O que é inteligência de ameaças?
A inteligência de ameaças, também chamada de inteligência de ameaças cibernéticas (CTI) se refere a informações detalhadas e praticáveis sobre ameaças à cibersegurança e ajuda as equipes de segurança a adotar uma abordagem mais proativa para detectar, mitigar e prevenir ataques cibernéticos.
A inteligência de ameaças envolve mais do que informações brutas sobre ameaças: são informações sobre ameaças que foram correlacionadas e analisadas para dar aos profissionais de segurança uma compreensão profunda das possíveis ameaças que suas organizações enfrentam, inclusive como bloqueá-las.
Mais especificamente, a inteligência de ameaças conta com três características principais que a distinguem das informações brutas sobre ameaças:
Específico para a organização: a inteligência sobre ameaças vai além de informações gerais sobre ameaças e ataques hipotéticos. Em vez disso, ela se concentra na situação única da organização: vulnerabilidades específicas na superfície de ataque, os ataques que essas vulnerabilidades possibilitam e os ativos que expõem.
Detalhadas e contextuais: a inteligência de ameaças abrange mais do que as possíveis ameaças a uma organização. Ela também aborda os agentes de ameaças por trás dos ataques, as táticas, técnicas e procedimentos (TTPs) que eles usam e os indicadores de comprometimento (IoCs) que podem sinalizar um ataque cibernético bem-sucedido.
Praticável: a inteligência sobre ameaças fornece às equipes de segurança da informação insights que podem ser usados para tratar vulnerabilidades, priorizar ameaças, remediar riscos e melhorar a postura de segurança geral.
De acordo com o relatório do custo das violações de dados da IBM, o custo médio de uma violação de dados para a organização vítima é de USD 4,88 milhões. Os custos de detecção e escalonamento representam a maior parte desse valor, totalizando USD 1,63 milhão.
Os programas de inteligência de ameaças fornecem informações que ajudam os profissionais de segurança a detectar ataques mais cedo e impedir a ocorrência de alguns ataques. Essas respostas mais rápidas e eficazes podem reduzir os custos de detecção e limitar de forma significativa o impacto de violações bem-sucedidas.
Fortaleça sua inteligência de segurança
Fique à frente das ameaças com notícias e insights sobre segurança, IA e outros semanalmente no boletim informativo do Think.
O ciclo de vida da inteligência de ameaças é o processo iterativo e contínuo pelo qual as equipes de segurança produzem e compartilham a inteligência de ameaças. Embora os detalhes possam variar de uma organização para outra, a maioria das equipes de inteligência de ameaças segue alguma versão do mesmo processo de seis etapas.
Etapa 1: planejamento
Os analistas de segurança trabalham com stakeholders organizacionais para definir os requisitos de inteligência. Entre os stakeholders podem estar líderes executivos, chefes de departamento, membros de equipes de TI e segurança e qualquer outra pessoa envolvida na tomada de decisões de cibersegurança.
Os requisitos de inteligência são, essencialmente, as perguntas que a inteligência de ameaças deve responder para os stakeholders. Por exemplo, o diretor de segurança da informação pode querer saber se um novo tipo de ransomware amplamente divulgado pode afetar a organização.
Etapa 2: coleta de dados de ameaças
A equipe de segurança coleta dados brutos de ameaças para atender aos requisitos de inteligência e responder às perguntas dos stakeholders.
Por exemplo, se uma equipe de segurança estiver investigando uma nova variedade de ransomware, ela poderá coletar informações sobre a quadrilha de ransomware por trás dos ataques. A equipe também analisaria os tipos de organizações que foram alvo no passado e os vetores de ataque que exploraram para infectar vítimas anteriores.
Esses dados de ameaças podem ser provenientes de várias fontes. Algumas das mais comuns são:
Feeds de inteligência de ameaças
Feeds de inteligência de ameaças são fluxos de informações sobre ameaças em tempo real. O nome às vezes é enganoso: enquanto alguns feeds incluem inteligência de ameaças processada ou analisada, outros consistem em dados brutos de ameaças (estes últimos às vezes são chamados de feeds de dados de ameaças).
As equipes de segurança geralmente inscrevem-se em vários feeds de código aberto e comerciais fornecidos por diversos serviços de inteligência de ameaças. Feeds diferentes podem abranger conteúdos diferentes.
Por exemplo, uma organização pode ter feeds separados para cada uma destes fins:
Rastrear os IoCs de ataques comuns
Agrupar notícias sobre cibersegurança
Fornecer análises detalhadas de novos tipos de malware
Vasculhar as redes sociais e a dark web em busca de conversas sobre ameaças cibernéticas emergentes
Comunidades de compartilhamento de informações
Comunidades de compartilhamento de informações são fóruns, associações profissionais e outras comunidades nas quais os analistas compartilham experiências, insights, dados de ameaças e outras informações em primeira mão.
Nos EUA, muitos setores críticos de infraestrutura, como saúde, serviços financeiros e petróleo e gás, operam Centros de Análise e Compartilhamento de Informações (ISACs) específicos do setor. Esses ISACs se coordenam entre si por meio do Conselho Nacional de ISACs
(NSI).Internacionalmente, a plataforma de inteligência de compartilhamento de ameaças MISP de código aberto oferece suporte a várias comunidades de compartilhamento de informações organizadas em diversos locais, setores e temas. O MISP recebeu apoio financeiro da OTAN e da União Europeia.
Logs de segurança interna
Os dados de soluções de segurança internas e sistemas de detecção de ameaças podem oferecer insights valiosos sobre ameaças cibernéticas reais e potenciais. Algumas das fontes comuns de logs de segurança internos são:
Sistemas de gerenciamento de informações e eventos de segurança (SIEM)
Plataformas de orquestração, automação e resposta de segurança (SOAR)
Os logs de segurança interna fornecem um registro das ameaças e ataques cibernéticos que a organização enfrentou e podem ajudar a descobrir evidências anteriormente não reconhecidas de ameaças internas ou externas.
As informações dessas fontes díspares são geralmente agregadas em um dashboard centralizado, como um SIEM ou uma plataforma dedicada de inteligência de ameaças, para facilitar o gerenciamento e o processamento automatizado.
Etapa 3: processamento
Nessa fase, os analistas de segurança agregam, padronizam e correlacionam os dados brutos coletados para facilitar a análise. O processamento pode incluir a aplicação do MITRE ATT&CK ou outro framework de inteligência de ameaças para contextualizar dados, filtrar falsos positivos e agrupar incidentes semelhantes.
Muitas ferramentas de inteligência de ameaças automatizam esse processamento usando inteligência artificial (IA) e aprendizado de máquina para correlacionar informações de ameaças de várias fontes e identificar tendências ou padrões iniciais nos dados. Algumas plataformas de inteligência de ameaças agora incorporam modelos de IA generativa que ajudam a interpretar os dados de ameaças e a gerar etapas de ação com base em sua análise.
Etapa 4: análise
A análise é o ponto em que os dados brutos de ameaças formam a verdadeira inteligência de ameaças. Nessa fase, os analistas de segurança extraem os insights necessários para atender aos requisitos de inteligência e planejar as próximas etapas.
Por exemplo, os analistas de segurança podem descobrir que a quadrilha ligada a uma nova variedade de ransomware tem como alvo outras empresas do setor da organização. Essa descoberta indica que esse tipo de ransomware também pode ser um problema para a organização.
Munida dessas informações, a equipe pode identificar vulnerabilidades na infraestrutura de TI da organização que a quadrilha pode explorar e os controles de segurança que podem usar para mitigar essas vulnerabilidades.
Etapa 5: disseminação
A equipe de segurança compartilha seus insights e recomendações com os stakeholders apropriados. Medidas podem ser adotadas com base nessas recomendações, como estabelecer novas regras de detecção de SIEM para direcionar indicadores de ameaças recém-identificados ou atualizar firewalls para bloquear endereços IP e nomes de domínio suspeitos.
Muitas ferramentas de inteligência de ameaças integram e compartilham dados com ferramentas de segurança, como SOARs, XDRs e sistemas de gerenciamento de vulnerabilidades. Essas ferramentas podem usar a inteligência de ameaças para gerar alertas de ataques ativos, atribuir pontuações de risco para priorização de ameaças e acionar outras ações de resposta, tudo de forma automática.
Etapa 6: feedback
Nessa fase, os stakeholders e analistas refletem sobre o ciclo de inteligência de ameaças mais recente para determinar se os requisitos foram atendidos. Todas as novas questões que surgirem ou novas lacunas de inteligência identificadas informarão a próxima rodada do ciclo de vida.
As equipes de segurança produzem e usam diferentes tipos de inteligência, dependendo dos objetivos. Alguns tipos de inteligência de ameaças são:
A inteligência de ameaças tática ajuda os centros de operações de segurança (SOCs) a prever ataques futuros e a detectar melhor os ataques em curso.
Essa inteligência de ameaças normalmente identifica IoCs comuns, como endereços IP associados a servidores de comando e controle, assuntos de e-mails dos ataques de phishing ou hashes de arquivos de ataques de malware conhecidos.
Além de ajudar as equipes de resposta a incidentes a interceptar ataques, a inteligência tática de ameaças também é utilizada pelas equipes de caça a ameaças para rastrear ameaças persistentes avançadas (APTs) e outros invasores ativos, porém ocultos.
A inteligência de ameaças operacional é mais ampla e técnica do que a inteligência de ameaças tática. Ela se concentra em entender os TTPs e os comportamentos dos agentes de ameaças: os vetores de ataque que eles usam, as vulnerabilidades que exploram, os ativos visados e outras características definidoras.
Os tomadores de decisão de segurança da informação usam inteligência de ameaças para identificar agentes de ameaças que provavelmente atacarão suas organizações e determinar os controles de segurança e as estratégias que podem impedir efetivamente seus ataques.
A inteligência de ameaças estratégica é a inteligência de alto nível sobre o cenário global de ameaças e o lugar de uma organização nesse cenário. A inteligência de ameaças estratégica oferece aos tomadores de decisão fora da TI, como CEOs e outros executivos, o conhecimento das ameaças cibernéticas que suas organizações enfrentam.
A inteligência de ameaças geralmente se concentra em questões como situações geopolíticas, tendências de ameaças cibernéticas em um determinado setor ou como e por que os ativos da organização podem ser visados. Os stakeholders utilizam a inteligência de ameaças estratégica para alinhar estratégias e investimentos mais amplos de gerenciamento de riscos da organização com o cenário de ameaças cibernéticas.