Платформа кіберрозвідки загроз (CTI) — це програмна інфраструктура, через яку організація безпеки збирає, обробляє, збагачує, аналізує та реагує на розвідку загроз. Для оборонних організацій — військових командувань, міністерств оборони, оборонних підрядників — модель загроз принципово відрізняється від комерційних організацій. Спонсовані державою противники, операції тривалого доступу, компрометація ланцюга постачань та інформаційні операції — це не граничні випадки; це базове середовище загроз.

CTI-платформа оборонного рівня повинна бути побудована для роботи в цьому контексті: обробки секретних розвідувальних потоків, кореляції кіберіндикаторів з сигнальною та агентурною розвідкою, та інтеграції як з комерційною SIEM-інфраструктурою, так і з секретними оперативними мережами.

Архітектура платформи: чотири стадії обробки

Збір. CTI-платформа поглинає розвідку з кількох типів джерел: комерційні потоки загроз (обмін через ISAC, комерційні постачальники), розвідка з відкритих джерел (OSINT — канали Telegram, форуми дарквебу, сайти вставки, дані реєстрації доменів), внутрішня телеметрія (журнали SIEM, сповіщення про виявлення ендпоінтів, дані мережевих потоків) та класифіковані національні розвідувальні потоки там, де це застосовується. Шар збору нормалізує ці входи до загального внутрішнього формату та призначає метадані провенансу (джерело, час збору, достовірність, рівень класифікації) кожному запису.

Нормалізація та збагачення. Необроблені зібрані дані є вкрай неоднорідними. IP-адреса, повідомлена як індикатор компрометації (IoC) одним потоком, є рядком у CSV. В іншому потоці вона є структурованим STIX Observable. Стадія нормалізації вирішує це: витягуючи структуровані індикатори (IP, домени, хеші, URL, адреси електронної пошти, CVE) з неструктурованих джерел та перетворюючи все на внутрішню схему платформи.

Збагачення доповнює нормалізовані індикатори додатковим контекстом: WHOIS та пасивний DNS для індикаторів домену/IP; геолокація; атрибуція ASN; історичні спостереження SIEM; та зв'язки з відомими загрозливими акторами або кампаніями з бази знань платформи. Необроблена IP-адреса, збагачена інформацією "розміщена в ASN 12345, історично пов'язана з C2-інфраструктурою APT28, вперше виявлена 2025-03-14" — це дієвий розвідувальний продукт. Та сама IP без збагачення — лише точка даних.

Аналіз та кореляція. Шар аналізу визначає зв'язки між індикаторами та атрибутує їх до профілів загрозливих акторів. Тут центральним є граф знань платформи: графова база даних (як правило, Neo4j або спеціалізований граф загроз), що зберігає зв'язки між акторами, кампаніями, техніками та індикаторами, дозволяє виконувати запити обходу графа — "покажи мені всю інфраструктуру, пов'язану з тим самим актором, що і ця IP, на два кроки."

Інтеграція фреймворку MITRE ATT&CK є стандартною у сучасних CTI-платформах. Кожна спостережувана техніка позначається відповідним ідентифікатором техніки ATT&CK, що дозволяє аналіз прогалин покриття (які техніки ATT&CK не охоплює наше виявлення?) та профілювання загрозливих акторів (цей актор послідовно використовує T1566 — фішинг — як початковий доступ, потім T1053 — планове завдання для закріплення).

Розповсюдження. Розвідка має цінність лише тоді, коли досягає команд, що можуть на неї реагувати. Шар розповсюдження публікує розвідувальні продукти у форматах, відповідних для кожного споживача: структуровані потоки IoC (STIX/TAXII для інших CTI-платформ та систем SIEM), читабельні людиною звіти (відформатовані для аналітиків) та прямі інтеграції SIEM (безпосередня передача блокувань IoC та правил виявлення до механізмів правил SIEM).

STIX і TAXII: шар сумісності

STIX (Structured Threat Information eXpression) — це модель даних для представлення кіберрозвідки загроз — загрозливих акторів, кампаній, індикаторів, шаблонів атак та зв'язків між ними. TAXII (Trusted Automated eXchange of Intelligence Information) — транспортний протокол для обміну об'єктами STIX між платформами. Разом вони забезпечують автоматизований, машинний обмін розвідкою.

Для оборонних організацій реалізація STIX/TAXII не є опціональною — це механізм, через який NATO NCIA, національні CERT та довірені організації-партнери обмінюються класифікованою та некласифікованою розвідкою загроз. CTI-платформа, що не може споживати або виробляти пакети STIX 2.1, ізольована від ширшої екосистеми обміну.

Специфічні для оборони джерела загроз

Комерційна CTI-платформа, що покладається на потоки постачальників, пропускає найбільш оперативно релевантну розвідку для оборонних організацій. Специфічні для оборони джерела включають:

Моніторинг Telegram. З 2022 року Telegram став основним каналом оперативної безпеки для державно-орієнтованих загрозливих акторів, хактивістських груп та загрозливих акторів, що підтримують кінетичні операції. Канали оголошують цілі до атак, публікують заявлені зломи та координують розвідку. Систематичний моніторинг відповідних каналів — з витяганням сутностей та перехресною кореляцією з відомими профілями акторів — надає попереджувальну розвідку, недоступну в комерційних потоках.

Моніторинг форумів дарквебу. Злочинна інфраструктура, що використовується державними акторами (bulletproof-хостинг, брокери доступу, ринки експлойтів), торгується на форумах дарквебу. Моніторинг цих форумів на предмет згадок конкретних організацій, систем або облікових даних забезпечує раннє попередження про майбутні атаки.

Розвідка доменів та сертифікатів. Спонсовані державою актори реєструють домени, що імітують оборонні організації, для спір-фішингових кампаній. Журнали прозорості сертифікатів, пасивний DNS та моніторинг нових реєстрацій доменів можуть виявити ці приготування до запуску кампанії.

Ключовий висновок: Атрибуція розвідки загроз — призначення кіберінциденту або кампанії конкретному державному актору — вимагає збіжності за кількома типами свідчень: TTP, інфраструктура, схеми таргетування, часові рамки, а там де доступно — сигнальна та агентурна розвідка. CTI-платформа, побудована для оборони, повинна бути здатна інтегрувати все це, а не лише кіберіндикатори окремо.

Архітектура інтеграції SIEM

CTI-платформи надають цінність переважно через інтеграцію з системою SIEM (Security Information and Event Management), де відбувається виявлення та реагування. Інтеграція має дві форми: виявлення на основі IoC (CTI-платформа передає відомі шкідливі IP, домени та хеші до SIEM як списки блокування та правила виявлення) та виявлення на основі TTP (CTI-платформа публікує логіку виявлення, узгоджену з MITRE ATT&CK, похідну від профілювання загрозливих акторів).

Сучасні архітектури реалізують це через плейбуки SOAR (Security Orchestration, Automation and Response), які автоматично поглинають вихідні дані CTI, застосовують їх до стека виявлення SIEM та запускають робочі процеси реагування для сповіщень з високою достовірністю. Тріада SIEM-SOAR-CTI є оперативним хребтом оборонного SOC (Центру безпекових операцій).