CTI slovník: všechny zkratky vysvětleny
Na začátku dubna Cyberladies uspořádaly lightning talk na téma „Jak vyrábět užitečnou Cyber Threat Intelligence“. Talk si můžete pustit zde: YouTube link.
Ať už jste se talku přímo účastnily, anebo prostě jen objevujete CTI obor, určitě jste si všimly, ze zkratky v CTI světě dost připomínají abecední polévku. IOC, TTP, PIR, MITRE… pokud vám tato slova splývají v jedno, jste na správném místě!
Tady je malý glosář, který bychom si přály mít, když jsme do oboru vstupovaly. Každý termín vysvětlený bez předpokladu, že ho znáte, ale taky bez zbytečného zjednodušování.
Jestli byste si z našeho talku měly odnést jedinou věc, tak to, ze CTI není seznam zkratek, ale způsob myšlení – a slovník zkratek vás k něčemu takovému sám o sobě samozřejmě nedovede. Může vám ale pomoct, abyste se na své CTI cestě v té abecední polévce neutopily.
- Nejdřív: co CTI vlastně je
-
Abecední slovník
- APT - Advanced Persistent Threat
- CERT - Computer Emergency Response Team
- CISO - Chief Information Security Officer
- CTI-CMM - Cyber Threat Intelligence Capability Maturity Model
- CVE - Common Vulnerabilities and Exposures
- cyberHUMINT
- IOC - Indicator of Compromise
- ISAC - Information Sharing and Analysis Center
- MITRE ATT&CK
- OSINT - Open Source Intelligence
- PIR - Priority Intelligence Requirements
- RFI - Request for Intelligence
- SIEM - Security Information and Event Management
- SOAR - Security Orchestration, Automation and Response
- SOC - Security Operations Center
- TIP - Threat Intelligence Platform
- TLP - Traffic Light Protocol
- TTP - Tactics, Techniques and Procedures
- YARA
Nejdřív: co CTI vlastně je
CTI je zkratka pro Cyber Threat Intelligence - zpravodajství o kybernetických hrozbách. Je to disciplína, jejíž role je jednoduchá na papíře a obtížná v praxi: pomáhat organizaci dělat lepší rozhodnutí v podmínkách nejistoty tím, že jí poskytuje přehled o tom, kdo by mohl zaútočit, jak a proč.
Klíčové slovo tady není „cyber“, ale „zpravodajství“: CTI dědí metody, které existovaly dávno před internetem - analýza útočníků, hodnocení hrozby, práce s neúplnými informacemi, produkce výstupů přizpůsobených konkrétnímu adresátovi. Co se mění, je prostředí a povaha protivníků.
Jedno rozlišení, které stojí za to mít na paměti po celou dobu čtení tohoto slovníku: informace je fakt. Zpravodajství je fakt zasazený do kontextu, adresovaný konkrétnímu rozhodování, ve správný čas. Když je zpravodajství produkováno, ale nikdo ho nepoužívá, nebylo to zpravodajství - byla to dobře naformátovaná informace.
CTI funguje na třech úrovních. Zkratky, které potkáte, jsou často specifické pro jednu z nich, takže se vyplatí vědět, která je která:
-
Strategická CTI pracuje s dlouhým horizontem a vysokou mírou abstrakce. Jejím cílem je poskytnout organizaci přehled o hrozbách, které jsou relevantní pro její byznys, sektor a geografii - a přeložit tento přehled do podkladů pro rozhodnutí na úrovni vedení. Nepopisuje konkrétní útok, ale prostředí, ve kterém organizace operuje.
- Odpovídá na otázky typu: „jaké hrozby dopadnou na naši organizaci v horizontu šesti až osmnácti měsíců a co z toho plyne pro naše priority / investice / bezpečnostní strategii?“
- Jejími adresáty jsou CISO (definice zde níže), vedení, oddělení řízení rizik.
- Příklad: “Státem sponzorovaný aktér napojený na Čínu provádí dlouhodobé kampaně krádeže duševního vlastnictví zaměřené na farmaceutický výzkum a vývoj - naše pipeline data, jakožto top evropské farmaceutické firmy, jsou pravděpodobným cílem.”
-
Operativní CTI se pohybuje na pomezí mezi strategickým přehledem a technickou realitou. Zaměřuje se na konkrétní kampaně, aktéry a jejich modus operandi, s cílem informovat bezpečnostní týmy o tom, jak protivník aktuálně operuje a co to znamená pro obrannou pozici organizace. Je to vrstva, která propojuje záměr s akcí.
- Odpovídá na otázky typu: „probíhají aktuálně kampaně, které se nás týkají, a co znamenají pro naši konfiguraci, priority patchování nebo postoj při reakci na incident?“
- Jejími adresáty jsou (alespoň středně pokročilé) bezpečnostní týmy.
- Příklad: “APT28 zneužívá krádeže OAuth tokenů místo hesel k obcházení MFA - zkontrolujte interní politiky podmíněného přístupu a dobu platnosti tokenů.”
-
Taktická CTI je nejblíže technické realitě. Produkuje konkrétní, okamžitě použitelné výstupy - indikátory, detekční pravidla, signatury - které umožňují bezpečnostním nástrojům a týmům detekovat nebo blokovat hrozbu. Stárne nejrychleji a ztrácí hodnotu, pokud není zasazena do širšího kontextu.
- Odpovídá na otázky typu: „jaké konkrétní technické indikátory mohu použít k detekci nebo blokování hrozby teď?“
- Jejími adresáty je SOC tým (definice zde níže). Vysoce technická, vysoce časově citlivá.
- Příklad: “Hash d41d8cd98f00b204e9800998ecf8427e je spojován s dropperem cílícím tento týden na organizace ve finančním sektoru - přidejte do blocklist v EDR.”
Abecední slovník
APT - Advanced Persistent Threat
Označení pro sofistikované, dlouhodobé kybernetické operace vedené typicky státními aktéry nebo skupinami s jejich podporou. APT skupiny se vyznačují trpělivostí, specifickým cílením a schopností zůstat v systému oběti po dlouhou dobu bez detekce. Označení je někdy používáno příliš volně - ne každý cílený útok je APT.
CERT - Computer Emergency Response Team
Tým specializovaný na reakci na bezpečnostní incidenty na úrovni sektoru nebo státu, který zasahuje, když je incident potvrzen. CERTy a CTI jsou klíčovými partnery: CTI dodává kontext o protivníkovi během incidentu a IR dodává terénní data, která se vracejí zpět do CTI produkce. V praxi se setkáte také se zkratkou CSIRT - Computer Security Incident Response Team. CERT a CSIRT technicky vzato označují totéž: tým reagující na bezpečnostní incidenty - rozdíl je historický (název CERT vznikl na Carnegie Mellon University) a je ochrannou známkou, proto mnoho týmů mimo licenci CMU používá označení CSIRT. V běžném použití jsou oba termíny zaměnitelné, i když někteří rozlišují CERT jako instituci s širším mandátem (koordinace, sdílení informací na národní úrovni) a CSIRT jako operativní tým zaměřený primárně na řešení konkrétních incidentů. Chcete vědět víc o tom, jak CERTy a CSIRTy fungují v praxi a jakou roli hrají v ekosystému kybernetické bezpečnosti? Věnovaly jsme jim samostatný lightning talk.
CISO - Chief Information Security Officer
Ředitel/ka bezpečnosti informačních systémů. Konečný zodpovědný za bezpečnostní strategii organizace. A také příjemce strategické CTI, co potřebuje kontextualizované analýzy pro rozpočtová a řídicí rozhodnutí.
CTI-CMM - Cyber Threat Intelligence Capability Maturity Model
Model zralosti CTI schopností. Nástroj pro hodnocení toho, kde se organizace nachází v budování CTI funkce - od ad hoc reaktivního přístupu až po plně integrovaný a proaktivní zpravodajský program. Užitečný pro týmy, které chtějí systematicky identifikovat mezery a plánovat rozvoj.
CVE - Common Vulnerabilities and Exposures
Standardizovaný systém identifikace známých zranitelností. Každá zranitelnost dostává jedinečný identifikátor (např. CVE-2024-1234), který umožňuje bezpečnostním týmům po celém světě mluvit o stejné chybě. Operativní CTI se zajímá zejména o to, které CVE jsou aktivně využívaný protivníky cílícími na daný sektor.
cyberHUMINT
Přístup k CTI, který aplikuje metody klasického „lidského“ zpravodajství (HUMan INTelligence) na kybernetický prostor. Místo soustředění se výhradně na technické artefakty analyzuje cyberHUMINT lidské vzorce chování za kybernetickými operacemi: kdo jsou operátoři, jak komunikují, kde dělají chyby, co prozrazují o sobě aniž by to zamýšleli. Zachází s protivníkem jako s člověkem se záměrem - ne jako se sadou artefaktů. Zvlášť relevantní při sledování kriminálních komunit, undergroundových fór a influence operací. Odkaz na anglický talk jedné z našich Cyberladies věnovaný cyberHUMINTu zde.
IOC - Indicator of Compromise
Indikátor kompromitace. Technický artefakt, který dokládá, že k určité aktivitě v systému došlo nebo pravděpodobně dochází: škodlivá IP adresa, podezřelé doménové jméno, typ použitého malwaru, kompromitované účty, vzorec síťové komunikace. IOC jsou stopami, které útočník zanechává - vědomě nebo nevědomě. Jsou primárním produktem taktické CTI.
Jejich zásadní omezení jsou dvě. Za prvé, životnost: útočník mění infrastrukturu rychle - IP adresa nebo doména může být opuštěna v řádu hodin - týden starý IOC může být stejně neužitečný jako žádný IOC. Za druhé, kontext: IOC bez informace o tom, s jakou kampaní nebo aktérem jsou spojeny, jakého cíle se týkají a co jejich přítomnost v systému znamená, jsou data, ne zpravodajství - seznam tisíce IP adres bez vysvětlení je pro pochopení situace bezcenný. Z toho plyne praktické pravidlo: hodnota IOC roste přímo úměrně s kontextem, který je k nim přiložen, a klesá přímo úměrně s časem od jejich identifikace.
ISAC - Information Sharing and Analysis Center
Sektorové organizace usnadňující sdílení zpravodajství mezi firmami ze stejného odvětví. ISACy existují pro finance, energetiku, zdravotnictví, dopravu a další. Účast v ISACu znamená přístup ke CTI produkované kolegy, kteří čelí stejným hrozbám - a zároveň povinnost přispívat vlastními poznatky.
MITRE ATT&CK
Referenční rámec katalogizující taktiky a techniky (TTP definice zde níže ) používané reálnými protivníky, uspořádané do matic podle typu prostředí: podnik, cloud, mobilní zařízení, průmyslové systémy. Stal se de facto standardem pro popis a srovnávání modus operandi útočníků. Když CTI tým říká, že aktér používá „T1566 - Phishing", odkazuje na konkrétní techniku v tomto frameworku. Volně dostupný na https://attack.mitre.org/.
OSINT - Open Source Intelligence
Zpravodajství z otevřených zdrojů. Vše, co je sbíráno z veřejně dostupných zdrojů: tisk, sociální sítě, fóra, veřejné databáze, vládní weby. OSINT je metoda sběru, ne typ analýzy. OSINTu jsme věnovaly samostatný talk (link).
PIR - Priority Intelligence Requirements
Prioritní zpravodajské požadavky. Otázky, na které se CTI tým zavazuje odpovědět, pro konkrétního adresáta, v definovaném časovém horizontu. Dobře formulovaný PIR vypadá takto: „Kteří aktéři cílící na evropský finanční sektor využívají techniky počátečního přístupu přes zranitelnosti VPN a jaké TTP byly u nich pozorovány za posledních šest měsíců?“ Špatně formulovaný PIR vypadá takto: „Sledovat kybernetické hrozby.“ PIR jsou nejdůležitějším strukturálním prvkem fungujícího CTI programu - a zároveň prvkem, který často chybí.
RFI - Request for Intelligence
Ad hoc žádost o zpravodajství. Když konzument CTI potřebuje rychlou odpověď na konkrétní otázku, která nespadá do existujících PIR, podává RFI. Užitečný mechanismus umožňující flexibilitu - špatně řízené RFIs ale můžou proměnit CTI tým v helpdesk a vytlačit plánovanou produkci.
SIEM - Security Information and Event Management
Nástroj, který agreguje a koreluje bezpečnostní logy organizace s cílem detekovat abnormální chování. SIEM je napájen mimo jiné taktickými CTI feedy - IOC a detekčními pravidly.
SOAR - Security Orchestration, Automation and Response
Nástroj, který automatizuje reakce na incidenty detekované SIEMem. Spouští předdefinované procesy, tzv. „playbooks“ - blokování IP, izolace stanice, alertování týmu atd. - bez systematického lidského zásahu. Stále častěji bývá integrován s CTI feedy pro rychlejší a cílenější reakci.
SOC - Security Operations Center
Centrum bezpečnostních operací. Tým, který v reálném čase monitoruje systémy organizace, detekuje incidenty a spouští reakci. SOC je hlavním příjemcem (nejen) taktické CTI - potřebuje IOC a detekční pravidla. Je to také často adresát, který dostává CTI výstupy špatně přizpůsobené jeho skutečným operativním potřebám. Chceš se dozvědět víc o SOC a o tom, jak spolupracuje s CTI? Věnovaly jsme mu samostatný talk (link).
TIP - Threat Intelligence Platform
Platforma pro správu zpravodajství o hrozbách. Technologické řešení, které centralizuje sběr, zpracování, analýzu a sdílení CTI dat z různých zdrojů - interních i externích. TIP agreguje zdroje dat (feeds), normalizuje formáty, umožňuje obohacování indikátorů o kontext a zajišťuje jejich distribuci do dalších bezpečnostních nástrojů, jako je SIEM nebo SOAR. Klíčová funkce TIP není sběr dat - tu zvládne i jednoduchý agregátor – ale kontextualizace: schopnost propojit IOC s útočnými kampaněmi, aktéry, TTP a relevancí pro konkrétní organizaci. (TIP bez analytika, který ví, co do ní vkládat a jak interpretovat výstupy, je drahé úložiště.)
V open source světě se dnes nejčastěji setkáte se dvěma platformami, které jsou si na první pohled podobné, ale slouží trochu jinému účelu: MISP a OpenCTI. V praxi řada organizací provozuje MISP a OpenCTI souběžně.
MISP - Malware Information Sharing Platform
Vznikl primárně jako nástroj pro sdílení indikátorů mezi organizacemi. Jeho silná stránka je komunita: tisíce organizací po celém světě si přes MISP vyměňují IOC a kontext v reálném čase. MISP je optimalizovaný pro rychlé sdílení strukturovaných dat - je to v první řadě platforma pro výměnu, ne pro analýzu. Pokud chcete být napojeni na komunitu a sdílet zpravodajství s partnery, CERTy nebo ISACy, MISP je přirozená volba. Volně dostupné na https://github.com/misp/misp.
OpenCTI
Vznikl s jiným záměrem než MISP: poskytnout analytikům prostředí pro budování znalostní báze o hrozbách. Kde MISP vyniká v rychlém sdílení IOC, OpenCTI vyniká v kontextualizování IOCs a strukturování vztahů mezi aktéry, kampaněmi, TTP, zranitelnostmi a organizacemi. Je postaven na grafovém datovém modelu, který umožňuje vizualizovat a procházet komplexní vztahy mezi entitami. Volně dostupné na https://github.com/opencti-platform/opencti.
TLP - Traffic Light Protocol
Klasifikační systém pro sdílení informací mezi organizacemi, široce používaný v CTI komunitě. TLP:RED znamená, že informace nesmí opustit místnost. TLP:AMBER je omezeno na členy organizace a jejich přímé partnery. TLP:GREEN může cirkulovat v širší komunitě. TLP:CLEAR je veřejné. Správné používání TLP je základním předpokladem při výměně CTI s externími partnery, CERTy nebo ISACy.
TTP - Tactics, Techniques and Procedures
Taktiky, techniky a postupy. Kde IOC popisují co pozorujeme, TTP popisují jak protivník operuje. Například: protivník používá phishing jako počáteční přístupový vektor (taktika), prostřednictvím příloh Word s makry (technika), cílí systematicky na HR oddělení (postup). TTP jsou stabilnější než IOC - protivník změní IP adresu za 24 hodin, ale své modus operandi mění jen zřídka. Zpravodajství postavené na TTP stárne výrazně lépe než zpravodajství postavené pouze na IOC.
YARA
Jazyk pravidel pro identifikaci a klasifikaci škodlivých souborů. Pravidlo YARA popisuje vzory - textové řetězce, sekvence bajtů, logické podmínky apod. - které se nacházejí například ve známých malwarech. Je to nástroj taktické detekce používaný CTI týmy k vyhledávání známých hrozeb ve velkých datových sadách.
PS: Jeden termín, který není zkratkou, ale zaslouží definici: Agentic workflow – Agentické pracovní procesy Přístup, ve kterém AI agenti autonomně vykonávají opakující se analytické úkoly - monitorují zdroje, filtrují podle PIR, generují sumarizace, označují položky k přezkumu - bez nutnosti lidského zásahu v každém kroku. Místo aby analytik procházel stovky zdrojů ručně, vstupuje do procesu tam, kde je potřeba kontextualizace, kritický úsudek nebo rozhodnutí. V CTI kontextu to znamená posun v tom, co se od analytika očekává: méně produkce, více orchestrace. Schopnost definovat kvalitní PIR, hodnotit výstupy agentů a identifikovat slepá místa systému se stává důležitější než schopnost zpracovat velký objem dat ručně.
Tento glosář pokrývá terminologii použitou během CyberLadies lightning talku, ale není vyčerpávající - CTI obor má rozsáhlou a rostoucí slovní zásobu. Pokud narazíte na termín, který zde není, napište nám nebo zanechte komentář na našem Discordu v kanálu o CTI! Glosář budeme průběžně doplňovat.