O que é inteligência de ameaças?

Autor

Matthew Kosinski

Staff Editor

IBM Think

O que é inteligência de ameaças?

A inteligência de ameaças, também chamada de inteligência de ameaças cibernéticas (CTI) ou threat intel, é uma informação detalhada e praticável sobre ameaças à cibersegurança. A inteligência de ameaças ajuda as equipes de segurança a adotar uma abordagem mais proativa para detectar, mitigar e prevenir ataques cibernéticos.

A inteligência de ameaças envolve mais do que informações brutas sobre ameaças: são informações sobre ameaças que foram correlacionadas e analisadas para dar aos profissionais de segurança uma compreensão profunda das possíveis ameaças que suas organizações enfrentam, inclusive como bloqueá-las.

Mais especificamente, a inteligência de ameaças conta com três características principais que a distinguem das informações brutas sobre ameaças:  

  • Específica da organização: a inteligência de ameaças vai além das informações gerais sobre ameaças e ataques hipotéticos. Em vez disso, concentra-se na situação única da organização: vulnerabilidades específicas na superfície de ataque da organização, os ataques que essas vulnerabilidades possibilitam e os ativos que elas expõem. 

  • Detalhada e contextual: a inteligência de ameaças abrange mais do que apenas as ameaças potenciais a uma organização. Ela também aborda os agentes de ameaça por trás dos ataques, as táticas, técnicas e procedimentos (TTPs) que eles usam e os indicadores de comprometimento (IoCs) que podem sinalizar um ataque cibernético bem-sucedido. 

  • Praticável: a inteligência de ameaças fornece insights às equipes de segurança da informação que servem para lidar com vulnerabilidades, priorizar ameaças, remediar riscos e melhorar a postura de segurança geral.

De acordo com o relatório do custo das violações de dados da IBM, a violação de dados média custa à organização vítima US$ 4,44 milhões. Os custos de detecção e escalonamento representam a parte mais significativa desse preço, de US$ 1,47 milhão.

Os programas de inteligência de ameaças fornecem informações que ajudam os profissionais de segurança a detectar ataques mais cedo e impedir a ocorrência de alguns ataques. Essas respostas mais rápidas e mais eficazes podem reduzir os custos de detecção e limitar de forma significativa o impacto de violações bem-sucedidas.

Boletim informativo Think

Sua equipe apanharia o próximo dia zero a tempo?

Junte-se aos líderes de segurança que confiam no boletim informativo Think para receber notícias selecionadas sobre IA, cibersegurança, dados e automação. Aprenda rápido com tutoriais e explicações de especialistas, entregues diretamente em sua caixa de entrada. Consulte a Declaração de privacidade da IBM.

Sua assinatura será entregue em inglês. Você pode encontrar um link para cancelar a assinatura em todos os boletins informativos. Você pode gerenciar suas assinaturas ou cancelar a assinatura aqui. Consulte nossa Declaração de privacidade da IBM para obter mais informações.

https://www.ibm.com/br-pt/privacy

O ciclo de vida da inteligência de ameaças

O ciclo de vida da inteligência de ameaças é o processo iterativo e contínuo pelo qual as equipes de segurança produzem e compartilham a inteligência de ameaças. Embora os detalhes possam variar de uma organização para outra, a maioria das equipes de inteligência de ameaças segue alguma versão do mesmo processo de seis etapas.

Etapa 1: planejamento

Os analistas de segurança trabalham com stakeholders organizacionais para definir os requisitos de inteligência. Entre os stakeholders podem estar líderes executivos, chefes de departamento, membros de equipes de TI e segurança e qualquer outra pessoa envolvida na tomada de decisões de cibersegurança.  

Os requisitos de inteligência são, essencialmente, as perguntas que a inteligência de ameaças deve responder para os stakeholders. Por exemplo, o diretor de segurança da informação (CISO) pode querer saber se é provável que uma nova cepa de ransomware que está nas manchetes afete a organização.

Etapa 2: coleta de dados de ameaças

A equipe de segurança coleta dados brutos de ameaças para atender aos requisitos de inteligência e responder às perguntas dos stakeholders.

Por exemplo, se uma equipe de segurança estiver investigando uma nova variedade de ransomware, ela poderá coletar informações sobre a quadrilha de ransomware por trás dos ataques. A equipe também analisaria os tipos de organizações que foram alvo no passado e os vetores de ataque explorados na infecção das vítimas anteriores.

Esses dados de ameaças podem ser provenientes de várias fontes. Algumas das mais comuns são:

Feeds de inteligência de ameaças

Feeds de inteligência de ameaças são fluxos de informações sobre ameaças em tempo real. O nome às vezes é enganoso: enquanto alguns feeds incluem inteligência de ameaças processada ou analisada, outros consistem em dados brutos de ameaças (estes últimos às vezes são chamados de feeds de dados de ameaças).

As equipes de segurança geralmente inscrevem-se em vários feeds de código aberto e comerciais fornecidos por diversos serviços de inteligência de ameaças. Feeds diferentes podem abranger conteúdos diferentes.

Por exemplo, uma organização pode ter feeds separados para cada um destes fins:

  • Rastreamento dos IoCs de ataques comuns

  • Agrupamento de notícias sobre cibersegurança

  • Fornecimento de análises detalhadas de novas cepas de malware

  • Pesquisa nas redes sociais e na dark web em busca de conversas sobre ameaças cibernéticas emergentes

Comunidades de compartilhamento de informações

Comunidades de compartilhamento de informações são fóruns, associações profissionais e outras comunidades nas quais os analistas compartilham experiências, insights, dados de ameaças e outras informações uns com os outros.  

Nos EUA, muitos setores críticos de infraestrutura (como saúde, serviços financeiros e setores de petróleo e gás) operam Centros de Compartilhamento e Análise de Informações (Information Sharing and Analysis Centers, ou ISACs) específicos do setor. Esses ISACs se coordenam entre si por meio do National Council of ISACs (NSI).

Internacionalmente, a plataforma de inteligência de compartilhamento de ameaças MISP, que tem código aberto, apoia várias comunidades de compartilhamento de informações organizadas em diversos locais, setores e temas. O MISP recebeu apoio financeiro da OTAN e da União Europeia.

Logs de segurança interna

Os dados de soluções de segurança internas e sistemas de detecção de ameaças podem oferecer insights valiosos sobre ameaças cibernéticas reais e potenciais. Algumas das fontes comuns de logs de segurança interna são:

Os logs de segurança interna fornecem um registro das ameaças e ataques cibernéticos que a organização enfrentou e podem ajudar a revelar evidências anteriormente não reconhecidas de ameaças internas ou externas.

As informações dessas fontes díspares são geralmente agregadas em um dashboard centralizado, como um SIEM ou uma plataforma dedicada de inteligência de ameaças, para facilitar o gerenciamento e o processamento automatizado.

Etapa 3: processamento

Nesse estágio, os analistas de segurança agregam, padronizam e correlacionam os dados brutos coletados para facilitar a análise. O processamento pode incluir a aplicação do MITRE ATT&CK ou outro framework de inteligência de ameaças para contextualizar dados, filtrar falsos positivos e agrupar incidentes semelhantes.

Muitas ferramentas de inteligência de ameaças automatizam esse processamento usando inteligência artificial (IA) e aprendizado de máquina para correlacionar informações de ameaças de várias fontes e identificar tendências ou padrões iniciais nos dados. Algumas plataformas de inteligência de ameaças agora incorporam modelos de IA generativa, que podem ajudar a interpretar os dados de ameaças e gerar etapas de ação com base em sua análise.

Etapa 4: análise

A análise é o ponto em que os dados brutos de ameaças formam a verdadeira inteligência de ameaças. Nesse estágio, os analistas de segurança extraem os insights necessários para atender aos requisitos de inteligência e planejar suas próximas etapas.

Por exemplo, os analistas de segurança podem descobrir que a quadrilha ligada a uma nova cepa de ransomware tem como alvo outras empresas do setor da organização. Essa descoberta indica que esse tipo de ransomware também pode ser um problema para a organização.  

Munida desse conhecimento, a equipe pode identificar vulnerabilidades na infraestrutura de TI da organização que a quadrilha pode explorar e os controles de segurança que ela pode usar para mitigar essas vulnerabilidades.

Etapa 5: disseminação

A equipe de segurança compartilha seus insights e recomendações com os stakeholders apropriados. Medidas podem ser adotadas com base nessas recomendações, como estabelecer novas regras de detecção de SIEM para mirar indicadores de ameaças recém-identificados ou atualizar firewalls para bloquear endereços IP e nomes de domínio suspeitos.

Muitas ferramentas de inteligência de ameaças integram e compartilham dados com ferramentas de segurança, como SOARs, XDRs e sistemas de gerenciamento de vulnerabilidades. Essas ferramentas podem usar a inteligência de ameaças para gerar alertas de ataques ativos, atribuir pontuações de risco para priorização de ameaças e ativar outras ações de resposta, tudo de forma automática.

Etapa 6: feedback

Nessa fase, stakeholders e analistas refletem sobre o ciclo de inteligência de ameaças mais recente para determinar se os requisitos foram atendidos. Todas as novas questões que surgirem ou novas lacunas de inteligência identificadas informarão a próxima rodada do ciclo de vida.

Tipos de inteligência de ameaças

As equipes de segurança produzem e usam diferentes tipos de inteligência, dependendo dos objetivos. Alguns tipos de inteligência de ameaças são:

Inteligência de ameaças tática

A inteligência de ameaças tática ajuda os centros de operações de segurança (SOCs) a prever ataques futuros e a detectar melhor os ataques em curso.

Essa inteligência de ameaças normalmente identifica IoCs comuns, como endereços IP associados a servidores de comando e controle, hashes de arquivos de ataques de malware conhecidos ou linhas de assunto de e-mails associadas a ataques de phishing.

Além de ajudar as equipes de resposta a incidentes a interceptar ataques, a inteligência de ameaças tática também é utilizada pelas equipes de caça a ameaças para rastrear ameaças persistentes avançadas (APTs) e outros invasores ativos, porém ocultos.
Inteligência de ameaças operacional

A inteligência de ameaças operacional é mais ampla e técnica do que a inteligência de ameaças tática. Ela se concentra em entender os TTPs e os comportamentos dos agentes de ameaças: os vetores de ataque que eles usam, as vulnerabilidades que exploram, os ativos visados e outras características definidoras.

Os tomadores de decisões de segurança da informação usam a inteligência de ameaças operacional para identificar agentes de ameaças que provavelmente atacarão suas organizações e determinar os controles de segurança e as estratégias que podem impedir efetivamente seus ataques.
Inteligência de ameaças estratégica

A inteligência de ameaças estratégica é inteligência de alto nível sobre o cenário global de riscos e a posição de uma organização nesse cenário. A inteligência de ameaças estratégica oferece aos tomadores de decisões fora da TI, como CEOs e outros executivos, o conhecimento das ameaças cibernéticas que suas organizações enfrentam.

A inteligência de ameaças estratégica geralmente se concentra em questões como situações geopolíticas, tendências de ameaças cibernéticas em um determinado setor ou como e por que os ativos estratégicos da organização podem ser visados. Os stakeholders utilizam a inteligência de ameaças estratégica para alinhar estratégias e investimentos mais amplos de gerenciamento de riscos organizacionais com o cenário de ameaças cibernéticas.
Soluções relacionadas
Serviços de gerenciamento de ameaças

Preveja, previna e responda às ameaças modernas aumentando a resiliência dos negócios.

 

 Saiba mais sobre os serviços de gerenciamento de ameaças
Soluções de detecção e resposta a ameaças

Use as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.

 Explore as soluções de detecção de ameaças
Soluções para defesa contra ameaças móveis (MTD)

Proteja seu ambiente móvel com as soluções abrangentes de defesa contra ameaças móveis do IBM MaaS360.

 Conheça as soluções de defesa contra ameaças móveis
Dê o próximo passo

Tenha soluções abrangentes de gerenciamento de ameaças, protegendo habilmente a sua empresa contra os ataques cibernéticos.

 Saiba mais sobre os serviços de gerenciamento de ameaças Agende um briefing centrado em ameaças