Cyber threat intelligence: designing a method and sharing platform for CTI

Abstract

Καθώς οι σύγχρονες υποδομές αντιμετωπίζουν ολοένα και πιο πολύπλοκες και επίμονες απειλές, οι οργανισμοί απαιτούν δομημένη και έγκαιρη πληροφόρηση. Η έννοια Cyber Threat Intelligence (CTI) αναφέρεται στη διαδικασία συλλογής, επεξεργασίας και ερμηνείας πληροφοριών σχετικών με τέτοιες απειλές, με σκοπό να μετασχηματιστούν σε έγκυρη γνώση, που θα ενισχύσει την αποτελεσματική λήψη αποφάσεων. Στην παρούσα εργασία, η ανάγκη αυτή καλύπτεται με την πρότασης μίας CTI πλατφόρμας που υποστηρίζει ολόκληρο τον κύκλο ζωής της πληροφορίας: από τη συλλογή (collection) και την κανονικοποίηση (normalization), μέχρι τον εμπλουτισμό (enrichment), την ανάλυση (analysis) και τελικά τον διαμοιρασμό (dissemination) της πληροφορίας με έναν ενιαίο τρόπο. Αρχικά εξετάζεται το επιχειρησιακό πλαίσιο (οι στόχοι και οι ενδιαφερόμενοι φορείς), τα σχετικά πρότυπα και οι υφιστάμενες πλατφόρμες, με σκοπό τον εντοπισμό προκλήσεων όπως οι ανομοιογένεια των δεδομένων (διαφορές στις υποστηριζόμενες μορφές), η περιορισμένη λειτουργία contextualization – δηλαδή εμπλουτισμού και δημιουργίας συσχετίσεων, αλλά και οι δυσκολίες στη διατήρηση της ποιότητας της πληροφορίας σε βάθος χρόνου. Με βάση αυτή την ανάλυση, ορίζεται ένα σύνολο απαιτήσεων που θα καθοδηγήσει τον σχεδιασμό της πλατφόρμας και θα υποστηρίξει τις επιλογές στην αρχιτεκτονική της εφαρμογής που ακολουθούν. Το προτεινόμενο σύστημα βασίζεται σε modular υπηρεσίες, υπεύθυνες για τη συλλογή, τον εμπλουτισμό, την συσχέτιση, την ανάλυση και τον διαμοιρασμό, οι οποίες λειτουργούν πάνω σε έναν γράφο βασισμένο στο πρότυπο STIX (STIX-based knowledge graph). Σε σύγκριση με καθιερωμένες πλατφόρμες όπως οι OpenCTI και MISP, η εν λόγω πλατφόρμα προσφέρει αντίστοιχες δυνατότητες, ενώ παράλληλα αντιμετωπίζει ελλείψεις που αφορούν τη διαμόρφωση συσχετίσεων πολλαπλών επιπέδων των δεδομένων, την εκτίμηση συνάφειας (relevancy scores) και τη δομημένη διαχείριση χρόνου ζωής των πληροφοριών (TTL). Τέλος, στο μέλλον, η ενσωμάτωση μεθόδων τεχνητής νοημοσύνης για τη διαμόρφωση συσχετίσεων υψηλού επιπέδου, την ανίχνευση ανωμαλιών, την ομαδοποίηση σχετικών ενεργειών και τον υπολογισμό relevancy ή confidence scores, μπορεί να ενισχύσει περαιτέρω τις δυνατότητες της πλατφόρμας.As modern infrastructures face increasingly complex and persistent threats, organizations require the utilization of structured and timely threat intelligence. Cyber Threat Intelligence refers to the process of collecting, processing and interpreting information about malicious activity, in order to improve awareness and support effective decision-making in defense operations. In this thesis, this need is addressed by proposing a CTI platform that supports the full intelligence lifecycle: collecting, normalizing, enriching, analyzing and ultimately disseminating threat intelligence in a unified and consistent manner. The thesis begins by examining the operational context (objectives and stakeholders), relevant standards and existing platforms, in order to identify practical challenges such as heterogeneous data formats, limited contextualization, and difficulties in maintaining data quality over time. Based on this analysis, a set of requirements is defined that will guide the design of the platform and assist with the architectural choices that follow. The proposed system is built around modular services responsible for ingestion, enrichment, correlation, analysis and dissemination, all operating on a STIX-based knowledge graph. When compared with established platforms such as OpenCTI and MISP, the proposed design achieves similar capabilities, while addressing gaps related to multi-level correlation, relevancy assessment and structured TTL management. Finally, in the future, the integration of AI-driven approaches for high-level correlation, anomaly detection, clustering of related activity, and adaptive calculation of relevancy or confidence scores, are advancements that could further enhance the analytical capabilities of the platform.