Integracija podatkov o grožnjah v kibernetski domeni s SIEM rešitvijo

Kibernetske grožnje postajajo vse bolj kompleksne, kar me je spodbudilo, da se poglobim v razvoj celovite rešitve za njihovo odkrivanje in obvladovanje. V tem smislu sem samostojno prepoznal, da bi platforma Open Cyber Threat Intelligence (OpenCTI) lahko odigrala ključno vlogo pri združevanju, obogatitvi in izmenjavi obveščevalnih podatkov o grožnjah za izboljšanje varnosti naše organizacije.

Izziv, ki sem ga sprejel, je bil precej zahteven, saj sem se srečeval z integracijo OpenCTI, s sistemom za upravljanje varnostnih informacij in dogodkov (SIEM), kar je lahko oviralo nemoteno izmenjavo obveščevalnih podatkov.

V okviru diplomske naloge sem se zato odločil, da se bolj poglobim v to problematiko in izvedem raziskavo ter razvoj priključka za OpenCTI, ki temelji na programskem jeziku Python. Moj cilj je bil izboljšati izmenjavo obveščevalnih podatkov o grožnjah in povečati njihovo uporabo znotraj naše obstoječe varnostne infrastrukture.

Skozi ta proces sem se odločil slediti sistematičnemu pristopu, ki je vključeval naslednje ključne korake: Analiza zahtev; V sodelovanju s strokovnjaki za kibernetsko varnost in skrbniki SIEM so bile opredeljene potrebe in pričakovanja za integracijo OpenCTI-SIEM, Oblikovanje in arhitektura;

Na podlagi opredeljenih zahtev je bila zasnovana dobro strukturirana arhitektura za priključek na osnovi Python-a, Izvedba; Povezovalnik je bil skrbno kodiran v jeziku Python, pri čemer je bila uporabljena moč ustreznih knjižnic in upoštevane najboljše prakse pri razvoju programske opreme, Testiranje in potrjevanje; Uporabljene so bile stroge metodologije testiranja, da bi preverili natančnost, zmogljivost in skladnost priključka z opredeljenimi zahtevami, Dokumentacija in uporabniški priročnik; Za lažjo uvedbo in uporabo priključka v našem podjetju v prihodnosti je bil izdelan obsežen uporabniški priročnik.

V okviru diplomske naloge je bil uspešno razvit po meri narejen priključek OpenCTI, ki temelji na Python-u, za nemoteno izmenjavo podatkov med OpenCTI in sistemom SIEM naše organizacije. Ta integracija omogoča uporabo obogatenih podatkov o grožnjah za boljše odkrivanje v realnem času, proaktivne ukrepe kibernetske varnosti in povečanje odpornosti organizacije proti grožnjam.

Poleg tega smo z implementacijo tega priključka omogočili tudi avtomatizacijo procesov obveščanja in odzivanja na kibernetske incidente, kar izboljšuje učinkovitost obrambe in zaščito občutljivih informacij ter infrastrukture.