Aprendizado e descoberta 4min de Leitura - 22 de agosto de 2022

Threat Intelligence – o que é

Threat Intelligence

This post is also available in: Português

A inteligência de ameaças (Threat Intelligence) é o conjunto de informações coletadas em várias fontes sobre ataques atuais ou potenciais contra uma empresa. As informações são analisadas, refinadas e organizadas para minimizar e mitigar os riscos de segurança cibernética.

O principal objetivo da Threat Intelligence é mostrar às empresas os vários riscos que elas enfrentam no que se refere a ameaças externas, como explorações de Zero Day e ameaças persistentes avançadas (APTs). A inteligência de ameaças inclui informações detalhadas e o contexto sobre ameaças específicas, como quem está atacando, seus recursos e motivação e os indicadores de comprometimento (IOCs). Com essas informações, as empresas podem tomar decisões – com base em informações precisas, sobre como se defender contra os ataques mais prejudiciais.

Importância da Threat Intelligence

Seja qual for o caso, o trabalho de inteligência é quem fornece a empresa o apoio a decisão, que possivelmente pode se reverter em uma vantagem estratégica. Assim, a Threat Intelligence é parte de uma estratégia maior de inteligência de segurança. Inclui informações relacionadas à proteção contra ameaças externas e internas, bem como os processos, políticas e ferramentas usadas para coletar e analisar essas informações.

A inteligência de ameaças dá uma visão ampla a respeito do cenário de ameaças e sobre seus autores, juntamente com suas táticas, técnicas e procedimentos mais recentes. Por isso, permite que as organizações sejam pró-ativas na configuração de seus controles de segurança para detectar e prevenir ataques avançados e ameaças de dia zero. Muitos desses ajustes podem ser automatizados para que a segurança permaneça alinhada com a inteligência mais recente em tempo real.

Tipos de inteligência de ameaças

Existem quatro variedades de inteligência de ameaças: estratégica, tática, técnica e operacional. Todas são essenciais para construir uma avaliação abrangente de ameaças.

  • Inteligência estratégica de ameaças:
  • essa análise resume os possíveis ataques cibernéticos e consequências para públicos não técnicos e partes interessadas. É apresentada na forma de white papers, relatórios e apresentações, sendo baseadas em análises detalhadas de riscos e tendências emergentes em todo o mundo. É usada para criar uma visão geral de alto nível do cenário de ameaças de um setor ou empresa.

  • Inteligência tática de ameaças:
  • fornece informações sobre as táticas, técnicas e procedimentos (TTPs) que os agentes de ameaças usam. Destina-se àqueles diretamente envolvidos com a proteção de recursos de TI e dados. Portanto, dá detalhes sobre como uma empresa pode ser atacada com base nos métodos mais recentes usados – e nas melhores maneiras de se defender ou mitigar as invasões.

  • Inteligência técnica de ameaças:
  • essas informações se concentram em sinais que indicam que um ataque está começando. Esses sinais incluem reconhecimento, armamento e entrega, como spear phishing, baiting e engenharia social.

    Nesse contexto, a inteligência técnica desempenha um papel importante no bloqueio de ataques de engenharia social. Esse tipo de inteligência geralmente é agrupado com inteligência de ameaças operacionais; no entanto, se ajusta rapidamente à medida que os cibercriminosos atualizam suas táticas.

  • Inteligência operacional de ameaças:

com essa abordagem, as informações são coletadas de várias fontes, incluindo salas de bate-papo, mídias sociais, logs de antivírus e eventos passados. É usado para antecipar a natureza e o momento de ataques futuros.

A mineração de dados e o aprendizado de máquina costumam ser utilizados para automatizar o processamento de centenas de milhares de pontos de dados em vários idiomas. As equipes de segurança e resposta a incidentes usam inteligência operacional para alterar a configuração de determinados controles, como regras de firewall, regras de detecção de eventos e controles de acesso. Também pode melhorar os tempos de resposta, pois as informações fornecem uma ideia mais clara do que procurar.

Ciclo de vida

Existem diferentes etapas envolvidas no processo de coleta de inteligência de ameaças, incluindo as seguintes:

  • Metas e objetivos:
  • para selecionar as fontes e ferramentas corretas de inteligência de ameaças, uma empresa deve decidir o que espera alcançar ao adicionar tal recurso às suas soluções de estratégia de segurança. O objetivo provavelmente será ajudar as equipes de segurança da informação a interromper ameaças potenciais identificadas durante um exercício de modelagem de ameaças.

    Isso requer a obtenção de dados de inteligência e ferramentas que possam fornecer dados e alertas atualizados sobre as ameaças consideradas de alto risco e impacto. Outro objetivo importante é garantir que a inteligência seja coletada e fornecida ao C-level – para que esteja ciente das mudanças no cenário de vulnerabilidades da empresa.

  • Coleta de dados:
  • logs de sistemas internos, controles de segurança e serviços em nuvem formam a base do programa de inteligência de ameaças de uma empresa. No entanto, para obter informações sobre os TTPs mais recentes e a inteligência específica do setor, é necessário coletar dados de feeds de ameaças de terceiros. Essas fontes incluem informações oriundas de sites de mídia social, fóruns de cibercriminosos, endereços de IP maliciosos, telemetria antivírus e relatórios de pesquisa de ameaças.

  • Processamento de dados:
  • reunir e organizar os dados brutos necessários para criar uma inteligência de ameaças acionável requer processamento automatizado. É inviável filtrar manualmente, adicionar metadados, correlacionar e agregar diversos tipos e fontes de dados. As plataformas ou aplicativos de inteligência de ameaças usam aprendizado de máquina para automatizar a coleta e o processamento de dados, para que possam fornecer continuamente informações sobre as atividades dos agentes de ameaças.

  • Analisar dados:
  • Essa etapa envolve encontrar respostas a partir dos dados processados para questionamentos do tipo quando, por que e como ocorreu um evento suspeito. Essa etapa responderia a perguntas sobre quando aconteceu um incidente de phishing, o que o cibercriminoso estava procurando e como os e-mails de phishing e um domínio malicioso foram vinculados e como estão sendo usados.

  • Relatar descobertas:

os relatórios devem ser adaptados a um público específico, para que fique claro como as ameaças cobertas afetam suas áreas de responsabilidade. Os relatórios devem ser compartilhados com todos, quando possível, para melhorar as operações gerais de segurança.

This post is also available in: Português