This post is also available in: Português Español
Com o intuito de colocar a segurança digital em primeiro lugar, muitas empresas estão se apoiando na inteligência de ameaças (Threat Intelligence) para entender especificamente onde e como concentrar seus esforços para proteger melhor suas organizações e resultados.
No entanto, agora um dos maiores desafios para os analistas é compreender todas as fontes de inteligência de ameaças que suas organizações lidam – comercial, governo, grupos de compartilhamento do setor e fornecedores de segurança.
Como as empresas estão em contato com dezenas de ameaças todos os dias, pode parecer impossível vasculhar todo esse montante para entender e priorizar o que importa para a empresa, no sentido de fortalecer as defesas de forma pró-ativa e acelerar a detecção e a resposta. Selecionamos então cinco práticas recomendadas para auxiliar nessa tarefa.
1) Selecione as fontes certas
Nem todo threat intelligence é igual. A inteligência de ameaças que tem valor para uma empresa pode não ter para outra. O valor se resume à relevância e acessibilidade, o que requer curadoria em uma fonte de enriquecimento personalizada, agregando dados filtrados por vários fatores. Isso inclui: setor, ambiente, infraestrutura, os terceiros com os quais se tem contrato e o perfil de risco da empresa como um todo.
Uma fonte de inteligência de ameaças frequentemente esquecida são os dados armazenados em vários sistemas e ferramentas na própria empresa. Na realidade, começar com dados internos, eventos e telemetria – e complementar com dados externos para contextualizar as informações de sistemas internos – permite que se entenda a relevância e se concentre no que é de alta prioridade para a empresa.
2) Determine quem vai ter acesso aos dados
Embora possa ser interessante fornecer acesso a dados de ameaças a um público amplo, provavelmente é ainda melhor ter uma equipe responsável por adquirir e analisar a inteligência de ameaças – e liberar apenas informações acionáveis.
Nem todas as partes interessadas precisam de todos os níveis de inteligência. Portanto, o ideal é pensar em como o mesmo relatório afetará e será usado por várias equipes em toda a organização. Diferentes times podem usar diferentes aspectos do mesmo relatório de maneiras variadas para alcançar os resultados desejados.
3) Estruturar os dados
Os dados de ameaças vêm em vários formatos. Entre os exemplos, estão as técnicas STIX, MITRE ATT&CK, artigos de notícias, blogs, posts, relatórios do setor de segurança, indicadores de comprometimento (IoCs) de feeds de ameaças e conteúdos do GitHub. Tudo isso precisa ser organizado, e não se trata apenas de formato.
O volume de informações no cenário de inteligência de ameaças é alto, e grupos diferentes usam variados nomes para se referir ao mesmo tema. A organização e normalização compensa isso e permite agregar e ajustar informações rapidamente. Uma plataforma de inteligência de ameaças (TIP) que ingere e normaliza automaticamente os dados, estruturando-os uniformemente para que se possa contextualizá-los e priorizá-los, é fundamental para a triagem – e garante que a empresa esteja de fato se concentrando nas ameaças mais importantes.
4) Usar ferramentas para ajudar na análise
A análise é sempre um desafio, principalmente durante um grande evento. Um TIP faz um bom trabalho ao extrair contextos e pode ajudar a usar as informações de várias maneiras para diferentes casos de uso. Por exemplo, triagem de alertas, caça a ameaças, spear phishing e resposta a incidentes.
Também é importante que a plataforma selecionada funcione bem com estruturas como MITRE ATT&CK para que se possa entender quais adversários podem estar direcionando seus dados de alto valor, as táticas, técnicas e procedimentos (TTPs) para se concentrar e quais ações tomar.
5) Ferramentas para ajudar a tornar os dados acionáveis
A análise permite a priorização, para que seja possível determinar as melhores ações a serem tomadas. Com uma plataforma aberta e compatível com integração bidirecional com sua infraestrutura de segurança, os elementos do programa de inteligência contra ameaças tornam-se acionáveis.
Dessa maneira, pode-se compartilhar inteligência da maneira certa com as equipes ideais para alcançar os resultados desejados no nível estratégico, operacional (com mudanças na postura de segurança) e no nível tático (atualização de regras e assinaturas) para maximizar o valor.
This post is also available in: Português Español