# מיזוג מודיעין איומים בזמן אמת לשאלונים בטחוניים אוטומטיים  

בסביבה ההיפר‑מקושרת של היום, שאלוני בטחון אינם עוד רשימות בדיקה סטטיות. קונים מצפים לתשובות המשקפות את **הנוף האיום הנוכחי**, חשיפות פגיעות עדכניות והאמצעי הגנה האחרונים. פלטפורמות ציות מסורתיות תלויות בספריות מדיניות שנוצרו באופן ידני ושוהות עד כמה שבועות לפני שהן מוצאות, מה שמוביל למחזורי הבהרה חוזרים ועיכובים בעסקאות.  

**מיזוג מודיעין איומים בזמן אמת** סוגר את הפער הזה. על‑ידי העברת נתוני איום חיים ישירות למנוע בינה מלאכותית גנרטיבית, חברות יכולות ליצור תשובות לשאלונים באופן אוטומטי שהן גם עדכניות וגם מגובה בראיות ניתנות לאימות. התוצאה היא זרימת עבודה של ציות העוקבת אחרי קצב הסיכון הסייברי המודרני.  

---  

## 1. למה נתוני איום חיים הם חשובים  

| נקודת כאב | גישה קונבנציונלית | השפעה |
|------------|-------------------|--------|
| **בקרות מיושנות** | סקירות מדיניות רבעוניות | תשובות מפספסות וקטורים של התקפה שזוהו זה עתה |
| **איסוף ראיות ידני** | העתק‑הדבקה מדוחות פנימיים | מאמץ גבוה של אנליסטים, רגיש לטעויות |
| **פיגור רגולטורי** | מיפוי קלאוזות סטטי | אי‑צייתנות לרגולציות מתעוררות (למשל, [חוק CISA](https://www.cisa.gov/topics/cybersecurity-best-practices)) |
| **חוסר אמון הקונה** | תשובות “כן/לא” גנריות ללא הקשר | מחזורי משא ומתן ארוכים יותר |

מקור איום דינאמי (לדוגמה, MITRE ATT&CK v13, מסד נתוני הפגיעויות הלאומי, התראות ארגז חול קנייניות) מציג באופן קבוע טקטיקות, טכניקות ופרוצדורות (TTPs) חדשות. אינטגרציה של מקור זה לאוטומציה של שאלונים מספקת **הצדקה מודעת הקשר** לכל טענה של בקרה, ומפחיתה משמעותית את הצורך בשאלות המשך.  

---  

## 2. ארכיטקטורה ברמת‑גבוה  

הפתרון מורכב מארבע שכבות לוגיות:  

1. **שכבת איסוף איומים** – מנורמת מקורות מרובים (STIX, OpenCTI, API‑ים מסחריים) לתוך גרף מודיעין איומים מאוחד (TKG).  
2. **שכבת העשרת מדיניות** – מקשרת צמתים ב‑TKG לספריות בקרים קיימות ([SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001)) באמצעות יחסים סמנטיים.  
3. **מנוע בניית פקודות** – יוצר פקודות LLM המשלבות את ההקשר האיום העדכני, מיפויי בקרים, ונתוני מטא‑נתונים ייחודיים לארגון.  
4. **סינתזת תשובה ומעבד ראיות** – מפיק תשובות בשפה טבעית, מצרף קישורים למקורות, ושומר תוצאות ברשומה שביקורת תקינה בלתי ניתנת לשינוי.  

להלן דיאגרמת Mermaid המציגה את זרימת הנתונים.  

```mermaid
graph TD
    A["מקורות איומים"] -->|STIX, JSON, RSS| B["שירות איסוף"]
    B --> C["גרף מודיעין איומים מאוחד"]
    C --> D["שירות העשרת מדיניות"]
    D --> E["ספריית בקרים"]
    E --> F["בונה פקודות"]
    F --> G["מודל AI גנרטיבי"]
    G --> H["מעבד תשובות"]
    H --> I["לוח מחוונים ציות"]
    H --> J["רשומה בלתי ניתנת לשינוי"]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px
    style J fill:#bbf,stroke:#333,stroke-width:2px
```  

---  

## 3. בתוך מנוע בניית הפקודות  

### 3.1 תבנית פקודה קונטקסטואלית  

```text
You are an AI compliance assistant for <Company>. Answer the following security questionnaire item using the most recent threat intelligence.

Question: "{{question}}"
Relevant Control: "{{control_id}} – {{control_description}}"
Current Threat Highlights (last 30 days):
{{#each threats}}
- "{{title}}" ({{severity}}) – mitigation: "{{mitigation}}"
{{/each}}

Provide:
1. A concise answer (max 100 words) that aligns with the control.
2. A bullet‑point summary of how the latest threats influence the answer.
3. References to evidence URLs in the audit ledger.
```  

המנוע מכניס בתכנות את רשומות TKG העדכניות התואמות לתחום הבקרה, מה שמבטיח שכל תשובה משקפת את מצבת הסיכון בזמן אמת.  

### 3.2 יצירת‑תשובה מבוססת‑חיפוש (RAG)  

- **חנות וקטורים** – מאחסנת הטמעות של דוחות איומים, טקסטי בקרים, ומסמכי ביקורת פנימיים.  
- **חיפוש היברידי** – משלב התאמת מילת‑מפתח (BM25) עם דמיון סמנטי כדי לאחזר את k הפריטים הרלוונטיים לפני בניית הפקודה.  
- **פוסט‑פרוססינג** – מריץ בודק עובדתיות המשווה את התשובה המיוצרת עם המסמכים המקוריים של האיומים, דוחה הלוצינציות.  

---  

## 4. מנגנוני אבטחה ופרטיות  

| חשש | הפחתה |
|------|--------|
| **דלף נתונים** | כל מקורות האיום מעובדים במכלול אפס‑אמון; רק מזהים מגוללים נשלחים ל‑LLM. |
| **דליפת מודל** | שימוש ב‑LLM מאורח באופן מקומי (למשל, Llama 3‑70B) עם חוסר קריאה ל‑API חיצוניים. |
| **ציות** | רשומת הביקורת מבוססת על יומן append‑only בלתי ניתן לשינוי בסגנון blockchain, העונה על דרישות SOX ו‑GDPR. |
| **סודיות** | ראיות פנימיות רגישות מוצפנות הצפנה הומומורפית לפני הצירוף לתשובות; רק מבקרי מורשים מחזיקים במפתחות הפענוח. |  

---  

## 5. מדריך יישום שלב‑אחר‑שלב  

1. **בחירת מקורות איומים**  
   - MITRE ATT&CK Enterprise, הזנות CVE‑2025‑xxxx, התראות ארגז חול קנייניות.  
   - רישום מפתחות API והגדרת מאזיני webhook.  

2. **פריסת שירות האיסוף**  
   - שימוש בפונקציה ללא‑שרת (AWS Lambda / Azure Functions) לנרמל חבילות STIX לגרף Neo4j.  
   - הפעלת אבולוציית סכימה בזמן ריצה לתמיכה בסוגי TTP חדשים.  

3. **מיפוי בקרות לאיומים**  
   - יצירת טבלת מיפוי סמנטית (`control_id ↔ attack_pattern`).  
   - ניצול GPT‑4 לקישור ישות כדי להציע מיפויים ראשוניים, ולאחר מכן אישור אנליסטים.  

4. **התקנת שכבת החיפוש**  
   - אינדקס כל צמתי הגרף ב‑Pinecone או במופע Milvus עצמאי.  
   - שמירת מסמכים גולמיים בדלי S3 מוצפן; שמירת מטה‑דאטה בלבד בחנות הווקטורים.  

5. **הגדרת בונה הפקודות**  
   - כתיבת תבניות Jinja‑style (כמו שמוצג למעלה).  
   - פרמטריזציה עם שם החברה, תקופת הביקורת, והסיכון המועדף.  

6. **שילוב מודל גנרטיבי**  
   - פריסת LLM קוד פתוח מאחורי אשכול GPU פנימי.  
   - שימוש במתאמי LoRA מאומנים על תשובות שאלונים היסטוריות ליישור סגנון.  

7. **הצגת תשובה & רישום**  
   - המרת פלט ה‑LLM ל‑HTML, הוספת הערות שוליים במרק‑דאון עם קישורים להאש של ראיות.  
   - כתיבת ערך חתום לרשומת הביקורת באמצעות מפתחות Ed25519.  

8. **לוח מחוונים & התראות**  
   - הצגת מדדי כיסוי בזמן אמת (אחוז השאלות שנענו עם נתוני איום עדכניים).  
   - קביעת התראות סף (לדוגמה, >30 יום של אי‑איום מיושן לכל בקרה שהושבה).  

---  

## 6. תועלות מדידות  

| מדד | קו בסיס (ידני) | לאחר היישום |
|------|-------------------|----------------------|
| זמן ממוצע למענה | 4.2 ימים | **0.6 ימים** |
| מאמץ אנליסט (שעות לשאלון) | 12 שעה | **2 שעה** |
| שיעור עבודה חוזרת (תשובות שדורשות הבהרה) | 28 % | **7 %** |
| שלמות מסלול ביקורת | חלקית | **100 % בלתי ניתנת לשינוי** |
| מדד אמון קונה (סקר) | 3.8 / 5 | **4.6 / 5** |

שיפורים אלה מתורגמים ישירות למחזורי מכירות קצרים יותר, עלויות ציות נמוכות יותר, ונרטיב חזק יותר של תנאי האבטחה.  

---  

## 7. שיפורים עתידיים  

1. **שקלול איומים אדפטיבי** – יישום לולאה של למידת חיזוק שבה משוב קונה משפיע על משקל החומרה של קלטי האיום.  
2. **מיזוג רגולטורי חוצת‑תחומים** – הרחבת מנוע המיפוי למזג באופן אוטומטי טכניקות ATT&CK עם דרישות GDPR סעיף 32, NIST 800‑53, ו‑CCPA.  
3. **אימות בעזרת הוכחת אפס‑ידע** – אפשרות למשתמשים להוכיח שמיקו CVE ספציפי מבלי לחשוף פרטי המימוש המלאים, לשמירה על סודיות תחרותית.  
4. **הסקה מקומית בקצה** – פריסת LLM‑ים קלים בקצה (למשל, Cloudflare Workers) למענה על שאלונים בעל latency נמוך ישירות מהדפדפן.  

---  

## 8. סיכום  

שאלוני בטחון מתפתחים מהצהרות סטטיות למודעות **דינאמית של סיכון** המחייבת אינטגרציה של נוף האיום המתעדכן ללא הרף. על‑ידי מיזוג מודיעין איומים חי עם צינור העבודה של בינה מלאכותית גנרטיבית משולבת בחיפוש, ארגונים יכולים לייצר **תשובות בזמן אמת, מגובות בראיות**, המשביעות קונים, מבקרים, ורגולטורים כאחד. הארכיטקטורה המתוארת כאן אינה רק מאיצה ציות, אלא בונה מסלול ביקורת שקוף ובלתי ניתן לשינוי — ופיכתה תהליך של חיכוך למיתר אסטרטגי.  

---  

## ראיונות נוספים  

- https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final  
- https://attack.mitre.org/  
- https://www.iso.org/standard/54534.html  
- https://openai.com/blog/retrieval-augmented-generation