Início
topics
Threat Intelligence
A inteligência de ameaças, também conhecida como "cyberthreat intelligence" (CTI) ou "threat intel", é uma informação detalhada e acionável sobre ameaças para prevenir e combater as ameaças à cibersegurança que visam uma organização.
A inteligência de ameaças ajuda as equipes de segurança a serem mais proativas, possibilitando a tomada de ações eficazes e baseadas em dados para evitar ataques cibernéticos antes de ocorrerem. Também pode ajudar uma organização a detectar e responder a ataques em andamento com mais rapidez.
Os analistas de segurança criam inteligência de ameaças reunindo informações brutas sobre ameaças e informações relacionadas à segurança de várias fontes e, em seguida, correlacionando e analisando os dados para descobrir tendências, padrões e relacionamentos que proporcionam uma compreensão profunda das ameaças reais ou potenciais. A inteligência resultante é
- Específica da organização, com foco não em generalidades (por exemplo, listas de cepas comuns de malware), mas em vulnerabilidades específicas na superfície de ataque da organização, nos ataques que permitem e nos ativos que expõem.
- Detalhada e contextual, abrangendo não somente as ameaças que visam à empresa, mas também os agentes de ameaças que podem realizar os ataques, as táticas, técnicas e procedimentos (TTPs) que esses agentes de ameaças utilizam e os indicadores de comprometimento (IoCs) que podem sinalizar um ataque cibernético específico.
- Útil, proporcionando informações que as equipes de segurança podem utilizar para lidar com vulnerabilidades, priorizar e remediar ameaças e até mesmo avaliar ferramentas de cibersegurança existentes ou novas.
De acordo com o relatório Cost of a Data Breach 2022 da IBM, a violação média de dados custa às vítimas USD 4,35 milhões; os custos de detecção e escalonamento representam a parte mais significativa desse valor, USD 1,44 milhão. A inteligência de ameaças pode entregar às equipes de segurança as informações necessárias para detectar ataques mais cedo, reduzindo os custos de detecção e limitando o impacto de violações bem-sucedidas.
Tenha insights e recomendações essenciais de pesquisa para ajudá-lo a se preparar para responder a ameaças cibernéticas com maior velocidade e eficácia.
O ciclo de vida da inteligência de ameaças é o processo iterativo e contínuo pelo qual as equipes de segurança produzem, disseminam e melhoram constantemente sua inteligência de ameaças. Embora os detalhes possam variar de organização para organização, a maioria segue alguma versão do mesmo processo de seis etapas.
Etapa 1: planejamento
Os analistas de segurança trabalham com as partes interessadas organizacionais: líderes executivos, chefes de departamento, membros das equipes de TI e segurança e outras pessoas envolvidas na tomada de decisões de cibersegurança para definir os requisitos de inteligência. Isso normalmente inclui perguntas de cibersegurança que as partes interessadas querem ou precisam que sejam respondidas. Por exemplo, o CISO pode querer saber se uma nova cepa de ransomware que faz manchetes provavelmente afetará a organização.
Etapa 2: coleta de dados de ameaças
A equipe de segurança coleta todos os dados brutos de ameaças que possam conter, ou contribuir para as respostas que as partes interessadas estão procurando. Continuando o exemplo acima, se uma equipe de segurança estiver investigando uma nova cepa de ransomware, a equipe poderá coletar informações sobre a quadrilha de ransomware por trás dos ataques, os tipos de organizações que visaram no passado e os vetores de ataque que exploraram para infectar vítimas anteriores.
Esses dados de ameaças podem vir de várias fontes, como:
Feeds de inteligência de ameaças— fluxos de informações sobre ameaças em tempo real. O nome às vezes é enganoso: enquanto alguns feeds incluem inteligência de ameaças processada ou analisada, outros consistem em dados brutos de ameaças. (Estes últimos às vezes são chamados de 'feeds de dados de ameaças'.)
As equipes de segurança normalmente assinam vários feeds comerciais e de código aberto. Por exemplo, diversos feeds podem
- rastrear IoCs de ataques comuns,
- notícias agregadas sobre cibersegurança,
- apresenta análises detalhadas de cepas de malware,
- e vasculhar as mídias sociais e a dark web em busca de conversas sobre ameaças cibernéticas emergentes.
Todos esses feeds podem contribuir para uma compreensão mais profunda das ameaças.
Comunidades de compartilhamento de informações —fóruns, associações profissionais e outras comunidades onde analistas de todo o mundo compartilham experiências em primeira mão, insights e seus próprios dados de ameaças.
Nos EUA, muitos setores críticos de infraestrutura, como saúde, serviços financeiros e indústrias de petróleo e gás, operam Centros de Compartilhamento e Análise de Informações (ISACs) específicos do setor. Esses ISACs coordenam uns com os outros por meio do National Council of ISACs (NSI) (link fora do ibm.com).
Internacionalmente, a plataforma de inteligência de compartilhamento de ameaças MISP de código aberto (link fora de ibm.com) oferece suporte a várias comunidades de compartilhamento de informações organizadas em diversos locais, setores e tópicos. O MISP recebeu apoio financeiro da OTAN e da União Europeia.
Logs de segurança internos— dados de segurança internos de sistemas de segurança e conformidade, como
- SIEM (informações e respostas de segurança)
- O que é SOAR (orquestração de segurança, automação e resposta)?
- EDR (detecção e resposta de endpoint)
- XDR (detecção e resposta estendida)
- Sistemas de gerenciamento de superfície de ataque (ASM)
Esses dados apresentam um registro das ameaças e ataques cibernéticos que a organização enfrentou e podem ajudar a descobrir evidências anteriormente não reconhecidas de ameaças internas ou externas.
As informações dessas fontes díspares são normalmente agregadas em um dashboard centralizado, como um SIEM ou uma plataforma de inteligência de ameaças, para facilitar o gerenciamento.
Etapa 3: processamento
Nesse estágio, os analistas de segurança agregam, padronizam e correlacionam os dados brutos coletados para facilitar a análise. Isso pode incluir a filtragem de falsos positivos ou a aplicação de uma estrutura de inteligência de ameaças, como o MITRE ATT&CK, aos dados relacionados a um incidente de segurança anterior.
Muitas ferramentas de inteligência de ameaças automatizam esse processamento usando inteligência artificial (IA) e aprendizado de máquina para correlacionar informações de ameaças de várias fontes e identificar tendências ou padrões iniciais nos dados.
Etapa 4: análise
A análise é o ponto em que os dados brutos de ameaças formam uma verdadeira inteligência de ameaças. Nesse estágio, os analistas de segurança testam e verificam tendências, padrões e outros insights que podem usar para responder aos requisitos de segurança das partes interessadas e fazer recomendações.
Por exemplo, os analistas de segurança podem descobrir que a quadrilha ligada a uma nova variedade de ransomware tem como alvo outras empresas do setor da organização. A equipe identificará então vulnerabilidades específicas na infraestrutura de TI da organização que a quadrilha provavelmente explorará, bem como controles de segurança ou patches que possam mitigar ou eliminar essas vulnerabilidades.
Etapa 5. Disseminação
A equipe de segurança compartilha seus insights e recomendações com as partes interessadas apropriadas. Podem ser executadas ações com base nessas recomendações, como estabelecer novas regras de detecção de SIEM para direcionar IoCs recém-identificados ou atualizar listas de bloqueio de firewall para bloquear o tráfego de endereços IP suspeitos recém-identificados.
Muitas ferramentas de inteligência de ameaças integram e compartilham dados com ferramentas de segurança, como SOARs ou XDRs, para gerar automaticamente alertas de ataques ativos, atribuir pontuações de risco para priorização de ameaças ou acionar outras ações.
Etapa 6. Feedback
Nesta fase, partes interessadas e analistas refletem sobre o ciclo de inteligência de ameaças mais recente para determinar se os requisitos foram atendidos. Todas as novas questões que surgirem ou novas lacunas de inteligência identificadas informarão a próxima rodada do ciclo de vida.
O ciclo de vida da inteligência de ameaças produz diversos tipos de inteligência, dependendo das partes interessadas envolvidas, dos requisitos definidos e dos objetivos gerais de uma determinada instância do ciclo de vida. Há três grandes categorias de inteligência de ameaças:
Inteligência tática de ameaças é utilizada pela central de operações de segurança (SOC) para detectar e responder a ataques cibernéticos em andamento. Normalmente, ele se concentra em IoCs comuns, por exemplo, endereços IP associados a servidores de comando e controle, hashes de arquivos relacionados a ataques conhecidos de malware e ransomware ou linhas de assunto de e-mail associadas a ataques de phishing .
Além de ajudar as equipes de resposta a incidentes a filtrar falsos positivos e interceptar ataques genuínos, a inteligência tática de ameaças também é utilizada pelas equipes de caça a ameaças para rastrear ameaças persistentes avançadas (APTs) e outros atacantes ativos, porém ocultos.
A inteligência operacional contra ameaças ajuda as organizações a antecipar e evitar ataques futuros. Às vezes é chamada de “inteligência técnica sobre ameaças” porque detalha os TTPs e os comportamentos dos atores de ameaças conhecidos. Por exemplo, os vetores de ataque que eles usam, as vulnerabilidades que exploram e os ativos que visam.
CISOs, CIOs e outros tomadores de decisão de segurança da informação utilizam inteligência de ameaças operacionais para identificar agentes de ameaças que provavelmente atacarão suas organizações e responderão com controles de segurança e outras ações destinadas especificamente a impedir seus ataques.
A inteligência estratégica de ameaças é a inteligência de alto nível sobre o cenário global de ameaças e o lugar de uma organização nesse cenário. A inteligência estratégica de ameaças oferece aos tomadores de decisão fora da TI, como CEOs e outros executivos, o conhecimento das ameaças cibernéticas que suas organizações enfrentam.
A inteligência estratégica de ameaças geralmente se concentra em questões como situações geopolíticas, tendências de ameaças cibernéticas em um determinado setor ou como ou por que determinados ativos estratégicos da organização podem ser direcionados. Os stakeholders utilizam a inteligência estratégica de ameaças para alinhar estratégias e investimentos mais amplos de gerenciamento de riscos organizacionais com o cenário de ameaças cibernéticas.
Aproveite uma equipe de analistas de inteligência de alto nível para entender como o cenário de ameaças está mudando e as técnicas mais novas que os agentes de ameaças estão usando.
Aproveite as soluções de detecção e resposta a ameaças da IBM para fortalecer sua segurança e acelerar a detecção de ameaças.
Soluções transformadoras, impulsionadas por IA, que otimizam o tempo dos analistas, acelerando a detecção de ameaças, agilizando respostas e protegendo a identidade dos usuários e conjuntos de dados.
Esteja mais bem preparado para violações entendendo suas causas e os fatores que aumentam ou reduzem custos.
O gerenciamento de ameaças é um processo usado por profissionais de cibersegurança para prevenir ataques cibernéticos, detectar ameaças cibernéticas e responder a incidentes de segurança.
A caça a ameaças é uma abordagem proativa para identificar ameaças desconhecidas ou contínuas não mediadas na rede de uma organização.