OpenCTI
O produkcie
OpenCTI to platforma threat intelligence TIP umożliwiająca organizacjom zarządzanie wiedzą i obserwacjami dotyczącymi cyberzagrożeń. Platforma przeznaczona jest do strukturyzowania, przechowywania, organizowania oraz wizualizacji technicznych i nietechnicznych informacji o cyberzagrożeniach.
Architektura techniczna
OpenCTI składa się z kilku głównych komponentów:
Platforma (Core) – główny element systemu, udostępniający interfejs użytkownika oraz API GraphQL wykorzystywane przez konektory i workery do wstawiania oraz pobierania danych.
Workery – niezależne procesy, które obsługują zadania z brokera RabbitMQ i wykonują operacje zapisu do bazy danych. Liczbę workerów można zwiększać w celu podniesienia wydajności zapisu, zalecane jest wykorzystanie 3 do 4 workerów na jedną instancję OpenCTI
Konektory – moduły integrujące OpenCTI z zewnętrznymi źródłami danych lub narzędziami (np. import danych z MISP, enrichment z Shodan, eksport do CSV/STIX2).
Każdy konektor to osobny proces, który może pełnić jedną z pięciu zdefiniowanych ról:
EXTERNAL_IMPORT – import danych z zewnętrznych źródeł,
INTERNAL_ENRICHMENT – wzbogacanie danych na podstawie zewnętrznych źródeł,
INTERNAL_IMPORT_FILE – import plików przez UI/API,
INTERNAL_EXPORT_FILE – eksport danych do plików,
STREAM – konsumpcja strumienia danych z platformy
Platforma do pracy potrzebuje/wykorzystuje kilku usług zewnętrznych, takich jak ElasticSearch, Redis, RabbitMQ oraz S3/MinIO do przechowywania danych.
Najważniejsze cechy architektury OpenCTI
Modularność i skalowalność – każdy komponent może być skalowany niezależnie w zależności od potrzeb.
Wysoka dostępność – wykorzystanie klastrowania dla kluczowych usług.
Integracja – duża dostępna gama konektorów, umożliwia wymianę danych z innymi platformami i narzędziami.
Elastyczność wdrożenia – możliwość uruchomienia zarówno on-premises, jak i w chmurze (np. AWS, Azure, GCP).
Zalety rozwiązania
Otwartość i elastyczność
OpenCTI to platforma do zarządzania cyberzagrożeniami, której kluczowymi cechami są wysoka elastyczność i możliwość dostosowania do indywidualnych wymagań organizacji. Platforma daje możliwość integracji z wieloma źródłami danych i wykorzystuje standard STIX2 do strukturyzowania informacji oraz oferuje rozbudowane API, co pozwala na łatwe rozszerzanie funkcjonalności i integrację z innymi narzędziami bezpieczeństwa.
Wizualizacja i analiza zagrożeń
OpenCTI oferuje zaawansowane narzędzia do wizualizacji, takie jak grafowe przedstawianie zależności pomiędzy zagrożeniami, wskaźnikami, podatnościami czy kampaniami. Dzięki temu analitycy mogą szybko zidentyfikować powiązania, trendy oraz ewolucję ataków, co wspiera skuteczną analizę i profilowanie zagrożeń. Platforma umożliwia również tworzenie niestandardowych dashboardów i raportów.
Automatyzacja i integracja
Automatyzacja to jeden z kluczowych elementów OpenCTI. Platforma daje możliwość automatyczny import danych z różnych źródeł (np. TAXII, RSS, CSV, inne platformy OpenCTI) poprzez wykorzystanie konektorów, co skraca proces wzbogacania bazy wiedzy o zagrożeniach.
Skalowalność i nowoczesna architektura
OpenCTI cechuje się skalowalnością i wysokiej dostępnością. Wspiera rozwiązania klastrowe, umożliwiając horyzontalne skalowanie zarówno samej platformy, jak i jej kluczowych komponentów (ElasticSearch, Redis, RabbitMQ, S3/MinIO). Dzięki temu platforma może obsługiwać duże wolumeny danych i wielu użytkowników jednocześnie, przy wysokiej wydajności i niezawodn działania.
Bezpieczeństwo i kontrola dostępu
Platforma oferuje zaawansowane mechanizmy kontroli dostępu, pozwalające na precyzyjne zarządzanie uprawnieniami do poszczególnych danych i kontenerów (np. raportów, incydentów, zgłoszeń). Administratorzy mogą definiować, którzy użytkownicy, grupy lub organizacje mają dostęp do określonych zasobów, a także zarządzać poziomami uprawnień (podgląd, edycja, zarządzanie).
Co zyskam po wdrożeniu tego produktu
Centralizacja i pełny obraz wiedzy o zagrożeniach
OpenCTI gromadzi, przechowuje i analizuje informację o zagrożeniach w jednym miejscu, dając pełny kontekst – od technicznych szczegółów po powiązania z adwersarzami, sektorami czy konkretnymi incydentami. Dzięki temu analitycy mogą szybciej i skuteczniej identyfikować oraz reagować na zagrożenia.
Zaawansowane modelowanie i wizualizacja relacji
Platforma pozwala na modelowanie powiązań między różnymi obiektami (organizacje, sektory, wydarzenia, systemy, osoby) i wizualizację tych relacji w formie grafów wiedzy. Ułatwia to analizę złożonych kampanii oraz identyfikację zależności i trendów w działaniach cyberprzestępców.
Ścisłe zarządzanie dostępem i polityką udostępniania danych
OpenCTI oferuje zaawansowane mechanizmy kontroli dostępu do informacji, oparte na tzw. „marking definitions” (np. TLP:RED, TLP:AMBER) oraz segregacji organizacyjnej. Pozwala to na granularne określenie, które zespoły, departamenty lub partnerzy mogą mieć dostęp do konkretnych danych.
Wspieranie współpracy wewnętrznej i zewnętrznej
Platforma umożliwia współdzielenie informacji zarówno wewnątrz organizacji (np. między SOC, CERT, zespołami analitycznymi), jak i z partnerami zewnętrznymi, klientami czy podmiotami branżowymi. Daje to skuteczną wymianę wiedzy i szybsze reagowanie na nowe zagrożenia.
Automatyzacja i integracja
OpenCTI umożliwia integrację z innymi narzędziami bezpieczeństwa (SIEM, SOAR, firewalle, systemy detekcji), co umożliwia automatyzację procesów wykrywania i reagowania na incydenty. Platforma wspiera standard STIX 2.1, co ułatwia wymianę danych z innymi systemami CTI.
Rozbudowana analityka i raportowanie
Użytkownicy mogą tworzyć raporty, analizy, przypadki użycia i wizualizacje, które mogą wesprzeć proces podejmowania decyzji strategicznych decyzji dla organizacji.