# Fuzija real‑time obavještajne inteligencije prijetnji za automatizirane sigurnosne upitnike  

U današnjem hiper‑povezanom okruženju, sigurnosni upitnici više nisu statične kontrolne liste. Kupci očekuju odgovore koji odražavaju **trenutni** krajolik prijetnji, nedavne otkriće ranjivosti i najnovije mitigacije. Tradicionalne platforme za usklađenost oslanjaju se na ručno kurirane biblioteke politika koje zastarijevaju već nakon nekoliko tjedana, što dovodi do ciklusa pojašnjenja i odgođenih poslova.  

**Fuzija real‑time obavještajne inteligencije prijetnji** premošćuje taj jaz. Uzimajući live podatke o prijetnjama izravno u generativni AI sustav, tvrtke mogu automatski sastavljati odgovore na upitnike koji su i ažurirani i potkrijepljeni provjerljivim dokazima. Rezultat je radni tijek usklađenosti koji drži korak s brzinom modernog cyber‑rizika.  

---  

## 1. Zašto je važno imati live podatke o prijetnjama  

| Točka boli | Konvencionalni pristup | Utjecaj |
|------------|-----------------------|--------|
| **Zastarjeli kontrolni mehanizmi** | Kvartalni pregledi politika | Odgovori propuštaju novootkrivene vektore napada |
| **Ručno prikupljanje dokaza** | Kopiranje‑zaljepljivanje iz internog izvješća | Velik napor analitičara, sklon pogreškama |
| **Regulatorna zaostajanja** | Statičko mapiranje odredbi | Neskladnost s novim regulativama (npr., [CISA Act](https://www.cisa.gov/topics/cybersecurity-best-practices)) |
| **Nedopustanje kupaca** | Generički „da/ne“ bez konteksta | Duži pregovarački ciklusi |

Dinamični feed prijetnji (npr. MITRE ATT&CK v13, Nacionalna baza ranjivosti, proprietarne sandbox obavijesti) neprestano iznosi nove taktike, tehnike i procedure (TTP‑ove). Integracija tog feeda u automatizaciju upitnika pruža **kontekstualno opravdanje** za svaki navod o kontroli, dramatično smanjujući potrebu za dodatnim pitanjima.  

---  

## 2. Visokorazinska arhitektura  

Rješenje se sastoji od četiri logička sloja:  

1. **Sloj unosa prijetnji** – Normalizira feedove iz više izvora (STIX, OpenCTI, komercijalni API‑ji) u jedinstveni Graf znanja prijetnji (Threat Knowledge Graph – TKG).  
2. **Sloj obogaćivanja politika** – Povezuje čvorove TKG‑a s postojećim bibliotekama kontrola ([SOC 2](https://secureframe.com/hub/soc-2/what-is-soc-2), [ISO 27001](https://www.iso.org/standard/27001)) putem semantičkih veza.  
3. **Motor generiranja prompta** – Sastavlja LLM promptove koji ugrade najnoviji kontekst prijetnji, mapiranje kontrola i metapodatke organizacije.  
4. **Sinteza odgovora & renderiranje dokaza** – Generira tekstualne odgovore, dodaje veze na dokazne izvore i pohranjuje rezultate u nepromjenjivi audit ledger.  

Ispod je Mermaid dijagram koji vizualizira protok podataka.  

```mermaid
graph TD
    A["\"Threat Sources\""] -->|STIX, JSON, RSS| B["\"Ingestion Service\""]
    B --> C["\"Unified Threat KG\""]
    C --> D["\"Policy Enrichment Service\""]
    D --> E["\"Control Library\""]
    E --> F["\"Prompt Builder\""]
    F --> G["\"Generative AI Model\""]
    G --> H["\"Answer Renderer\""]
    H --> I["\"Compliance Dashboard\""]
    H --> J["\"Immutable Audit Ledger\""]
    style A fill:#f9f,stroke:#333,stroke-width:2px
    style I fill:#bbf,stroke:#333,stroke-width:2px
    style J fill:#bbf,stroke:#333,stroke-width:2px
```  

---  

## 3. Unutar motora generiranja prompta  

### 3.1 Predložak kontekstualnog prompta  

```text
You are an AI compliance assistant for <Company>. Answer the following security questionnaire item using the most recent threat intelligence.

Question: "{{question}}"
Relevant Control: "{{control_id}} – {{control_description}}"
Current Threat Highlights (last 30 days):
{{#each threats}}
- "{{title}}" ({{severity}}) – mitigation: "{{mitigation}}"
{{/each}}

Provide:
1. A concise answer (max 100 words) that aligns with the control.
2. A bullet‑point summary of how the latest threats influence the answer.
3. References to evidence URLs in the audit ledger.
```  

Motor programatski ubacuje najnovije TKG unose koji odgovaraju opsegu kontrole, osiguravajući da svaki odgovor odražava real‑time stanje rizika.  

### 3.2 Generiranje uz pomoć pretraživanja (RAG)  

- **Vector Store** – Pohranjuje vektorske reprezentacije izvješća o prijetnjama, tekstova kontrola i internog audit materijala.  
- **Hibridna pretraga** – Kombinira ključnu riječ (BM25) s semantičnom sličnošću kako bi se prije prompting‑a dohvatilo top‑k relevantnih dijelova.  
- **Post‑processing** – Pokreće provjeru činjeničnosti koja križom provjerava generirani odgovor s originalnim dokumentima o prijetnjama, odbacujući halucinacije.  

---  

## 4. Sigurnosne i privatnosne mjere  

| Briga | Ublažavanje |
|---------|------------|
| **Ekstrakcija podataka** | Svi feedovi prijetnji obrađuju se u zero‑trust enklavi; samo hashirani identifikatori šalju se LLM‑u. |
| **Curanje modela** | Koristite samostalni LLM (npr. Llama 3‑70B) s on‑prem inferencom, bez vanjskih API‑ja. |
| **Usklađenost** | Audit ledger je izgrađen na nepromjenjivoj blockchain‑stil logu, zadovoljava SOX i GDPR auditable zahtjeve. |
| **Povjerljivost** | Osjetljivi interni dokazi enkriptiraju se homomorfnom enkripcijom prije priključivanja uz odgovore; samo ovlašteni revizori posjeduju ključeve za dekripciju. |  

---  

## 5. Vodič za implementaciju korak po korak  

1. **Odaberite feedove prijetnji**  
   - MITRE ATT&CK Enterprise, CVE‑2025‑xxxx feedovi, proprietarne sandbox obavijesti.  
   - Registrirajte API ključeve i konfigurirajte webhook slušatelje.  

2. **Razmjestite servis unosa**  
   - Koristite serverless funkciju (AWS Lambda / Azure Functions) za normalizaciju STIX paketa u Neo4j graf.  
   - Omogućite dinamičku evoluciju sheme za nove tipove TTP‑ova.  

3. **Mapirajte kontrole na prijetnje**  
   - Kreirajte semantičku tablicu (`control_id ↔ attack_pattern`).  
   - Iskoristite GPT‑4‑temeljeno povezivanje entiteta za automatske prijedloge, a zatim dopustite sigurnosnim analitičarima odobrenje.  

4. **Postavite sloj pretraživanja**  
   - Indeksirajte sve čvorove grafa u Pinecone ili samostalni Milvus.  
   - Sirove dokumente pohranite u enkriptirani S3 bucket; u vektorskom store‑u držite samo meta‑podatke.  

5. **Konfigurirajte generator prompta**  
   - Napišite Jinja‑stil predloške (kao što je prikazano iznad).  
   - Parametrirajte s imenom tvrtke, revizijskim razdobljem i tolerancijom rizika.  

6. **Integrirajte generativni model**  
   - Postavite Open‑Source LLM iza internog GPU klastera.  
   - Koristite LoRA adaptere fino podešene na historijskim odgovorima upitnika radi dosljednosti stila.  

7. **Renderiranje odgovora i ledger**  
   - Pretvorite LLM izlaz u HTML, dodajte Markdown fusnote s poveznicama na hashirane dokaze.  
   - Zapišite potpisani unos u audit ledger koristeći Ed25519 ključeve.  

8. **Dashboard i obavijesti**  
   - Vizualizirajte metrike pokrivenosti (postotak pitanja odgovorjenih uz svježe podatke o prijetnjama).  
   - Postavite pragove upozorenja (npr., >30 dana zastarjeli podaci za bilo koju odgovorenu kontrolu).  

---  

## 6. Mjerljive koristi  

| Metrika | Osnovno (ručno) | Nakon implementacije |
|--------|-------------------|----------------------|
| Prosječno vrijeme odgovora | 4,2 dana | **0,6 dana** |
| Napor analitičara (sati po upitniku) | 12 h | **2 h** |
| Stopa ponovnog rada (odgovori koji zahtijevaju pojašnjenje) | 28 % | **7 %** |
| Potpunost audit trail‑a | Djelomična | **100 % nepromjenjiva** |
| Score povjerenja kupca (anketa) | 3,8 / 5 | **4,6 / 5** |

Ove poboljšanja izravno vode kraćim prodajnim ciklusima, nižim troškovima usklađenosti i jačim narativom sigurnosnog stanja.  

---  

## 7. Buduća poboljšanja  

1. **Adaptivno ponderiranje prijetnji** – Primijeniti petlju pojačanja (RL) gdje povratne informacije kupca utječu na težinu prijetnji u ulazu.  
2. **Fuzija preko regulativa** – Proširiti mapiranje kako bi se automatski uskladili ATT&CK tehnike s GDPR Art. 32, NIST 800‑53 i CCPA zahtjevima.  
3. **Verifikacija nultog otkrivanja (Zero‑Knowledge Proof)** – Omogućiti dobavljačima da dokažu da su mitigirali određeni CVE bez otkrivanja cijelih detalja, čuvajući konkurentsku tajnu.  
4. **Edge‑native inferencija** – Postaviti lagane LLM‑ove na edge (npr., Cloudflare Workers) za odgovaranje na upite upitnika s niskom latencijom izravno iz preglednika.  

---  

## 8. Zaključak  

Sigurnosni upitnici evoluiraju od statičkih izjava prema **dinamičkim izjavama o riziku** koje moraju uzeti u obzir stalno mijenjajući se krajolik prijetnji. Spajanjem live obavještajne inteligencije s pipeline‑om generativne AI‑a, organizacije mogu proizvesti **real‑time, dokazano potkrijepljene odgovore** koji zadovoljavaju kupce, revizore i regulatore. Opisana arhitektura ne samo da ubrzava usklađenost, već i gradi transparentan, nepromjenjiv audit trail – pretvarajući tradicionalno frikcionirani proces u stratešku prednost.  

---  

## Pogledajte također  

- https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final  
- https://attack.mitre.org/  
- https://www.iso.org/standard/54534.html  
- https://openai.com/blog/retrieval-augmented-generation