrożeń. Tu centralny jest graf wiedzy platformy: baza danych grafów (zazwyczaj Neo4j lub dedykowany graf zagrożeń) przechowująca relacje między aktorami, kampaniami, technikami i wskaźnikami umożliwia zapytania przeszukiwania grafów — "pokaż mi całą infrastrukturę połączoną z tym samym aktorem co ten IP, dwa skoki dalej."

Integracja frameworku MITRE ATT&CK jest standardem w nowoczesnych platformach CTI. Każda obserwowana technika jest oznaczana odpowiednim identyfikatorem techniki ATT&CK, umożliwiając analizę luk pokrycia (które techniki ATT&CK nie są adresowane przez nasze wykrywanie?) i profilowanie podmiotów zagrożeń (ten aktor konsekwentnie używa T1566 — phishing — jako początkowego dostępu, następnie T1053 — zaplanowane zadanie do persistencji).

Dystrybucja. Informacje wywiadowcze mają wartość tylko wtedy, gdy docierają do zespołów, które mogą na nie reagować. Warstwa dystrybucji publikuje produkty wywiadowcze w formatach odpowiednich dla każdego odbiorcy: ustrukturyzowane kanały IoC (STIX/TAXII dla innych platform CTI i systemów SIEM), raporty czytelne dla człowieka (sformatowane dla analityków) i bezpośrednie integracje SIEM (bezpośrednie wysyłanie bloków IoC i reguł wykrywania do silników reguł SIEM).

STIX i TAXII: warstwa interoperacyjności

STIX (Structured Threat Information eXpression) to model danych do reprezentowania analizy zagrożeń cybernetycznych — podmiotów zagrożeń, kampanii, wskaźników, wzorców ataków i relacji między nimi. TAXII (Trusted Automated eXchange of Intelligence Information) to protokół transportowy do wymiany obiektów STIX między platformami. Razem umożliwiają automatyczną, maszynową wymianę informacji wywiadowczych.

Dla organizacji obronnych implementacja STIX/TAXII nie jest opcjonalna — to mechanizm, przez który NATO NCIA, krajowe CERT i zaufane organizacje partnerskie wymieniają niejawne i jawne informacje wywiadowcze o zagrożeniach. Platforma CTI, która nie może konsumować ani produkować pakietów STIX 2.1, jest izolowana od szerszego ekosystemu wymiany.

Źródła zagrożeń specyficzne dla obronności

Komercyjna platforma CTI polegająca na kanałach dostawców pomija najbardziej operacyjnie istotne informacje wywiadowcze dla organizacji obronnych. Źródła specyficzne dla obronności obejmują:

Monitoring Telegram. Od 2022 roku Telegram stał się głównym kanałem bezpieczeństwa operacyjnego dla podmiotów zagrożeń powiązanych z państwem, grup haktywistycznych i podmiotów zagrożeń wspierających operacje kinetyczne. Kanały ogłaszają cele przed atakami, publikują twierdzenia o włamaniach i koordynują rozpoznanie. Systematyczny monitoring odpowiednich kanałów — z ekstrakcją encji i korelacją krzyżową z profilami znanych aktorów — zapewnia informacje ostrzegawcze niedostępne w komercyjnych kanałach.

Monitoring forów darkweb. Infrastruktura kryminalna używana przez podmioty państwowe (hosting kuloodporny, brokerzy dostępu, rynki exploitów) jest handlowana na forach darkweb. Monitorowanie tych forów pod kątem wzmianek o konkretnych organizacjach, systemach lub danych uwierzytelniających zapewnia wczesne ostrzeżenie przed nadchodzącymi atakami.

Wywiad z domen i certyfikatów. Podmioty sponsorowane przez państwo rejestrują domeny imitujące organizacje obronne na potrzeby kampanii spear-phishingowych. Dzienniki przejrzystości certyfikatów, pasywny DNS i monitoring nowych rejestracji domen mogą wykryć te przygotowania przed uruchomieniem kampanii.

Kluczowy wniosek: Atrybucja informacji wywiadowczych o zagrożeniach — przypisanie incydentu cybernetycznego lub kampanii do konkretnego aktora państwowego — wymaga zbieżności wielu typów dowodów: TTP, infrastruktura, wzorce celowania, timing i tam gdzie jest dostępny, wywiad sygnałowy i osobowy. Platforma CTI zbudowana dla obronności musi być zdolna do integrowania wszystkich tych danych, nie tylko wskaźników cybernetycznych w izolacji.

Architektura integracji SIEM

Platformy CTI dostarczają wartości przede wszystkim przez integrację z systemem SIEM (Security Information and Event Management), gdzie następuje wykrywanie i reagowanie. Integracja przyjmuje dwie formy: wykrywanie oparte na IoC (platforma CTI wypycha znane złośliwe IP, domeny i skróty do SIEM jako listy blokowania i reguły wykrywania) i wykrywanie oparte na TTP (platforma CTI publikuje logikę wykrywania zgodną z MITRE ATT&CK wyprowadzoną z profilowania podmiotów zagrożeń).

Nowoczesne architektury implementują to przez playbooki SOAR (Security Orchestration, Automation and Response), które automatycznie pozyskują dane wyjściowe CTI, stosują je do stosu wykrywania SIEM i wyzwalają przepływy pracy reagowania dla alertów o wysokiej pewności. Triada SIEM-SOAR-CTI to operacyjny kręgosłup obronnego SOC (Security Operations Center).