Jak wykorzystać CTI w SIEM i threat huntingu?

W świecie rosnącej liczby cyberzagrożeń sama reakcja na incydenty przestaje być wystarczająca. Organizacje coraz częściej przechodzą na podejście proaktywne, łącząc logi generowane przez systemy IT z wiedzą o aktualnych zagrożeniach. W tym kontekście kluczową rolę odgrywa Cyber Threat Intelligence (CTI), które znacząco zwiększa skuteczność zarówno systemów SIEM (Security Information and Event Management), jak i procesów threat huntingu.

Czym jest CTI

CTI, czyli Cyber Threat Intelligence, to proces gromadzenia, przetwarzania, analizy oraz dystrybucji informacji o zagrożeniach w cyberprzestrzeni. Jego głównym celem jest dostarczanie kontekstu, który pozwala lepiej zrozumieć działania przeciwników oraz podejmować trafniejsze decyzje obronne. CTI nie ogranicza się wyłącznie do prostych wskaźników kompromitacji, ale obejmuje również szerszy obraz zagrożeń, uwzględniający motywacje, cele oraz sposoby działania atakujących. Analiza zagrożeń obejmuje między innymi:

• wskaźniki kompromitacji (IoC),
• taktyki, techniki i procedury (TTP),
• profile grup przestępczych,
• trendy i kampanie obserwowane w cyberprzestrzeni.

W praktyce oznacza to przejście od surowych danych do wiedzy, która może być bezpośrednio wykorzystana operacyjnie przez zespoły bezpieczeństwa.

CTI w SIEM

Systemy SIEM agregują ogromne ilości logów, których źródłem są kluczowe aktywa organizacji, w tym serwery, stacje robocze, aplikacje oraz systemy bezpieczeństwa, takie jak zapory nowej generacji (NGFW). Sama agregacja danych nie jest jednak wystarczająca, a ich realna wartość pojawia się dopiero w momencie nadania im kontekstu. W tym miejscu CTI odgrywa istotną rolę, umożliwiając automatyczne wzbogacanie zdarzeń o dodatkowe informacje o zagrożeniach. Dzięki temu analityk nie musi ręcznie weryfikować każdego elementu, ponieważ system może od razu wskazać, czy dany adres IP, domena lub plik są powiązane ze złośliwą aktywnością.

Integracja SIEM z CTI polega przede wszystkim na podłączeniu zewnętrznych i wewnętrznych źródeł informacji o zagrożeniach do platformy analitycznej oraz wykorzystaniu ich w procesie korelacji zdarzeń. W praktyce odbywa się to poprzez wykorzystanie interfejsów API, dedykowanych konektorów lub feedy threat intelligence dostarczane w ustandaryzowanych formatach (np. STIX). Dane te mogą być cyklicznie pobierane i automatycznie aktualizowane w SIEM, a następnie wykorzystywane do wzbogacania logów w czasie rzeczywistym lub przy tworzeniu reguł detekcji. Istotnym elementem integracji jest również normalizacja i ocena jakości danych CTI, tak aby uniknąć nadmiarowych lub nieaktualnych wskaźników, które mogłyby negatywnie wpłynąć na skuteczność detekcji. W bardziej dojrzałych środowiskach integracja ta jest rozszerzana o automatyzację reakcji, często z wykorzystaniem platform SOAR, co pozwala na podejmowanie działań (np. blokowanie adresów IP) bez udziału analityka.

Zastosowanie CTI w SIEM znacząco przyspiesza proces analizy i pozwala na lepszą priorytetyzację alertów. Na przykład logowanie do systemu z adresu IP powiązanego z infrastrukturą przestępczą może zostać natychmiast oznaczone jako zdarzenie wysokiego ryzyka. Integracja z aktualnymi źródłami CTI pozwala również na dynamiczne dostosowywanie reguł detekcji, dzięki czemu możliwe jest wykrywanie najnowszych kampanii i technik ataków. Bez tego wiele zagrożeń mogłoby pozostać niewidocznych dla systemu. Dodatkową korzyścią jest redukcja liczby fałszywych alarmów („False Positives”), które stanowią istotne obciążenie dla zespołów SOC. Dzięki kontekstowi dostarczanemu przez CTI możliwe jest odfiltrowanie zdarzeń o niskim znaczeniu i skupienie się na tych, które rzeczywiście wymagają uwagi.

CTI w threat huntingu

Threat hunting to aktywne poszukiwanie zagrożeń, które nie zostały wykryte przez mechanizmy automatyczne, takie jak SIEM. Brak detekcji może wynikać z niedoskonałości reguł, niewystarczającej wiedzy o zagrożeniach, działania poniżej progów wykrywania lub zastosowania nowych, nieznanych technik ataku. W tym kontekście CTI stanowi fundament skutecznego threat huntingu, ponieważ dostarcza aktualnych informacji, które mogą być wykorzystane do formułowania hipotez analitycznych. Wiedza o aktywnie prowadzonych kampaniach lub technikach wykorzystywanych przeciwko konkretnym technologiom pozwala organizacji na skoncentrowanie się na najbardziej prawdopodobnych scenariuszach zagrożeń.

Istotnym elementem wykorzystania CTI w threat huntingu jest mapowanie obserwowanych zdarzeń do taktyk i technik opisanych w ramach MITRE ATT&CK. Takie podejście umożliwia nie tylko identyfikację samego incydentu, ale również zrozumienie jego kontekstu oraz etapu, na którym znajduje się atakujący. Dzięki temu możliwe jest wykrywanie bardziej zaawansowanych zagrożeń, w tym takich, które nie generują jednoznacznych wskaźników kompromitacji. CTI wspiera również analizę behawioralną, pozwalając odejść od zależności wyłącznie od IoC na rzecz identyfikacji wzorców działania przeciwnika.

Podsumowanie

CTI to nie tylko zbiór informacji o zagrożeniach, ale fundament nowoczesnego podejścia do cyberbezpieczeństwa. Wysiłek związany z jego pozyskiwaniem i analizą powinien być szeroko wykorzystywany przez zespoły odpowiedzialne za wykrywanie zagrożeń. Integracja CTI z systemami SIEM pozwala zwiększyć skuteczność detekcji, poprawić jakość alertów oraz ograniczyć liczbę fałszywych wskazań. Z kolei wykorzystanie CTI w threat huntingu umożliwia identyfikację zagrożeń, które pozostają niewidoczne dla automatycznych mechanizmów, oraz lepsze zrozumienie działań przeciwnika. W efekcie organizacja zyskuje zdolność nie tylko reagowania na incydenty, ale również ich przewidywania i zapobiegania im na wcześniejszym etapie. Należy jednak podkreślić, że skuteczność tego podejścia jest bezpośrednio uzależniona od jakości danych CTI.

---

Wojciech Korus – inżynier ds. cyberbezpieczeństwa specjalizujący się w Cyber Threat Intelligence, analizie incydentów, threat huntingu oraz automatyzacji i pracy z danymi w środowiskach Linux i Python. Doświadczenie zdobywał m.in. jako analityk CERT i specjalista w sektorze bankowym, łącząc praktyczne umiejętności ofensywne i defensywne z wiedzą z zakresu etycznego hackingu i bezpieczeństwa operacyjnego.