Threat intelligence

Gromadzenie i analiza informacji o aktualnych zagrożeniach, technikach atakujących i wskaźnikach kompromitacji, by z wyprzedzeniem przygotować obronę.

Threat intelligence (wywiad o zagrożeniach) to proces zbierania, przetwarzania i analizy danych o aktualnych zagrożeniach, technikach atakujących oraz wskaźnikach kompromitacji (IOC) po to, żeby przygotować obronę z wyprzedzeniem, zanim atak naprawdę cię dosięgnie. Kluczowe słowo to analiza: samo zebranie listy złośliwych adresów IP to jeszcze nie wywiad, to surowe dane. Threat intelligence zaczyna się tam, gdzie z tych danych wyciągasz wniosek typu „ta grupa atakuje firmy z mojej branży, takim wektorem, w taki sposób”.

Jak to działa i do czego służy

Dane do analizy płyną z wielu źródeł: feedów komercyjnych i otwartych (OSINT), raportów o kampaniach, dark webu, honeypotów, a także z własnych logów i systemów SIEM. Z tego surowca powstają konkretne artefakty — najczęściej IOC (hashe plików, domeny, adresy IP, sygnatury) oraz TTP, czyli taktyki, techniki i procedury atakujących, zwykle mapowane na macierz MITRE ATT&CK.

W praktyce dzieli się to na trzy poziomy. Strategiczny — dla zarządu, kto i dlaczego może cię zaatakować. Operacyjny — o konkretnych kampaniach i grupach (np. APT). Taktyczny — techniczne wskaźniki, które ładujesz wprost do firewalla, EDR-a czy reguł SIEM. Im niżej, tym krótsza „data ważności”: adres IP serwera C2 może być aktualny przez kilka dni, opis sposobu działania grupy — latami.

Przykład z praktyki

Popularnym, darmowym narzędziem jest MISP (Malware Information Sharing Platform). Zespoły wymieniają się w nim IOC-ami w ustandaryzowanych formatach STIX (zapis danych) i TAXII (protokół ich przesyłania). Dostajesz feed, eksportujesz wskaźniki i automatycznie korelujesz je z własnymi logami.

Szybki sprawdzian po stronie analityka — masz podejrzany plik i chcesz zobaczyć, czy ktoś już go zna:

sha256sum podejrzany.exe

Otrzymany hash wrzucasz do bazy threat intelligence (np. VirusTotal albo własnego MISP) i w sekundę widzisz, czy to znany malware, z jakiej kampanii i jakie domeny mu towarzyszą.

Częste błędy i mity

  • Mylenie danych z wywiadem. Tysiąc feedów to nie obrona — bez analizy i kontekstu generują głównie szum i fałszywe alarmy.
  • Brak dopasowania do siebie. IOC dotyczące ataków na banki w innym kraju mogą być dla ciebie bezużyteczne. Liczy się intel relewantny dla twojej branży i stacku.
  • Traktowanie IOC jako wiecznych. Wskaźniki się starzeją. Blokowanie adresu IP sprzed roku to teatr bezpieczeństwa.
  • „Kupimy feed i mamy spokój”. Bez ludzi, którzy to czytają i działają, nawet najlepszy intel ląduje w pustym dashboardzie.

Pojęcia powiązane

Warto znać: IOC, MITRE ATT&CK, TTP, SIEM, SOC, EDR, OSINT, STIX i TAXII, MISP, threat hunting oraz APT (Advanced Persistent Threat). To naturalne sąsiedztwo threat intelligence — jedno bez drugiego rzadko działa.