Оборонна кібербезпека — це корпоративна кібербезпека з трьома множниками: державні актори-противники, мережева топологія класифікованих анклавів і зчеплення з операційними технологіями. Платформи, що працюють у цьому контексті, будуються від моделі загроз: активи каталогізовані за класифікацією та критичністю, розвідка загроз тече через STIX/TAXII-конвеєри, виявлення та реагування шаруються згори. Платформи, що провалюються, були побудовані шляхом ребрендингу комерційного безпекового ПЗ із оборонним ярликом. Ця серія з чотирьох частин крок за кроком показує, як зробити це правильно. Частина 1 охоплює фундамент.

Архітектурні рамки — в Повному посібнику з оборонної кібербезпеки. Серія побудови C2 в Побудова C2-системи з нуля — це платформа, яку цей кіберстек захищає; серія сумісності НАТО в Покрокова реалізація сумісності НАТО задає коаліційний контекст обміну даними.

Крок 1: Побудуйте явну модель загроз

Оборонна кібербезпека, що не починається з явної моделі загроз, — це оборонна кібербезпека, що захищає від вигадки. Модель загроз документує, від кого платформа захищає, що ці противники можуть, і чого вони хочуть. Кожне наступне архітектурне рішення посилається на модель.

Компоненти моделі загроз оборонного рівня:

  • Загрозливі актори. Державні актори-противники (з названими країнами-атрибуціями, де оперативний контекст це підтримує), державно-афілійовані групи, кримінальні актори, інсайдери, вектори компрометації ланцюга постачання. Кожен актор має профілі мотиву, спроможності та терпіння.
  • Тактики противника. Мапування MITRE ATT&CK — це спільна мова; узгоджуйте з ним зі спринту першого. Конкретні TTP (тактики, техніки, процедури), які платформа очікує.
  • Цілі противника. Розвідка, персистентність, латеральне переміщення, ексфільтрація даних, оперативне порушення, кінетична підготовка. Різні цілі вимагають різних оборонних позицій.
  • Поверхня атаки. Точки мережевого входу, залежності ланцюга постачання, поверхні, звернені до людей (фішинг, соціальна інженерія), інтерфейси операційних технологій.
  • Припущені спроможності противника. Експлуатація zero-day, кастомно-інструментовані імпланти, спроможність перехоплення сигналів, толерантність до часу перебування. Оборонна інженерія платформи масштабується під ці спроможності, а не до рівня комерційно-кримінального.
  • Загрози поза обсягом. Явно перераховані: фізична безпека дата-центру, електромагнітна безпека поза стандартними практиками, загрози, що обробляються іншими частинами безпекової архітектури. Окреслення обсягу запобігає сповзанню в нескінченний захист.

Модель загроз — живий документ, версіонований у репозиторії поряд із вихідним кодом, переглядається безпековими та інженерними керівниками. Це закупівельний артефакт, який експерти з акредитації запитують першим.

Крок 2: Інвентар активів із класифікацією та критичністю

Кіберстек захищає конкретні активи. Каталогізація — справа нудна та визначальна: програми, що пропускають інвентар активів, захищаються від не того противника та не тієї поверхні атаки.

Каталог активів фіксує для кожного активу:

  • Ідентифікатор активу та дружня назва. Стабільні, читабельні для людини, відстежувані через безпековий інструментарій.
  • Тип активу. Система, база даних, мережевий сегмент, прикладний сервіс, ваги моделі, тренувальний набір даних, контролер операційних технологій.
  • Рівень класифікації. NATO RESTRICTED, NATO SECRET, COSMIC TOP SECRET, національні еквіваленти. Рівень формує все, що йде далі.
  • Компартменти та releasability. За конвенціями STANAG 4774 (див. Частину 3 серії сумісності НАТО).
  • Ярус критичності. Критичний для місії, суттєвий для місії, підтримуючий місію, адміністративний. Різні яруси виправдовують різні оборонні позиції.
  • Власність. Організація, відповідальна за експлуатацію та безпеку активу.
  • Мережевий анклав. На якій класифікованій або некласифікованій мережі актив працює.
  • Залежності. Від яких інших активів цей залежить; що залежить від нього.

Каталог автоматизований, де можливо (інтеграція CMDB, сканування виявлення, де дозволено), та куратується там, де автоматизація не дотягує (активи операційних технологій часто потребують ручної каталогізації). Живий документ, версіонований, фундамент для всього, що йде далі.

Крок 3: Запустіть CTI-конвеєр

Кіберрозвідка загроз — це шар, що робить виявлення осмисленим. Необроблені індикатори надходять, контекстуалізовані дані про загрози проходять, дієва розвідка виходить до інструментарію виявлення та реагування. Архітектура конвеєра має значення не менше за входи.

Стадії конвеєра:

Поглинання. Кілька типів фідів: STIX/TAXII-фіди від комерційних постачальників, бюлетені партнерських CSIRT, оповіщення національних CERT, бази даних вразливостей (NVD, поради вендорів), OSINT-джерела. Кожен фід має власний формат, автентифікацію та модель довіри.

Нормалізація. Перетворення входів у канонічне CTI-представлення — STIX 2.1-об'єкти (індикатори, шкідливе ПЗ, загрозливі актори, кампанії, патерни атак). Нормалізація одностороння; канонічну форму бачать споживачі. Детальна інженерія CTI-платформи — у CTI-платформи для оборони.

Дедуплікація та кореляція. Той самий індикатор може з'явитися в п'яти фідах. Дедуплікуйте агресивно. Корелюйте індикатори, що поділяють контекст — той самий загрозливий актор, та сама кампанія, той самий патерн атаки — у композитні розвідувальні пакети.

Збагачення. Додавайте контекст, якого бракує необробленим фідам: скоринг впевненості, мапування MITRE ATT&CK, скоринг релевантності активам за інвентарем, керівництво з обробки класифікації, теги releasability.

Розподіл. Передавайте до SIEM/SOAR для правил виявлення, до EDR для ендпоінт-блоклистів, до інструментів мережевої безпеки для фільтрації трафіку, до hunt-команд як дослідницькі входи, до оперативного fusion-стеку, де кіберспостереження входять до multi-INT картини (див. Fusion-конвеєр, Частина 3).

Крок 4: Реалізація STIX/TAXII

STIX (Structured Threat Information Expression) — модель даних для кіберрозвідки загроз. TAXII (Trusted Automated Exchange of Intelligence Information) — транспортний протокол. Разом вони — лінгва франка обміну CTI між оборонними організаціями та комерційними постачальниками розвідки загроз.

Реальність реалізації:

Спочатку сторона споживача. Більшість оборонних програм споживають STIX/TAXII від комерційних постачальників (Mandiant, Recorded Future, CrowdStrike, MITRE) та партнерських CSIRT. TAXII 2.x-клієнт на стороні споживача добре зрозумілий і керований.

Валідація схеми на межі. Кожен вхідний STIX-об'єкт валідується за схемою перед подальшою обробкою. Некоректний вхід логується та відкидається. Порушення схеми використовувалися як вектори ін'єкції; сувора валідація — це структурний захист.

Скоринг впевненості. STIX-об'єкти мають поля впевненості. Використовуйте їх. Високовпевнений індикатор вендора та OSINT-похідний низьковпевнений індикатор отримують різну обробку в нижніх стадіях конвеєра виявлення.

Сторона провайдера вибірково. Програми, що діляться розвідкою з партнерами — коаліційні CSIRT, участь у ISAC, внутрішньо-зовнішній обмін для реагування на інциденти — реалізують TAXII-провайдерські ендпоінти. Реалізація важча за сторону споживача та вимагає дисципліни обробки класифікації з Частини 3 цієї серії.

Крок 5: OSINT-конвеєр із різноманітністю джерел

Розвідка з відкритих джерел — високоцінний CTI-вхід. Соцмережі, paste-сайти, ransomware-leak-сайти, технічні форуми, безпекові поради вендорів, новини. OSINT-виявлення атаки проти партнерських сил або інфраструктури — це розвідка оперативної цінності, де вендорські фіди часто запізнюються.

Патерн OSINT-конвеєра:

Різноманітність джерел. Жодне окреме джерело не домінує. Кілька джерел зменшують упередженість одного фіду та швидше виявляють хибнопозитивні результати.

Впевненість за джерелом. Кожне джерело має відкалібровану оцінку впевненості на основі історичної точності. Заявлений індикатор на анонімному форумі трактується інакше, ніж підтверджений індикатор в оповіщенні національного CERT.

Атрибуція та цитування. Кожен OSINT-похідний індикатор несе URL джерела, мітку часу знімка та примітку аналітика. Без походження індикатор не може пережити перегляд і не може бути поширений до коаліційних партнерів.

Правові та етичні запобіжники. OSINT-збір із соцмереж має правові обмеження, що різняться за юрисдикцією. Політика OSINT-збору платформи задокументована, переглянута юристами та забезпечена в коді. Детальний розгляд — у OSINT-моніторинг загроз для оборони.

Ключовий висновок: CTI-конвеєр — це шар, що перетворює загальне безпекове ПЗ на оборонний захист. SIEM без CTI ловить ширпотребні загрози. SIEM, збагачений CTI з релевантністю до державних акторів, ловить загрози, від яких платформа насправді захищає. Інвестиція в CTI-інфраструктуру — рішення найвищого важеля в кіберстеку.

Крок 6: Кіберсфера як fusion-дисципліна

Сучасна оборонна кібербезпека трактує кіберспостереження як ще одну розвідувальну дисципліну поряд із SIGINT, IMINT, ELINT. Виходи кіберстеку течуть до оперативного fusion-конвеєра; виходи оперативного fusion-конвеєра збагачують кіберрішення. Інтеграція двостороння.

Архітектурний патерн:

Кіберподії як спостереження. Підтверджені компрометації, виявлення спроб атак, атрибутовані кампанії — кожне стає спостереженням у канонічній схемі треків, тегованим метаданими кіберсфери. Детальний патерн — у Побудова оборонного fusion-конвеєра, Частина 3.

CTI-збагачення треків фізичного домену. Коли кіберіндикатор припускає активність противника в географічній локації, індикатор збагачує трек фізичного домену в оперативній картині. Точка SIGINT-збору, ко-локована з підтвердженою кіберкомпрометацією, стає вищопріоритетним треком для оператора.

Спільна машинерія класифікації. Класифікаційні мітки на кіберданих течуть через те саме STANAG 4774/4778-зв'язування, що й дані фізичного домену. Кіберсферо-специфічні компартменти та releasability працюють поряд із ширшою системою класифікації.

Крок 7: Структура репозиторію для кіберкоду

Код кіберстеку чутливий — некоректні зміни можуть вимкнути виявлення, пропустити компрометації або витекти класифікований матеріал. Дисципліна репозиторію зменшує ризик.

Структура, що працює:

  • cyber/threat-model/ — версіоновані документи моделі загроз, мапування MITRE ATT&CK, ярусні класифікації активів.
  • cyber/asset-inventory/ — каталог із Кроку 2, зі злиттям автоматизації виявлення та ручного курування.
  • cyber/cti/feeds/ — конфігурації фідів, правила нормалізації за джерелом, політики дедуплікації.
  • cyber/cti/enrichment/ — конвеєри збагачення, правила скорингу впевненості, скоринг релевантності активів.
  • cyber/detection-rules/ — SIEM-контент виявлення (Sigma-правила, вендоро-специфічні формати), під версійним контролем, тестується в CI проти захоплених даних подій.
  • cyber/playbooks/ — SOAR-плейбуки реагування, тестуються в CI, переглядаються безпековим керівництвом перед розгортанням.
  • cyber/forensics/ — інструментарій збору та аналізу, процедури ланцюга зберігання доказів.
  • cyber/ADRs/ — Architecture Decision Records для значущих архітектурних виборів кіберсфери.

Що далі

Частина 1 побудувала фундамент. Явна модель загроз, інвентар активів із класифікацією, CTI-конвеєр, що поглинає STIX/TAXII та OSINT, інтеграція кіберсфери як fusion-дисципліни, дисципліна репозиторію. Кіберстек тепер має ясний погляд на те, від чого він захищає, що він захищає та звідки приходить його розвідка.

Частина 2 реалізує операційний шар: SIEM і SOAR, спроєктовані для класифікованих анклавів, крос-CERT інтеграція, дисципліна автоматизованих плейбуків, практичні реалії, що відрізняють оперативну кіберсферу від PowerPoint-кіберсфери.