Analiza platformelor de partajare a informațiilor despre amenințări cibernetice și rolul acestora în prevenirea atacurilor cibernetice

Abstract

Lucrarea de față examinează, dintr-o perspectivă atât conceptuală, cât și practică, modul în care informațiile de tip cyber threat intelligence pot fi valorificate în sprijinul proceselor operaționale de apărare cibernetică la nivel organizațional. Partea teoretică a lucrării prezintă principalele modele și definiții asociate CTI, ciclul de viață al inteligenței, tipologiile de indicatori de compromitere și standardele utilizate pentru schimbul structurat de informații despre amenințări. În acest cadru este analizată platforma MISP ca soluție open-source dedicată colectării, stocării și partajării datelor CTI, fiind descrise arhitectura sa, mecanismele de distribuție și rolul ecosistemului de module și extensii în consolidarea capacității de analiză. Validarea soluției propuse este realizată printr-un studiu de caz ce modelează o campanie de phishing, în cadrul căreia sunt introduși în MISP indicatori reprezentativi. Rezultatele obținute demonstrează că arhitectura propusă contribuie atât la creșterea calității și trasabilității informațiilor CTI, cât și la sporirea gradului lor de utilitate, oferind totodată un punct de plecare pentru dezvoltări ulterioare, precum integrarea cu platforme de monitorizare sau corelarea cu alte surse interne.

The present thesis examines, from both a conceptual and a practical perspective, how cyber threat intelligence (CTI) can be leveraged to support operational cyber defense processes at the organizational level. The theoretical part of the work presents the main models and definitions associated with CTI, the intelligence lifecycle, the typology of indicators of compromise, and the standards used for the structured exchange of threat information. Within this framework, the MISP platform is analyzed as an open-source solution dedicated to the collection, storage and sharing of CTI data, with focus on its architecture, distribution mechanisms, and the role of its ecosystem of modules and extensions in strengthening analytical capabilities. The proposed solution is validated through a case study that models a phishing campaign, in which representative indicators are introduced into MISP. The results show that the proposed architecture contributes both to improving the quality and traceability of CTI information and to increasing its degree of actionability, while also providing a starting point for future developments such as integration with monitoring platforms or correlation with other internal data sources.