Platforme de informații despre amenințări cibernetice pentru apărare

O platformă de informații despre amenințări cibernetice (CTI) este infrastructura software prin care o organizație de securitate colectează, procesează, îmbogățește, analizează și acționează pe baza informațiilor despre amenințări. Pentru organizațiile de apărare — comandamente militare, ministere ale apărării, contractori de apărare — modelul de amenințare este fundamental diferit față de organizațiile comerciale. Adversarii sponsorizați de state, operațiunile de acces persistent, compromiterile lanțului de aprovizionare și operațiunile de informare nu sunt cazuri de margine; ele reprezintă mediul de bază al amenințărilor.

O platformă CTI de nivel defensiv trebuie construită pentru a opera în acest context: gestionând fluxuri de informații clasificate, corelând indicatorii cibernetici cu semnalele și informațiile umane și integrându-se atât cu infrastructura SIEM comercială, cât și cu rețelele operaționale clasificate.

Arhitectura platformei: Patru etape de procesare

Colectare. O platformă CTI ingerează informații din mai multe tipuri de surse: fluxuri comerciale de amenințări (partajare ISAC, furnizori comerciali), informații din surse deschise (OSINT — canale Telegram, forumuri dark web, site-uri paste, date de înregistrare a domeniilor), telemetrie internă (jurnale SIEM, alerte de detectare endpoint, date de flux de rețea) și fluxuri naționale de informații clasificate, acolo unde este aplicabil. Stratul de colectare normalizează aceste intrări la un format intern comun și atribuie metadate de proveniență (sursă, timp de colectare, nivel de încredere, nivel de clasificare) fiecărei înregistrări.

Normalizare și îmbogățire. Datele colectate brute sunt extrem de eterogene. O adresă IP raportată ca indicator de compromitere (IoC) de un flux este un șir de caractere într-un CSV. Într-un alt flux, este un Observable STIX structurat. Etapa de normalizare rezolvă această situație: extragând indicatori structurați (IP-uri, domenii, hash-uri, URL-uri, adrese de e-mail, CVE-uri) din surse nestructurate și convertind totul în schema internă a platformei.

Îmbogățirea augmentează indicatorii normalizați cu context suplimentar: WHOIS și DNS pasiv pentru indicatorii de domeniu/IP; geolocalizare; atribuirea ASN; observații istorice SIEM; și relații cu actori de amenințare sau campanii cunoscute din baza de cunoștințe a platformei. O adresă IP brută îmbogățită cu "găzduită în ASN 12345, asociată istoric cu infrastructura C2 a APT28, observată prima dată la 2025-03-14" este un produs de informații acționabil. Același IP fără îmbogățire este un punct de date.

Analiză și corelare. Stratul de analiză identifică relațiile dintre indicatori și le atribuie profilurilor actorilor de amenințare. Acesta este locul unde graful de cunoștințe al platformei este central: o bază de date grafice (de obicei Neo4j sau un graf de amenințări cu scop specific) care stochează relațiile dintre actori, campanii, tehnici și indicatori permite interogări de traversare a grafului — "arată-mi toată infrastructura conectată la același actor ca acest IP, la două salturi distanță."

Integrarea cadrului MITRE ATT&CK este standard în platformele CTI moderne. Fiecare tehnică observată este etichetată cu ID-ul tehnicii ATT&CK corespunzătoare, permițând analiza lacunelor de acoperire (ce tehnici ATT&CK nu sunt acoperite de detectarea noastră?) și profilarea actorilor de amenințare (acest actor folosește consecvent T1566 — phishing — ca acces inițial, urmat de T1053 — persistență prin sarcini planificate).

Distribuție. Informațiile sunt valoroase doar atunci când ajung la echipele care pot acționa pe baza lor. Stratul de distribuție publică produse de informații în formate adecvate pentru fiecare consumator: fluxuri IoC structurate (STIX/TAXII pentru alte platforme CTI și sisteme SIEM), rapoarte lizibile de om (formatate pentru analiști) și integrări directe SIEM (transmiterea blocurilor IoC și a regulilor de detectare direct în motoarele de reguli SIEM).

STIX și TAXII: Stratul de interoperabilitate

STIX (Structured Threat Information eXpression) este modelul de date pentru reprezentarea informațiilor despre amenințări cibernetice — actori de amenințare, campanii, indicatori, tipare de atac și relațiile dintre ele. TAXII (Trusted Automated eXchange of Intelligence Information) este protocolul de transport pentru schimbul de obiecte STIX între platforme. Împreună, permit schimbul automat, mașină-la-mașină, de informații.

Pentru organizațiile de apărare, implementarea STIX/TAXII nu este opțională — este mecanismul prin care NATO NCIA, CERT-urile naționale și organizațiile partenere de încredere partajează informații despre amenințări clasificate și neclasificate. O platformă CTI care nu poate consuma sau produce pachete STIX 2.1 este izolată de ecosistemul mai larg de partajare.

Surse de amenințare specifice apărării

O platformă CTI comercială care se bazează pe fluxuri de furnizori ratează cele mai relevante informații operaționale pentru organizațiile de apărare. Sursele specifice apărării includ:

Monitorizarea Telegram. Din 2022, Telegram a devenit un canal primar de securitate operațională pentru actorii de amenințare aliniați statului, grupuri hacktiviste și actori de amenințare care sprijină operațiunile cinetice. Canalele anunță ținte înaintea atacurilor, postează breșe revendicate și coordonează recunoașterea. Monitorizarea sistematică a canalelor relevante — cu extracție de entități și corelație încrucișată cu profilurile actorilor cunoscuți — oferă informații de avertizare indisponibile în fluxurile comerciale.

Monitorizarea forumurilor dark web. Infrastructura criminală utilizată de actorii statali (găzduire bulletproof, brokeri de acces, piețe de exploit) este comercializată pe forumurile dark web. Monitorizarea acestora pentru mențiuni ale unor organizații, sisteme sau credențiale specifice oferă avertizare timpurie a atacurilor iminente.

Informații despre domenii și certificate. Actorii sponsorizați de state înregistrează domenii care imită organizațiile de apărare pentru campanii de spear-phishing. Jurnalele de transparență a certificatelor, DNS-ul pasiv și monitorizarea înregistrărilor de domenii noi pot detecta aceste pregătiri înainte de lansarea campaniei.

Arhitectura integrării cu SIEM

Platformele CTI livrează valoare în principal prin integrarea cu sistemul SIEM (Security Information and Event Management), unde se realizează detectarea și răspunsul. Integrarea ia două forme: detectare bazată pe IoC (platforma CTI transmite IP-urile, domeniile și hash-urile rău cunoscute către SIEM ca liste de blocare și reguli de detectare) și detectare bazată pe TTP (platforma CTI publică logică de detectare aliniată la MITRE ATT&CK, derivată din profilarea actorilor de amenințare).

Arhitecturile moderne implementează aceasta prin playbook-uri SOAR (Security Orchestration, Automation and Response) care ingerează automat ieșirile CTI, le aplică stivei de detectare SIEM și declanșează fluxuri de lucru de răspuns pentru alertele cu încredere ridicată. Triada SIEM-SOAR-CTI este coloana vertebrală operațională a unui SOC (Security Operations Center) de apărare.