Вступ
Кібератаки щодня стають складнішими, продуманішими, залучають більшу кількість ресурсів, як людських, так і технічних. Фахівцям з кіберзахисту стає дедалі складніше протистояти таким атакам, навіть за наявності сучасних засобів моніторингу та відлагоджених процесів. Одним із важливих інструментів, що застосовується працівниками SOC та Blue Team, є Threat Intelligence.
Серед джерел, що надають актуальну інформацію про загрози, можна виділити OSINT джерела, власні логи, отримані в ході моніторингу, внутрішні пентести та сканування вразливостей, обмін інформацією про загрози [1].
Прикладом ефективної взаємодії є ISAC — центри обміну інформацією про загрози в різних секторах економіки. Кожна з таких установ спеціалізується на своєму секторі (наприклад, енергетичний, фінансовий тощо) [2].
Актуальність задачі
Серед актуальних проблем обміну інформацією про загрози можна виділити [3]:
1. Довіра. Компанії часто скептично ставляться до надання даних про атаки, з якими вони стикаються, іншим організаціям, адже це може призвести до розкриття інформації про засоби захисту, інфраструктуру тощо.
2. Протоколи та формати даних. Незважаючи на те, що вже розроблено та імплементовано протоколи, стандарти та платформи для обміну даними про загрози (такі як MISP та OpenCTI), багато компаній стикаються з проблемами при спробах адаптувати свої системи та процеси для роботи з такими засобами.
3. Витрати ресурсів на імплементацію. Щоб адаптувати свої процеси та інструменти для обміну інформацією про загрози, необхідно докласти чимало зусиль. Зокрема, впровадити процедури оцінювання інформації з зовнішніх джерел, використання її при прийнятті рішень, захист власних конфіденційних даних від розкриття, навчання персоналу.
4. Організаційні та державні вимоги. Закони країни або політика компанії можуть накладати певні обмеження на обмін інформацією.
Вказані вище проблеми можливо вирішити за допомогою AI-агента, інтегрованого з LLM. Це застосунок, що базується на LLM моделі, але крім генерації тексту, може самостійно виконувати дії за допомогою зовнішніх інструментів [4].
Такий агент міг би самостійно переводити інформацію, отриману з систем компанії або від відповідного фахівця в формат, придатний, наприклад, для передачі у MISP. При цьому організації не потрібно було б вивчати протоколи обміну даними, їхні поля та продумувати співвідношення своїх даних до полів, що потребує та чи інша платформа. Взаємодію з зовнішніми інструментами та системами можна організувати за допомогою MCP серверів [5].
В даній роботі пропонується архітектура рішення, яке призначене для автоматизації та надання підтримки при поданні звітності про інциденти.
Архітектура рішення
Схему архітектури AI-агента для підтримки подання звітів про інциденти у різні структури, включаючи CERT, за допомогою генерації документів та взаємодії з MISP через API, подано на рис. 1.
Рис.1 Архітектура рішення AI-агента
Рішення складається з декількох компонентів:
1. Векторна база даних ChromaDB, що містить блоки даних з витримками з нормативних документів та стандартів. що містить у собі ембеддінги — представлення тексту у вигляді числових векторів, яке дозволяє зберегти його семантичний зміст і, наприклад, виконувати по ньому пошук. Побудова таких векторів виконана з використанням paraphrase-multilingual-MiniLM-L12-v2. [6]
2. Рішення, написане мовою Python, що містить основну логіку програми, код для звернення до ChromaDB, роботи з LLM та MCP серверами.
3. LLM модель, звернення до якої відбувається за допомогою API.
4. MCP сервери, що містять код для генерації звітів та подачі відомостей про кіберінцидент до MISP, також з використанням API.
Результатом дії запропонованого рішення є генерація готового звіту та події в MISP.
Висновки
За допомогою запропонованого застосунку можна значно зменшити кількість витрат та зусиль, необхідних для впровадження звітності та обміну інформацією про загрози у процеси організації. Крім того, доповнюючи векторну базу даних та додаючи нові інструменти можна розширити спроможності програми. Перспективним напрямом є навчання моделі щодо генерації звітів згідно міжнародних практик, або її інтеграція з OpenCTI.
Список літератури:
1. Trivedi A., Gupta R., Jangal K. Research Paper on Cyber Threat Intelligence (CTI). 2024. URL: https://doi.org/10.13140/RG.2.2.36291.62241 (дата звернення: 02.10.2025).
2. Harsch A., Kulicke M. Threat Intelligence Management. 2020. 27 с. URL: https://www.ee-isac.eu/threat-intelligence-management-white-paper/ (дата звернення: 04.10.2025).
3. Johnson C., Badger L., Waltermire D. Guide to Cyber Threat Information Sharing. 43 с. URL: https://doi.org/10.6028/NIST.SP.800-150 (дата звернення: 04.10.2025).
4. Infante R. AI Agents and Applications MEAP. Simon and Schuster, 2026. 425 с. URL: https://www.manning.com/books/ai-agents-and-applications (дата звернення: 03.10.2025).
5. Model Context Protocol (MCP): Landscape, Security Threats, and Future Research Directions / H. Xinyi та ін. 2025. 37 с. (Препринт. 2503.23278). URL: https://doi.org/10.48550/arXiv.2503.23278 (дата звернення: 08.10.2025).
6. MTEB-French: Resources for French Sentence Embedding Evaluation and Analysis / M. Ciancone та ін. 2024. 25 с. (Препринт. 2405.20468). URL: https://doi.org/10.48550/arXiv.2405.20468 (дата звернення: 03.10.2025).
|
Голосування 
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License
Знайшли помилку? Виділіть помилковий текст мишкою і натисніть Ctrl + Enter