Jak zbudować program cyber threat intelligence dla organizacji rządowych

Autor: Zespół inżynierów Corvus Intelligence · O zespole →

3 czerwca 2026 10 min czytania

Większość agencji rządowych i organizacji obronnych reaguje na cyberzagrożenia w sposób reaktywny: odpowiada na incydenty po fakcie, pasywnie konsumuje porady dotyczące zagrożeń i nie posiada ustrukturyzowanego mechanizmu przewidywania działań przeciwnika przed ich wystąpieniem. Programy cyber threat intelligence (CTI) istnieją po to, aby zmienić tę postawę – by dać zespołom bezpieczeństwa przewagę decyzyjną zamiast wiecznego nadrabiania zaległości. Budowanie takiego programu wewnątrz organizacji rządowej jest trudniejsze niż w środowiskach komercyjnych, z powodów strukturalnych, a nie technicznych.

Ten przewodnik obejmuje pełny cykl życia: dlaczego agencje rządowe mają niższy poziom dojrzałości CTI, jak sekwencjonować budowę przez sześć faz operacyjnych, jakie role i narzędzia są wymagane oraz jakie tryby awaryjne niszczą programy przed ich przyniesienie wartości. Docelowa grupa odbiorców to lider bezpieczeństwa lub kierownik programu, który otrzymał mandat do ustanowienia zdolności CTI i potrzebuje praktycznych ram do realizacji.

Dlaczego organizacje rządowe mają niższy poziom dojrzałości CTI

Trzy ograniczenia strukturalne wyjaśniają lukę między tym, czego agencje rządowe wiedzą, że potrzebują, a tym, co faktycznie zbudowały.

Cykle budżetowe i długie czasy realizacji zamówień. Organizacje komercyjne mogą zawrzeć umowę z dostawcą threat intelligence w ciągu tygodni. Zamówienia rządowe trwają od miesięcy do lat. Zanim zakup platformy CTI zostanie sfinalizowany, krajobraz zagrożeń uległ zmianie, a dokument wymagań jest nieaktualny. Tworzy to silną preferencję dla narzędzi open-source (MISP, OpenCTI), które można wdrożyć bez działania zamówień publicznych, nawet gdy długoterminowy plan obejmuje komercyjne możliwości.

Niedobór talentów i bariery kwalifikacyjne. Wykwalifikowani analitycy CTI – ci, którzy rozumieją TTP przeciwnika, potrafią odczytać zachowanie złośliwego oprogramowania i przekształcić wskaźniki techniczne w oceny strategiczne – są rzadkością i skłaniają się ku sektorowi prywatnemu ze względów wynagrodzeniowych. Programy rządowe, które ich zatrudniają, napotykają na problem wtórny: analitycy pracujący na różnych poziomach klauzuli tajności nie mogą dzielić się wskaźnikami między przedziałami bez zatwierdzonych rozwiązań cross-domain, fragmentując obraz wywiadowczy, który ujednolicony program CTI miał zapewnić.

Brak zdefiniowanego procesu wymagań. Organizacje komercyjne budują programy CTI wokół stosunkowo jasnego modelu zagrożeń: aktorzy motywowani finansowo celujący w dane finansowe, dane uwierzytelniające i zakłócenia operacyjne. Agencje rządowe napotykają bardziej złożony krajobraz zagrożeń – szpiegostwo sponsorowane przez państwo, operacje wpływu, ataki na infrastrukturę krytyczną, ataki na łańcuch dostaw – ale często brakuje im wewnętrznego procesu przekładania tej złożoności na ustrukturyzowane wymagania wywiadowcze napędzające zbieranie i analizę.

Kluczowy wniosek: Najczęstszy tryb awaryjny w rządowych programach CTI to nie problem technologiczny – to problem wymagań. Organizacje, które uruchamiają instancję MISP, subskrybują komercyjne kanały i przyjmują wskaźniki bez zdefiniowanej bazy odbiorców i pętli zwrotnej, zbudowały bazę danych, a nie program wywiadowczy. Proces wymagań musi poprzedzać inwestycję technologiczną.

Model dojrzałości CTI: od reaktywnego do predykcyjnego

Dojrzałość CTI istnieje na continuum. Zrozumienie, gdzie znajduje się Twoja organizacja, jest warunkiem wstępnym ustalenia realistycznych celów dla budowy programu.

Reaktywny (Poziom 1). Brak ustrukturyzowanej zdolności wywiadowczej. Organizacja reaguje na incydenty po ich wystąpieniu, pasywnie konsumuje porady dotyczące zagrożeń od dostawców i krajowych CERT-ów, i nie ma dedykowanego personelu CTI. Wywiad jest doraźny – analitycy pobierają wskaźniki w odpowiedzi na konkretne incydenty, a nie w sposób ciągły. Większość agencji rządowych poza dedykowanymi organizacjami wywiadowczymi lub obronnymi działa na tym poziomie.

Proaktywny (Poziom 2). Istnieją zdefiniowane wymagania wywiadowcze. Źródła zbierania są identyfikowane i monitorowane w regularnym rytmie. Platforma (komercyjna lub open-source) przyjmuje, wzbogaca i przechowuje wskaźniki. Analitycy produkują regularne raporty docierające do zdefiniowanych odbiorców. Reguły wykrywania w SIEM są aktualizowane na podstawie wyników CTI. To jest stan docelowy dla programu CTI pierwszej generacji – osiągalny w ciągu 12 do 18 miesięcy od inicjacji programu przy odpowiednich zasobach.

Predykcyjny (Poziom 3). Program przewiduje działania przeciwnika przed ich wystąpieniem: monitoruje rozwój infrastruktury przeciwnika, wykrywa działania przygotowawcze kampanii i produkuje oceny strategiczne napędzające inwestycje bezpieczeństwa przed atakami. Istnieją zamknięte pętle zwrotne między odbiorcami informacji wywiadowczych a zespołem CTI, umożliwiając ciągłe doskonalenie. Dojrzałość predykcyjna wymaga trwałych inwestycji, doświadczonych analityków i integracji tajnych informacji wywiadowczych, czego większość agencji rządowych nie osiąga w pierwszym cyklu programu.

Faza 1 – definiowanie wymagań wywiadowczych

Wymagania wywiadowcze to pytania, do których program CTI zobowiązuje się odpowiadać w określonym rytmie dla zdefiniowanych odbiorców. Bez nich zbieranie jest niekierowane, a analiza jest oderwana od potrzeby operacyjnej.

Proces definiowania wymagań zaczyna się od mapowania odbiorców: kto w organizacji będzie korzystać z wyników CTI i do jakich decyzji? Analityk SOC potrzebuje wskaźników operacyjnych – aktualnych IoC do aktualizacji reguł wykrywania. CISO potrzebuje strategicznych briefingów o zagrożeniach – jakie grupy aktorów celują w Twój sektor i czy istnieją wiarygodne wskaźniki zbliżających się kampanii? Zespół sieciowy potrzebuje wywiadu priorytetyzującego podatności – które opublikowane CVE są aktywnie eksploatowane w środowisku naturalnym wobec profilu Twojej infrastruktury?

Każdy typ odbiorcy generuje zestaw Priorytetowych Wymagań Wywiadowczych (PIR): konkretnych, możliwych do odpowiedzi pytań, do których program zobowiązuje się odpowiadać. Przykłady z kontekstów rządowych: „Które grupy zagrożeń powiązane z państwem wykazały zamiar i zdolność do celowania w organizacje sektora [agencji] w ciągu ostatnich 90 dni?" lub „Czy istnieją wskaźniki aktywnego rozpoznania naszej publicznej infrastruktury?" PIR definiują zakres, napędzają wybór źródeł zbierania i tworzą odpowiedzialność – analitycy wiedzą, co jest mierzone.

Po zdefiniowaniu PIR mapuj je na aktorów zagrożeń i źródła zbierania. PIR dotyczący aktywności prekursorowej ransomware (brokerzy wstępnego dostępu sprzedający dostęp do sieci rządowych) mapuje się na monitoring forów dark webu i monitoring kanałów Telegram. PIR dotyczący celowania przez aktora państwowego mapuje się na wywiad z rejestracji domen, monitoring przejrzystości certyfikatów i raporty open-source dotyczące konkretnych grup aktorów. To mapowanie definiuje architekturę zbierania.

Faza 2 – identyfikacja i konfiguracja źródeł zbierania

Zbieranie to pierwsza faza operacyjna, która wiąże się z zewnętrznymi narzędziami. Rządowe programy CTI zazwyczaj czerpią z pięciu kategorii źródeł:

OSINT (Wywiad ze źródeł otwartych). Publicznie dostępne raporty o zagrożeniach, ujawnienia podatności, raporty analizy złośliwego oprogramowania oraz dane reputacyjne domen/IP. Najbardziej dostępna i najtańsza kategoria. Jakość znacznie się różni – wyselekcjonowany OSINT wymaga osądu analityka do odróżnienia sygnału od szumu. Narzędzia w tej kategorii obejmują agregatory threat intelligence, monitory dzienników przejrzystości certyfikatów i platformy pasywnego DNS.

Monitoring Telegram i platform społecznościowych. Od 2022 roku Telegram stał się głównym kanałem operacyjnym dla powiązanych z państwem aktorów zagrożeń, grup haktywistów i aktorów kryminalnych wspierających operacje kinetyczne. Kanały ogłaszają decyzje o celowaniu przed atakami, publikują twierdzenia o naruszeniach i koordynują rozpoznanie. Systematyczny monitoring z automatyczną ekstrakcją podmiotów – identyfikujący wymieniane organizacje, zakresy IP i metody ataków – zapewnia wywiad ostrzegawczy niedostępny przez tradycyjne kanały. Corvus.Sense automatyzuje to zbieranie, stosując klasyfikację opartą na LLM do treści Telegram na dużą skalę, aby wydobyć operacyjnie istotne zagrożenia dla organizacji rządowych.

Monitoring dark webu. Fora kryminalne, rynki brokerów dostępu i strony paste, gdzie handluje się skradzionymi poświadczeniami, listingami wstępnego dostępu i wynikami rozpoznania. Monitoring wzmianek o konkretnych organizacjach, zakresach IP lub domenach poświadczeń zapewnia wczesne ostrzeganie o zbliżających się atakach. Wymaga to dedykowanych narzędzi i wiedzy analitycznej – monitoring dark webu bez znajomości języka i kontekstu operacyjnego produkuje wysokie wskaźniki fałszywych alarmów.

ISAC i zaufane społeczności wymiany. Centra Wymiany i Analizy Informacji (ISAC) dla sektora rządowego, obronnego i infrastruktury krytycznej zapewniają wyselekcjonowane informacje wywiadowcze o zagrożeniach od organizacji partnerskich. Członkostwo w ISAC daje dostęp do wskaźników i kontekstu specyficznych dla sektora, których komercyjne kanały nie niosą. Dla organizacji obronnych NATO NCIA i krajowe porozumienia o wymianie z CERT są odpowiednikiem.

Komercyjne kanały threat intelligence. Dostawcy tacy jak Recorded Future, Mandiant i Flashpoint zapewniają wyselekcjonowane, wzbogacone analitycznie produkty wywiadowcze obejmujące gotowe informacje wywiadowcze, monitoring dark webu i priorytetyzację podatności. Komercyjne kanały są drogie – licencjonowanie kosztuje od 50 000 do 500 000 USD rocznie w zależności od zakresu – ale są klasy produkcyjnej i wymagają mniej nakładów analitycznych niż surowe zbieranie OSINT. Większość programów rządowych z ograniczeniami budżetowymi zaczyna od infrastruktury open-source i selektywnie dodaje komercyjne kanały w miarę dojrzewania programu.

Faza 3 – budowa potoku przetwarzania

Surowo zebrane dane to nie wywiad. Potok przetwarzania konwertuje wyniki zbierania w ustrukturyzowane, wzbogacone, zdeduplikowane wskaźniki, na których analitycy mogą działać.

Potok ma trzy komponenty funkcjonalne. Ingestion obsługuje mechanikę pobierania danych z każdego typu źródła według zdefiniowanego harmonogramu: polling API dla komercyjnych kanałów, RSS i scraping dla źródeł OSINT, pull STIX/TAXII dla wymiany ISAC i integracja webhook lub API dla wewnętrznej telemetrii z SIEM. Każde źródło wymaga dedykowanego adaptera, który normalizuje wyniki do wewnętrznego schematu wskaźników platformy.

Wzbogacanie uzupełnia każdy przyjęty wskaźnik o dodatkowy kontekst: WHOIS i pasywny DNS dla wskaźników domen i IP, geolokalizacja i atrybucja ASN, historyczne obserwacje SIEM i relacje z profilami znanych aktorów zagrożeń. Adres IP wzbogacony o informację „hostowany w ASN powiązanym z historyczną infrastrukturą APT, pierwszy raz widziany w kampaniach z 2025 roku celujących w organizacje [sektora]" jest wykonalny. Ten sam IP bez wzbogacenia to punkt danych. Potoki wzbogacania muszą być zaprojektowane z uwzględnieniem opóźnień – wolne wzbogacanie opóźnia wykonalne wyniki. Agresywnie buforuj wyniki wzbogacania i odświeżaj asynchronicznie.

Deduplikacja zapobiega wielokrotnemu przetwarzaniu i przechowywaniu tego samego wskaźnika, gdy napływa z różnych źródeł. Bez deduplikacji intensywne środowisko kanałów tworzy bazy danych wskaźników z milionami redundantnych wpisów, które obniżają wydajność zapytań i zaufanie analityków. Deduplikacja musi działać zarówno na poziomie wskaźnika (ten sam IP z dwóch źródeł), jak i na poziomie semantycznym (ta sama domena z końcową kropką i bez).

Kluczowy wniosek: Wybór platformy na tym etapie jest ważny, ale nie nieodwracalny. MISP (Malware Information Sharing Platform) i OpenCTI to obie produkcyjnej klasy platformy open-source wdrożone przez krajowe CERT-y i organizacje obronne na całym świecie. Obie obsługują STIX 2.1 i TAXII 2.1. OpenCTI oferuje nowocześniejszy model danych skoncentrowany na grafach i bogatsze wsparcie przepływów pracy analitycznych; MISP ma większą społeczność wymiany i szerszą integrację ISAC. Zacznij od tej, której używają Twoi partnerzy – interoperacyjność z partnerami wymiany jest ważniejsza niż wewnętrzne różnice funkcjonalne.

Faza 4 – ustanawianie przepływów pracy analityków

Program wywiadowczy bez przepływów pracy analityków to repozytorium danych. Przepływy pracy analityków definiują powtarzalne procesy, przez które surowe zbieranie staje się gotowymi produktami wywiadowczymi docierającymi do odbiorców.

Triage. Nie wszystkie przychodzące wskaźniki wymagają uwagi analityka. Triage to proces priorytetyzacji kolejki: automatyczne zamykanie wskaźników o niskiej pewności i niskiej istotności; kierowanie alertów wysokiego priorytetu (nowe IoC powiązane ze śledzonymi grupami aktorów celującymi w Twój sektor) do natychmiastowego przeglądu; i grupowanie rutynowych prac wzbogacania dla zaplanowanych okien przetwarzania. Kryteria triage muszą być wyraźnie zdefiniowane – bez nich analitycy priorytetyzują według wolumenu, a nie według istotności dla PIR.

Analiza. Praca analityków przybiera dwie formy: analiza taktyczna (ocena konkretnego wskaźnika lub alertu – czy ten IoC jest wiarygodny, jaki jest jego kontekst, czy uzasadnia aktualizację reguły wykrywania?) i analiza strategiczna (produkowanie ocen zamiaru, zdolności i celowania aktorów zagrożeń informujących decyzje bezpieczeństwa na poziomie kierownictwa). Większość programów rządowych zaczyna od analizy taktycznej jako głównego wyniku i buduje w kierunku ocen strategicznych w miarę jak zespół zaznajamia się z krajobrazem zagrożeń.

Rozpowszechnianie. Produkty wywiadowcze muszą docierać do odbiorców w formatach, na których mogą działać, i przez kanały, które monitorują. Wskaźniki operacyjne przepływają do SIEM jako aktualizacje reguł wykrywania. Tygodniowe podsumowania zagrożeń trafiają do CISO i kierownictwa bezpieczeństwa jako ustrukturyzowane raporty. Alerty wysokiego priorytetu wywołują bezpośrednie powiadomienia dla zespołu reagowania na incydenty. Oceny strategiczne są dystrybuowane jako dokumenty briefingowe lub formalne produkty wywiadowcze. Awarie rozpowszechniania – gdzie dobra analiza siedzi nieprzeczytana w portalu, który nikt nie odwiedza – są równie powszechne w programach rządowych jak awarie zbierania.

Faza 5 – integracja z SIEM i SOAR

Wartość programu CTI realizuje się przede wszystkim poprzez integrację ze stosem operacji bezpieczeństwa. Dwa główne punkty integracji to platformy SIEM i SOAR, gdzie odbywa się wykrywanie i reagowanie.

Integracja SIEM przybiera dwie formy. Integracja oparta na IoC przekazuje znane złośliwe wskaźniki (adresy IP, domeny, skróty plików, URL) z platformy CTI do SIEM jako tabele przeglądowe lub reguły wykrywania list blokad. Gdy zdarzenie sieciowe pasuje do znanego złośliwego IP, SIEM uruchamia alert. To jest integracja o najwyższej częstotliwości i najniższym nakładzie analityków. Integracja oparta na TTP jest bardziej zaawansowana: platforma CTI publikuje logikę wykrywania zgodną z MITRE ATT&CK wywodzącą się z profilowania aktorów zagrożeń, a SIEM implementuje reguły wykrywania identyfikujące wzorce behawioralne śledzonych aktorów, a nie konkretne wskaźniki (które ciągle rotują).

Integracja SOAR automatyzuje reagowanie na alerty CTI o wysokiej pewności: gdy platforma CTI identyfikuje nową domenę C2 powiązaną ze śledzoną grupą aktorów, playbook SOAR automatycznie tworzy regułę blokującą, otwiera ticket i powiadamia odpowiedniego analityka. Automatyzacja musi być starannie dostrojona – zmęczenie alertami z głośnych playbooków SOAR to szybszy sposób na utratę zaufania analityków niż jakikolwiek inny tryb awaryjny w stosie.

Faza 6 – mierzenie skuteczności i zamykanie pętli zwrotnej

Program CTI, który nie mierzy własnej skuteczności, nie może się poprawiać. Pomiar wymaga dwóch komponentów: wskaźników wewnętrznych i informacji zwrotnej od odbiorców.

Wskaźniki wewnętrzne obejmują zdrowie zbierania (czas działania źródeł, wolumen wskaźników, opóźnienie wzbogacania), produktywność analityków (przetwarzane wskaźniki, produkowane raporty, aktualizowane reguły wykrywania) i terminowość (czas od pierwszego wykrycia wskaźnika do reguły wykrywania w produkcji). Te wskaźniki są konieczne, ale niewystarczające – program może osiągnąć je wszystkie i nadal nie produkować żadnych decyzji.

Informacja zwrotna od odbiorców zamyka pętlę między produkcją wywiadu a wpływem operacyjnym. Po każdym produkcie wywiadowczym – briefingu o zagrożeniach, partii reguł wykrywania, ocenie strategicznej – zbieraj ustrukturyzowaną informację zwrotną od odbiorcy: czy wywiad był dokładny? Czy był terminowy? Czy wspierał decyzję? Czego brakowało? Informacja zwrotna docierająca do analityków napędza priorytetyzację zbierania i pomaga im zrozumieć, czy ich praca jest operacyjnie istotna. Bez mechanizmu informacji zwrotnej programy optymalizują się pod kątem wolumenu produkcji, a nie wpływu.

Kluczowe role w rządowym programie CTI

Minimalny wykonalny program wymaga co najmniej dwóch ról. Analityk CTI obsługuje codzienne zbieranie, triage, wzbogacanie i raportowanie taktyczne. Potrzebuje biegłości w analizie wskaźników, znajomości frameworka MITRE ATT&CK i praktycznej wiedzy o stosie narzędzi. Kierownik programu lub lider wywiadu jest właścicielem procesu wymagań, zarządza relacjami z odbiorcami, koordynuje z kierownictwem i zapewnia funkcjonowanie pętli zwrotnej. W programie dwuosobowym role te często znacznie się nakładają.

Dojrzałe programy dodają wyspecjalizowane role: analityk złośliwego oprogramowania, który może odwrócić inżynierię próbek i produkować wskaźniki techniczne od podstaw; threat hunter, który używa CTI do napędzania proaktywnych zapytań do SIEM szukających wskaźników kompromitacji, które nie wyzwoliły jeszcze alertów; oraz analityk strategiczny, który produkuje oceny zamiaru aktorów zagrożeń i długoterminowych trendów celowania na poziomie kierownictwa. Te role są aspiracyjne dla większości programów rządowych pierwszej generacji – reprezentują model obsady zdolności na poziomie dojrzałości Poziomu 2 do Poziomu 3.

Kategorie narzędzi do oceny

Krajobraz narzędzi CTI obejmuje cztery kategorie funkcjonalne. Platforma threat intelligence (MISP, OpenCTI, ThreatConnect, Anomali) obsługuje przechowywanie wskaźników, wzbogacanie, przepływy pracy analityków i wymianę STIX/TAXII. Warstwa narzędzi zbierania obsługuje automatyczne przyjmowanie z konkretnych typów źródeł: narzędzia do monitoringu Telegram (takie jak Corvus.Sense), usługi monitoringu dark webu i konektory komercyjnych kanałów. SIEM (Splunk, Microsoft Sentinel, IBM QRadar) to warstwa wykrywania i alarmowania, gdzie wyniki CTI są konsumowane operacyjnie. Platforma SOAR (Palo Alto XSOAR, Splunk SOAR) automatyzuje przepływy pracy reagowania napędzane przez alerty wywodzące się z CTI.

Oceniaj narzędzia według trzech kryteriów: czy integruje się z Twoim istniejącym stosem SIEM bez niestandardowej inżynierii; czy obsługuje STIX 2.1 do wymiany z organizacjami partnerskimi; i czy Twój obecny zespół analityków może nim obsługiwać bez specjalistycznego wsparcia dostawcy. Ostatnie kryterium eliminuje zaskakującą liczbę narzędzi klasy korporacyjnej z rozważań w programach rządowych z ograniczonym personelem technicznym.

Jak zdefiniować wymagania wywiadowcze w 5 krokach

Poniższy proces jest zaprojektowany do wykonania w ciągu jednego dwutygodniowego sprintu przez lidera bezpieczeństwa z dostępem do kluczowych interesariuszy organizacyjnych.

Zidentyfikuj wszystkich odbiorców informacji wywiadowczych. Zmapuj każdą jednostkę, która będzie korzystać z wyników CTI: SOC, biuro CISO, zespoły sieciowe/endpoint, zamówienia publiczne (ryzyko dostawców), prawne i compliance. Każdy typ odbiorcy ma odrębne wymagania napędzające różne działania zbierania.
Przeprowadź warsztaty dotyczące priorytetowych wymagań wywiadowczych. Przeprowadź ustrukturyzowane sesje z każdą grupą odbiorców. Zadaj pytanie: jakie decyzje musisz podejmować i jaka luka informacyjna uniemożliwia Ci ich pewne podjęcie? Przetłumacz luki na konkretne, możliwe do odpowiedzi pytania PIR.
Mapuj PIR na aktorów zagrożeń i źródła zbierania. Dla każdego PIR zidentyfikuj, którzy aktorzy zagrożeń są istotni dla Twojego sektora i geografii, następnie zidentyfikuj, które źródła zbierania mogą odpowiedzieć na pytanie. To mapowanie definiuje Twoją minimalną wykonalną architekturę zbierania.
Przypisz właścicieli i rytm raportowania. Każdy PIR potrzebuje odpowiedzialnego analityka, zdefiniowanego rytmu dostarczania (codziennie, tygodniowo, miesięcznie) i kanału rozpowszechniania. Bez wyraźnej własności PIR pozostają aspiracyjne, a nie operacyjne.
Ustanów pętlę zwrotną. Po dostarczeniu każdego produktu wywiadowczego zbieraj ustrukturyzowaną informację zwrotną: czy była dokładna, terminowa i wykonalna? Czy wspierała decyzję? Włącz informację zwrotną do następnego cyklu planowania zbierania.

Typowe błędy przy budowie rządowych programów CTI

Zbieranie bez konsumowania. Najczęstszy tryb awaryjny. Zespoły uruchamiają instancję MISP, przyjmują 50 komercyjnych kanałów i gromadzą miliony wskaźników, których żaden analityk nie czyta i żadna reguła wykrywania nie odwołuje. Przyczyna źródłowa to prawie zawsze brakujący proces wymagań – nikt nie zdefiniował, na jakie pytania program miał odpowiadać, więc wyniki nie mają odbiorcy.

Brak pętli zwrotnej. Programy wywiadowcze, które nie pozyskują informacji zwrotnej od odbiorców, tracą kalibrację w ciągu jednego cyklu raportowania. Analitycy optymalizują się pod kątem wolumenu wyników, ponieważ jest to mierzalne; bez informacji zwrotnej, czy te wyniki wspierały decyzje, nie mają sygnału do poprawy jakości. Pętle zwrotne są strukturalne, a nie kulturowe – muszą być wbudowane w rytm operacyjny programu w sposób jawny.

Nadmierne budowanie Fazy 3 przed ukończeniem Fazy 1. Kuszące jest inwestowanie w zaawansowany potok przetwarzania przed ukończeniem procesu wymagań. Wynikiem jest technicznie imponujący system, który zbiera niewłaściwe rzeczy i produkuje wyniki, których nikt nie używa. Poświęć pierwszy miesiąc na wymagania, a nie na narzędzia.

Traktowanie CTI jako problemu zespołu bezpieczeństwa. Programy CTI ograniczone wyłącznie do zespołu bezpieczeństwa produkują wywiad operacyjny i pomijają strategicznych odbiorców – zamówienia publiczne, prawnych, kierownictwo – którzy potrzebują kontekstu zagrożeń dla decyzji, których zespół bezpieczeństwa nie może podejmować samodzielnie. Budowanie relacji z odbiorcami poza obwodem bezpieczeństwa jest funkcją zarządzania programem, a nie techniczną.

Powiązane artykuły: dotyczące architektury technicznej platformy CTI po ustanowieniu fundamentów programu, zob. Platformy cyber threat intelligence dla obronności. Dotyczące szerszego stosu monitoringu OSINT zasilającego zbieranie rządowego CTI, powiązany artykuł omawia wybór źródeł i narzędzi szczegółowo. Organizacje budujące stronę wykrywania powinny również przejrzeć integrację SIEM/SOAR dla środowisk wojskowych.

Omów swój program CTI

Budujemy zautomatyzowane systemy zbierania i przetwarzania threat intelligence dla organizacji obronnych i rządowych — od monitoringu Telegram po potoki integracji z SIEM.

Corvus.Sense → Umów briefing

Analiza przygotowana przez inżynierów Corvus Intelligence tworzących oprogramowanie o znaczeniu krytycznym dla organizacji obronnych i rządowych. Dowiedz się więcej o naszym zespole →

Często zadawane pytania

Ile kosztuje zbudowanie rządowego programu CTI?

Minimalny wykonalny program CTI — jeden analityk, jedna platforma open-source (MISP lub OpenCTI), wyselekcjonowane kanały OSINT i podstawowa integracja z SIEM — można uruchomić za mniej niż 150 000 USD rocznie łącznie z personelem. Dojrzała zdolność z licencjonowaniem komercyjnych kanałów, dedykowanymi analitykami, automatycznym narzędziem do zbierania danych i pełną integracją SIEM/SOAR zazwyczaj kosztuje od 500 000 do 1,5 miliona USD rocznie. Budżet jest najczęstszym ograniczeniem w sektorze rządowym, dlatego zalecane jest podejście fazowe — zaczynając od narzędzi open-source i jednego zdefiniowanego przypadku użycia.

Ilu analityków potrzebuje rządowy program CTI?

Minimalna funkcja CTI wymaga co najmniej dwóch analityków w celu zapewnienia ciągłości (pokrycie podczas urlopów, chorób i rotacji). W praktyce program obsługujący jedną agencję lub jednostkę dowodzenia może skutecznie działać z dwoma do czterech analitykami, jeśli zbieranie danych jest zautomatyzowane i są oni wspierani przez narzędzia obsługujące ingestion, wzbogacanie i deduplikację. Programy obejmujące wiele organizacji lub obsługujące tajne informacje wywiadowcze zazwyczaj wymagają od sześciu do dziesięciu analityków w rolach zbierania, analizy i rozpowszechniania.

Czy rządowy program CTI powinien korzystać z narzędzi open-source czy komercyjnych?

Platformy open-source — MISP i OpenCTI — są produkcyjnej klasy, szeroko wdrażane w krajowych CERT-ach i organizacjach obronnych, i zapewniają pełne wsparcie STIX/TAXII. Są one zalecanym punktem wyjścia dla programów rządowych, które nie mogą uzasadnić licencjonowania komercyjnego w pierwszym roku. Narzędzia komercyjne (Recorded Future, Mandiant Advantage, Flashpoint) dodają portale badawcze klasy analitycznej, wyselekcjonowane gotowe informacje wywiadowcze i pokrycie dark webu, których narzędzia open-source nie replikują. Praktyczną odpowiedzią dla większości programów rządowych jest infrastruktura open-source z selektywnym subskrybowaniem komercyjnych kanałów na konkretne luki w zbieraniu danych.

Co to jest model dojrzałości CTI i gdzie plasuje się większość agencji rządowych?

Model dojrzałości CTI opisuje postęp od reaktywnego (brak ustrukturyzowanej zdolności wywiadowczej, reagowanie na incydenty po fakcie) przez proaktywny (ustrukturyzowane zbieranie danych, zdefiniowane wymagania, zintegrowane z wykrywaniem) do predykcyjnego (przewidywanie działań przeciwnika przed ich wystąpieniem, zamknięte pętle zwrotne, wywiad kierujący decyzjami na poziomie strategicznym). Większość agencji rządowych poza dedykowanymi organizacjami wywiadowczymi lub obronnymi działa na poziomie reaktywnym lub wczesnym proaktywnym — konsumują informacje wywiadowcze o zagrożeniach pasywnie poprzez porady dostawców i alerty CERT, ale nie posiadają własnego ustrukturyzowanego procesu wymagań, zbierania czy rozpowszechniania.

Jaki jest największy błąd organizacji rządowych przy uruchamianiu programu CTI?

Zbieranie bez konsumowania. Łatwo jest uruchomić kanały, przyjmować wskaźniki i wypełniać bazę danych. Wadą jest to, że nikt nie czyta wyników, reguły wykrywania nigdy nie są aktualizowane, a program nie podejmuje żadnych decyzji. Przyczyna źródłowa jest prawie zawsze taka sama: wymagania wywiadowcze nigdy nie zostały zdefiniowane, więc analitycy nie wiedzą, co zbierać, a konsumenci nie wiedzą, o co prosić. Pętla zwrotna — gdzie konsumenci informują zespół CTI, czy wywiad był dokładny i wykonalny — nigdy nie zostaje ustanowiona. Najpierw napraw proces wymagań, potem buduj zbieranie.