OpenCTI es una plataforma de código abierto que permite a las organizaciones gestionar tu información y documentación sobre ciberamenazas. Ha sido creada para estructurar, almacenar, organizar y visualizar información técnica y no técnica sobre ciberamenazas.
La estructuración de los datos se realiza mediante un esquema de conocimiento basado en los estándares STIX2. Se ha diseñado como una moderna aplicación web que incluye una API GraphQL y un frontend orientado a la UX. Además, OpenCTI puede integrarse con otras herramientas y aplicaciones como MISP, TheHive, MITRE ATT&CK, etc.
Objetivo.
El objetivo es crear una herramienta completa que permita a los usuarios capitalizar la información técnica (como las TTP y los observables) y no técnica (como la atribución sugerida, la victimología, etc.), a la vez que se vincula cada pieza de información a su fuente primaria (un informe, un evento MISP, etc.), con características como los vínculos entre cada información, las fechas de la primera y la última vez que se vio, los niveles de confianza, etc. La herramienta es capaz de utilizar el marco MITRE ATT&CK (a través de un conector dedicado) para ayudar a estructurar los datos. El usuario también puede optar por implementar sus propios conjuntos de datos.
Una vez que los datos han sido capitalizados y procesados por los analistas dentro de OpenCTI, se pueden inferir nuevas relaciones a partir de las existentes para facilitar la comprensión y la representación de esta información. Esto permite al usuario extraer y aprovechar conocimientos significativos de los datos en bruto.
OpenCTI no sólo permite importar, sino también exportar datos en diferentes formatos (CSV, paquetes STIX2, etc.). Actualmente se están desarrollando conectores para acelerar las interacciones entre la herramienta y otras plataformas.
Instalación
Todo lo que necesitas para instalar la plataforma OpenCTI se encuentra en la documentación oficial. Para la instalación, puedes:
- Desplegar la plantilla VM
- Utilizar Docker (recomendado)
- Utilizar Terraform o Helm-Chart (versión comunitaria)
- Instalar manualmente
Acerca de la herramienta
OpenCTI es un producto impulsado por la colaboración de la Agencia Nacional de Ciberseguridad de Francia (ANSSI), el CERT-UE y la organización sin ánimo de lucro Luatix.
Más información:
Fundador y director de DerechodelaRed.
