Threat Intelligence: সাইবার অপরাধীদের পরবর্তী আক্রমণ সম্পর্কে আগাম তথ্য সংগ্রহ এবং বিশ্লেষণ করার প্রক্রিয়া!

Gartner-এর সংজ্ঞা অনুযায়ী Threat Intelligence হলো "evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard."

এই দীর্ঘ definition-এর কয়েকটি key element রয়েছে। "Evidence-based" — speculation নয়, প্রমাণভিত্তিক। "Context" — কেবল raw data নয়, বরং তার তাৎপর্য। "Actionable" — যা ব্যবহার করে কোনো decision বা action নেওয়া যায়। "Inform decisions" — শেষ পর্যন্ত intelligence-এর মূল্য decision-making-এ।

কেবল IoC feed না, পূর্ণাঙ্গ CTI adversary-এর "who, what, when, where, why, how" প্রশ্নের উত্তর দেয়।

CTI কে সাধারণত তিন level-এ বিভক্ত করা হয় — strategic, operational, এবং tactical।

Strategic Intelligence executive এবং board-level audience-এর জন্য। উদাহরণ: "Geopolitical tension-এর কারণে আগামী ৬ মাসে state-sponsored attack increase হবে।" বা "Ransomware-as-a-service ecosystem-এর rise নতুন nation-agnostic threat তৈরি করছে।" Strategic CTI-এর focus long-term trend, motivation এবং organizational risk। Decision: security budget বৃদ্ধি, geographic expansion পুনর্বিবেচনা, cyber insurance policy upgrade।

Operational Intelligence SOC manager, threat hunter এবং incident responder-এর জন্য। উদাহরণ: "FIN7 group recently using BadUSB devices for initial access in financial sector." Operational CTI-এর focus specific campaign, threat actor TTP, এবং upcoming attack indicator। Decision: hunting hypothesis তৈরি, detection rule update, security control tuning।

Tactical Intelligence SOC analyst এবং SIEM operator-এর জন্য। IoC-base — IP address, file hash, domain, URL, registry key, mutex। Decision: SIEM rule, firewall block list, EDR custom indicator।

তিনটি level interconnected — strategic level-এ identified threat operational level-এ campaign-এ rendered হয় এবং tactical level-এ specific IoC-তে রূপান্তরিত হয়।

US Intelligence Community-এর classic intelligence lifecycle CTI-তেও অনুসরিত হয়। ছয়টি phase।

Direction: Intelligence requirement (IR) define করা। Stakeholder কী জানতে চান? উদাহরণ: "আমাদের industry-তে currently active ransomware group কারা?" "Our specific software (যেমন SAP, Salesforce) target করে কোন threat actor?"

Collection: Requirement-অনুযায়ী data সংগ্রহ। Open Source Intelligence (OSINT), Human Intelligence (HUMINT), Technical Intelligence (TECHINT) — সব source থেকে। OSINT-এর মধ্যে security blog, vendor report, social media, dark web forum, paste site।

Processing: Raw data-কে structured format-এ রূপান্তর। STIX (Structured Threat Information eXpression) standard-এ encode করা। TAXII (Trusted Automated eXchange of Indicator Information) protocol-এ share।

Analysis: Processed data-কে context-এ analyze করা। Pattern identify করা। Actor attribution। Confidence level assignment (high, medium, low)।

Dissemination: Audience-specific format-এ intelligence deliver করা। Executive-এর জন্য brief, SOC-এর জন্য SIEM-ready feed, hunter-এর জন্য Sigma rule এবং Yara signature।

Feedback: Consumer থেকে feedback সংগ্রহ। Intelligence কতটা useful ছিল? কী missing? এই feedback পরবর্তী direction phase-কে refine করে।

CTI-তে threat actor কয়েকটি broad category-তে শ্রেণিবদ্ধ।

Nation-State Actor (APT): state-sponsored, sophisticated, long-term campaign। উদাহরণ: APT29 (Cozy Bear, Russia), APT41 (China), Lazarus Group (DPRK), APT34 (Iran)। Motivation — espionage, geopolitical advantage, intellectual property theft।

Cybercriminal Group: financially motivated। Ransomware operator (LockBit, BlackCat/ALPHV, Cl0p), banking trojan operator (Emotet, TrickBot historically), business email compromise (BEC) group। Cybercrime-as-a-service model এ initial access broker (IAB), ransomware-as-a-service (RaaS) affiliate এবং money laundering specialist-এর ecosystem।

Hacktivist: ideologically motivated। Anonymous-এর legacy, modern hacktivist group Russo-Ukrainian war এবং Israeli-Palestinian conflict context-এ active।

Insider Threat: organization-এর ভেতরের person — malicious বা negligent।

Script Kiddie: low-skilled, opportunistic।

Attribution complex। MITRE-এর ATT&CK, MISP, MITRE-এর Threat Actor Encyclopedia, এবং vendor-specific tracking (Mandiant-এর UNC/APT designations, CrowdStrike-এর BEAR/PANDA/SPIDER taxonomy, Microsoft-এর storm/weather-name taxonomy) attribution complex করে। একই actor কে বিভিন্ন name-এ পরিচিত — APT29 = Cozy Bear = NOBELIUM = Midnight Blizzard (Microsoft) = ITG11 (IBM)।

OSINT CTI-এর প্রধান source। কয়েকটি critical OSINT resource।

VirusTotal: hash, URL, domain reputation এবং sandbox analysis।

Shodan, Censys, ZoomEye: internet-wide scanning data, exposed service identification।

AbuseIPDB, AlienVault OTX, abuse.ch: community-shared malicious indicator।

MISP: free, open-source threat sharing platform যা অনেক ISAC এবং CERT ব্যবহার করে।

MITRE ATT&CK: TTP knowledge base।

Security Blog এবং Vendor Report: Mandiant, CrowdStrike, Microsoft Threat Intelligence, Talos (Cisco), Unit 42 (Palo Alto), Recorded Future Insikt Group — সব major vendor-এর research blog।

Twitter/X এবং Mastodon: real-time threat intel — সাধারণত হ্যান্ডেল @MalwareHunterTeam, @VK_Intel, @bushidotoken এবং similar accounts।

Dark Web এবং Forum Monitoring: hidden marketplace, ransomware leak site, criminal forum। এই collection-এ tradecraft এবং OPSEC consideration জরুরি — analyst-এর persona, VPN/Tor, attribution mask।

GitHub এবং Paste Site: leaked credential, source code, configuration।

David Bianco-র Pyramid of Pain বিভিন্ন indicator type-এর adversary-cost-এর hierarchy দেখায়। নিচে atomic indicator — hash (trivial to change), IP address (easy), domain (easy)। মাঝে artifact — network artifact, host artifact (moderate)। উপরে tool (annoying), এবং সর্বোচ্চ TTP (tough)।

মাত্র IoC-based detection short-term value দেয়। TTP-based detection long-term value দেয়, কারণ adversary তাদের core technique change করতে বছরের পর বছর resource ব্যয় করতে পারে না।

আধুনিক CTI program-এ TTP-focused intelligence delivery — কেবল IoC feed নয়, বরং "what does APT29 do?" সেই context সহ।

MITRE ATT&CK CTI-কে structured করার অপরিহার্য framework। ATT&CK group page-এ প্রতিটি tracked actor-এর জন্য তাদের known TTP, used software, এবং campaign-এর mapping পাওয়া যায়।

ATT&CK Navigator দিয়ে hunter এবং defender visualize করেন কোন technique-এ তাদের coverage আছে, কোথায় gap। যদি একটি specific APT group আপনার industry target করে, তাদের TTP-এর সমষ্টিকে ATT&CK Navigator-এ overlay করে আপনি জানতে পারবেন আপনার current detection capability সেই specific threat-এর বিরুদ্ধে কতটা effective।

ATT&CK-এর সাথে STRIDE, DREAD এবং PASTA threat modeling framework মিলিয়ে comprehensive risk picture তৈরি করা সম্ভব।

CTI sharing-এর জন্য কয়েকটি standard ব্যবহার হয়।

STIX (Structured Threat Information eXpression): indicator, TTP, threat actor, campaign এবং relationship encode করার XML/JSON-based standard। STIX 2.1 current version।

TAXII (Trusted Automated eXchange of Indicator Information): STIX content share করার transport protocol। REST API-based।

MISP: open-source platform যা STIX, OpenIOC, CSV সব format support করে।

OpenIOC: Mandiant-এর developed older standard।

TLP (Traffic Light Protocol): indicator কতটা share করা যায় তার restriction — TLP:RED (no sharing), TLP:AMBER (limited), TLP:GREEN (community), TLP:WHITE/CLEAR (public)।

ISAC (Information Sharing and Analysis Center) sector-specific intelligence sharing — FS-ISAC (financial), H-ISAC (healthcare), E-ISAC (electricity), Auto-ISAC (automotive)।

The Diamond Model of Intrusion Analysis চারটি core element-এ একটি event-কে express করে — Adversary, Capability, Infrastructure, Victim। এই চার vertex-এর relationship analyze করে analyst hidden connection আবিষ্কার করেন।

Lockheed Martin-এর Cyber Kill Chain সাত-stage attack lifecycle define করে — Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objectives। প্রতিটি stage-এ defender কী action নিতে পারেন (detect, deny, disrupt, degrade, deceive, destroy) সেটির matrix।

আধুনিক CTI analysis-এ Diamond Model এবং Kill Chain উভয়ই MITRE ATT&CK-এর সাথে মিলে complementary value দেয়।

বড় enterprise সাধারণত একাধিক commercial TI provider subscribe করে। উল্লেখযোগ্য vendor-

Mandiant Advantage (Google Cloud-এর অংশ): nation-state and financially motivated threat research। M-Trends annual report।

Recorded Future: dark web monitoring, geopolitical context, vulnerability prioritization।

CrowdStrike Falcon Intelligence: actor-centric reporting, malware analysis।

Microsoft Threat Intelligence: ৭৮ trillion daily signals থেকে generated indicator।

Group-IB: financial cybercrime এবং APT focus।

Flashpoint: dark web এবং illicit community-focused।

প্রতিটি vendor-এর strength ভিন্ন — কেউ technical IoC-তে strong, কেউ strategic geopolitical analysis-এ। Cost-conscious organization-এর জন্য open-source feed এবং community-driven MISP feed দিয়ে শুরু করা reasonable।

একটি mature CTI team-এ কয়েকটি role-

CTI Analyst: day-to-day analysis, report writing, IoC enrichment।

Threat Researcher: malware reverse engineering, deep technical analysis।

Strategic Analyst: geopolitical context, executive briefing।

Dark Web Analyst: underground forum monitoring, persona management।

CTI Engineer: TI platform implementation, automation, integration।

Necessary skill — analytic writing, structured analysis technique (Analysis of Competing Hypotheses, Key Assumptions Check), foreign language (Russian, Mandarin, Persian — দক্ষতা থাকলে value বৃদ্ধি), programming (Python, REST API), and technical depth (network protocol, malware analysis basics)।

SANS FOR578, MITRE-এর CTI training, এবং vendor-specific certification (CrowdStrike CCNA, Mandiant analyst training) skill development-এর path।

CTI-এর value কেবল report production-এ নয়, বরং security operation-এ embedded হওয়ায়। Integration point-

SOC: TI-driven detection rule, hunting hypothesis।

Incident Response: post-incident attribution, scope assessment।

Vulnerability Management: TI-prioritized patching। যদি TI feed বলে "CVE-X actively exploited by ransomware group", সেটি immediate patch priority।

Red Team: realistic adversary emulation।

Risk Management: quantified risk assessment based on threat likelihood।

Procurement: third-party risk assessment, supply chain security।

CTI program build করতে organization-কে কয়েকটি step নিতে হবে।

প্রথমে clear intelligence requirement define। Stakeholder-এর সাথে interview, structured analysis-এর মাধ্যমে IR document তৈরি।

দ্বিতীয়ত, foundational tool acquisition — MISP open-source instance, SIEM-এ TI feed integration, VirusTotal Enterprise subscription।

তৃতীয়ত, একজন বা একাধিক CTI analyst hire বা train। Junior SOC analyst-কে CTI role-এ rotate-ও effective career path।

চতুর্থত, sector-specific ISAC-এ membership এবং active participation।

পঞ্চমত, regular threat briefing cadence — weekly tactical briefing, monthly operational briefing, quarterly strategic briefing।

ষষ্ঠত, success metric — coverage of relevant threat group, time-to-action on intel, true positive rate of TI-driven alert।

সপ্তমত, OPSEC discipline — analyst persona, secure infrastructure, source protection।