This post is also available in: Português Español
Em sua atuação, a Inteligência de Ameaças (Threat Intelligence) possui um ciclo de vida, que se organiza como uma estrutura na ação contra atividades maliciosas. Essa estrutura descreve as principais etapas para aplicar e manter altos padrões de segurança de dados, o que permite tirar conclusões com alto grau de confiabilidade e agir com base em fatos comprovados. Essa metodologia contém cinco fases, e todas convertem dados brutos em inteligência estruturada.
Fase 1: Planejamento e Direção
Há um consenso de que a primeira fase do ciclo de vida da inteligência de ameaças é a mais importante. O motivo é que ela define o objetivo e o escopo de todas as atividades seguintes. Afinal, como pontapé inicial, determina as principais metas e tarefas do programa de inteligência contra ameaças, que geralmente são chamados de requisitos de inteligência (IR, na sigla em inglês).
Os RIs devem refletir os objetivos principais da equipe e o que exatamente a inteligência fornecerá (por exemplo, ganhos de eficiência operacional, risco reduzido e detecção ou respostas mais rápidas).
Quanto mais forem definidas e quantificadas as metas de inteligência, mais fácil será estabelecer e acompanhar os principais indicadores de desempenho (KPIs) e demonstrar suas evoluções.
Em muitos casos, o responsável pela segurança digital na empresa orientará o planejamento e a direção nesta fase. Ele também pode estabelecer os objetivos e desafios principais do programa, juntamente com todas as ameaças externas em potencial.
É neste estágio que se definem quais tipos de ativos, processos e pessoas podem estar em risco, determinando ainda como a inteligência de ameaças melhorará a eficiência operacional da equipe.
Fase 2: Coleta e Processamento
A quantidade e a qualidade dos dados são aspectos cruciais da etapa número dois. Quem perder o foco da quantidade ou da qualidade, poderá ver a empresa recheada de falsos positivos – com a chance de ameaças graves passarem despercebidas.
Assim, a coleta de inteligência estabelece o escopo das fontes utilizadas, tanto em termos de volume quanto de tipo de dados. Isso inclui uma ampla variedade de exemplos de ameaças, como phishing, credenciais comprometidas, logs de rede, vulnerabilidades e explorações comuns (CVEs), variantes de malware vazadas, entre outras.
O componente de processamento da fase dois busca então normalizar e estruturar todos os dados acumulados. Os procedimentos geralmente incluem a redução do volume de dados brutos e a extração de metadados de amostras de malware, podendo ainda fazer pesquisas na dark web e fazer questionamentos sobre pontos cegos internos e externos.
Fase 3: Análise
Eis aqui um processo amplamente qualitativo e muitas vezes orientado para o ser humano. Destina-se a contextualizar a inteligência de ameaças processadas por meio do enriquecimento e aplicação de dados estruturais conhecidos ou correlação avançada e modelagem de dados.
À medida que a inteligência artificial e o aprendizado de máquina continuam a amadurecer, algumas tarefas orientadas para humanos – como decisões mundanas e de baixo risco – serão cada vez mais automatizadas. Isso liberará recursos operacionais e funcionários para priorizar tarefas e investigações mais estratégicas.
Nesse contexto, serão avaliados quais tipos de ativos, processos e pessoal estão em risco, focando em aspectos que façam a inteligência de ameaças melhorar a eficiência operacional da equipe.
Fase 4: Produção
Quando a análise de inteligência de ameaças estiver concluída, a fase quatro passa para os esforços de desenvolvimento – que se concentram em organizar a inteligência em gráficos, painéis e relatórios fáceis de assimilar. No estágio quatro, é essencial identificar as informações mais significativas e obter conclusões lógicas dos dados e análises concluídas na fase três.
Com base na inteligência finalizada, as partes interessadas finalizam os relatórios e preparam as comunicações para os membros finais da equipe e os principais tomadores de decisão. Por fim, esse público final da inteligência de ameaças avaliará a análise e decidirá se deve ou não agir.
Para eles, chegam então informações sobre quais são as descobertas mais importantes da análise e qual é a melhor maneira de ilustrá-las. Deve-se ainda abordar pontos no que tange o grau de confiança da análise – se é confiável, relevante e precisa – incluindo recomendações claras e concretas com os próximos passos em relação à análise.
Fase 5: Divulgação e Feedback
Para gerar resultados e lidar com os riscos, os times de segurança devem distribuir seus relatórios de inteligência para as partes interessadas apropriadas. Essas equipes podem executar toda a gama de opções: equipes de fraude dedicadas, de inteligência de ameaças cibernéticas (CTI) e de operações de segurança (SecOps). A lista segue com as equipes de gerenciamento de vulnerabilidades, de risco de terceiros e as equipes de liderança sênior responsáveis pela alocação de recursos e planejamento estratégico.
Ao receber a inteligência finalizada, as partes interessadas avaliam as descobertas, tomam as decisões importantes e fornecem feedback para refinar as operações de inteligência. As melhorias nessa esfera operacional tendem a se concentrar na velocidade e eficiência das atividades de inteligência e no tempo de entrega final.
É necessário então haver definições claras sobre quais partes interessadas se beneficiam dos relatórios de inteligência de ameaças, enfatizando a melhor forma de apresentar as conclusões e com qual frequência de entrega.
Outro questionamento é: o quão valiosa é a inteligência finalizada? Até que ponto é acionável e permite que a empresa tome decisões de segurança com base em dados específicos? Seja como for, é importante determinar como é possível melhorar a empresa em termos de inteligência finalizada – bem como em termos de evoluções no ciclo de inteligência da empresa.
This post is also available in: Português Español