Uhkatietojen rikastus avointen lähteiden tiedustelutiedoilla

Abstract

Työssä tutkittiin, kuinka avointen lähteiden tiedustelutietoja voidaan hyödyntää uhkatietojen rikastamisessa. Tavoitteena oli kehittää API-rajapintapohjainen alusta, joka mahdollistaa digitaalisten tunnisteiden automaattisen rikastamisen useilla uhkatietolähteillä. Rikastamisen avulla pyrittiin parantamaan tietoturvaloukkausten tunnistamista ja torjuntaa tarjoamalla monipuolista, ajantasaista ja luotettavaa tietoa digitaalisille tunnisteille.

Työn toteutus sisälsi alustan suunnittelun ja kehittämisen sekä käyttöönoton. Työssä analysoitiin uhkatietojen käyttöön liittyviä vaatimuksia, valittiin keskeiset uhkatietolähteet ja toteutettiin alusta, joka yhdistää nämä lähteet yhteen alustaan. Alustan toiminnallisuudet suunniteltiin skaalautuviksi ja yhteensopiviksi olemassa olevien järjestelmien kanssa.

Työn tuloksena syntyi alusta, joka yksinkertaistaa uhkatietojen käyttöä vähentämällä manuaalisia vaiheita ja yhdistämällä useita uhkatietolähteitä yhteen järjestelmään. Alusta mahdollistaa suurten tietomäärien käsittelyn ja tarjoaa joustavuutta sen käyttöönotossa. Kuitenkin toiminnallisuuksiin, kuten API-rajapintadokumentointiin, arkojen tietojen salaamiseen ja pyyntöjen autentikointiin, jäi jatkokehityksen varaan.

Työn johtopäätöksenä todettiin, että uhkatietojen rikastaminen ja niiden automatisoitu hyödyntäminen tukevat merkittävästi tietoturvaloukkausten torjuntaa ja haitallisen toiminnan tunnistamista. Alustan kehittäminen tarjoaa työkalun tietoturvatoiminnan vahvistamiseen, ja sen jatkokehityksellä voidaan lisätä alustan käytettävyyttä ja tehokkuutta entisestään.

The study explored how open-source intelligence (OSINT) can be utilized to enrich threat intelligence data. The objective was to develop an API-based platform that enables the automated enrichment of digital identifiers with multiple threat intelligence sources. The enrichment process aimed to improve the detection and prevention of cybersecurity incidents by providing diverse, up-to-date, and reliable information for digital identifiers.

The implementation involved designing, developing, and deploying the platform. The study analyzed the requirements for using threat intelligence, selected key threat intelligence sources, and built a platform that integrates these sources into a single system. The functionalities of the platform were designed to be scalable and compatible with existing systems.

The result of the study was a platform that simplifies the use of threat intelligence by reducing the number of manual steps and consolidating multiple threat intelligence sources into a single system. The platform enables the processing of large volumes of data and offers flexibility in deployment. However, certain functionalities, such as API documentation, encryption of sensitive data, and request authentication, were left for future development.

The study concludes that enriching and automating the utilization of threat intelligence significantly supports the prevention of cybersecurity incidents and the identification of malicious activities. The development of the platform provides a tool to enhance cybersecurity operations, and further development could improve the usability and efficiency of the platform even further.