A inteligência de ameaças cibernéticas, também chamada de inteligência de ameaça (threat intelligence) consiste em dados que contêm conhecimento detalhado sobre ameaças à segurança cibernética direcionadas a uma organização.

A inteligência de ameaça ajuda as equipes de segurança a serem mais proativas, permitindo executar ações mais eficazes e baseadas em dados para evitar ataques cibernéticos antes que eles ocorram.

Essa abordagem também pode ajudar uma organização a encontrar melhores métodos de detecção e resposta durante os ataques.

Os analistas de segurança formam a inteligência de ameaça coletando informações de ameaças e relacionadas à segurança de diversas fontes, correlacionando e analisando os dados para descobrir tendências, padrões e relacionamentos que proporcionam uma compreensão mais profunda sobre ameaças possíveis ou reais.

A inteligência resultante é:

• Específica para a organização: não é focada em situações generalizadas, por exemplo, ataques comuns de malware, mas em vulnerabilidades específicas da superfície de ataque da organização, tipos de ataques possíveis e os ativos de maior exposição
  
  
• Detalhada e contextual: abrange não apenas as ameaças direcionadas à empresa, mas também os agentes de ameaça que podem realizar o ataque e que usam táticas, técnicas e procedimentos (TTPs), além dos indicadores de comprometimento (IoCs) que podem sinalizar um ataque cibernético específico
  
  
• Acionável: oferece informações de segurança que as equipes podem usar para gerenciar vulnerabilidades, priorizar e corrigir ameaças e avaliar ferramentas novas ou existentes de segurança cibernética.

De acordo com o relatório da IBM Custo de uma violação de dados de 2022, uma violação de dados comum gera às vítimas um custo de USD 4,35 milhões. Os custos de detecção e resposta representam uma parte significativa desse valor, USD 1,44 milhão. A inteligência de ameaças pode oferecer às equipes de segurança as informações necessárias para antecipar a identificação de ataques, reduzindo os custos de detecção e limitando o impacto de violações bem-sucedidas. 

O ciclo de vida de inteligência de ameaça é o processo iterativo e contínuo a partir do qual as equipes de segurança produzem, compartilham e aprimoram sua abordagem de inteligência de ameaça. Embora os detalhes possam variar de organização para organização, a maioria segue uma versão semelhante do mesmo processo de seis etapas.

Etapa 1: Planejamento

Os analistas de segurança trabalham com os stakeholders da organização, como líderes executivos, chefes de departamento, membros da equipe de TI e segurança e outros envolvidos na tomada de decisões de segurança cibernética para definir os requisitos de inteligência. Estes requisitos normalmente incluem perguntas sobre segurança cibernética realizadas pelos stakeholders. Por exemplo, o CISO pode desejar saber se um novo tipo de ransomware possivelmente afetará a organização.

Etapa 2: Coleta de dados de ameaças

A equipe de segurança coleta dados brutos de segurança que podem conter as respostas ou ajudar a encontrar as respostas que os stakeholders estão procurando. Ainda sobre o exemplo acima, se uma equipe de segurança estiver investigando uma novo tipo de ransomware, a equipe pode reunir informações sobre a quadrilha de ransomware que realizou o ataque, os tipos de organizações que eles atacaram anteriormente e os vetores de ataque que eles usaram para infectar as vítimas em outras ocasiões.

Esses dados de ameaça podem obtidos a partir de diversas fontes, incluindo:

Atualizações de inteligência de ameaças: fluxos de informações sobre ameaças em tempo real. O nome pode ser enganoso: enquanto algumas atualizações incluem informações de inteligência de ameaça processadas e analisadas, outras consistem em dados brutos de ameaças. (A última às vezes é chamada de "atualizações de dados de ameaças").

As equipes de segurança geralmente se inscrevem para receber diversas atualizações comerciais e de software livre. Por exemplo, uma atualização pode rastrear IoCs de ataques comuns, outra atualização pode incluir notícias de segurança cibernética, outra pode oferecer análises detalhadas de tipos de malware e uma quarta atualização pode analisar as redes sociais e a dark web para encontrar conversas relacionadas a possíveis ameaças cibernéticas. Tudo isso pode contribuir para entender profundamente as ameaças.

Comunidades de compartilhamento de informações: fóruns, associações profissionais e outras comunidades em que os analistas compartilham experiências, insights e seus próprios dados sobre ameças em primeira mão.

Nos Estados Unidos, muitos setores críticos de infraestrutura, como assistência médica, serviços financeiros e indústria de petróleo e gás, operam Centros de Compartilhamento e Análise de Informações (ISACs) específicos do setor. Esses ISACs estão alinhados entre si por meio do Conselho Nacional dos ISACs (NSI) (link externo à ibm.com). Internacionalmente, a plataforma de inteligência de software livre MISP Threat Sharing (link externo à ibm.com) oferece suporte a diversas comunidades de compartilhamento de informações associadas a diferentes locais, indústrias e assuntos. A MISP recebeu apoio financeiro da OTAN e da União Europeia.

Registros de segurança interna: dados de segurança interna de sistemas de segurança e conformidade, como SIEM (informações de segurança e resposta), SOAR (orquestração de segurança, automação e resposta),EDR (detecção de endpoint e resposta), XDR (detecção estendida e resposta) e sistemas de gerenciamento de superfície de ataque (ASM). Esses dados proporcionam um registro das ameaças e ataques cibernéticos que a organização enfrentou e podem ajudar a descobrir evidências anteriormente não identificadas de ameaças internas ou externas.

As informações dessas fontes diferentes são normalmente compiladas em um dashboard centralizado, como um SIEM ou uma plataforma inteligência de ameaça para facilitar o gerenciamento.

Etapa 3: Processamento

Nesta etapa, os analistas de segurança compilam, padronizam e correlacionam os dados brutos coletados para facilitar a análise de dados a fim de gerar insights. Isso pode incluir a filtragem de falso positivos ou a aplicação de um framework de inteligência de ameaça, como MITRE ATT&CK, nos dados relacionados a incidentes de segurança anteriores, para melhor

Muitas ferramentas de inteligência de ameaça automatizam o processamento, usando inteligência artificial (IA) e machine learning para correlacionar as informações sobre ameaças provenientes de diferentes fontes e identificar tendências ou padrões iniciais dos dados.

Etapa 4: Análise

A análise é o ponto em que dados brutos de ameaças se tornam realmente parte da inteligência de ameaça. Nesta etapa, os analistas de segurança testam e verificam tendências, padrões e outros insights que podem ser usados para atender aos requisitos de segurança dos stakeholders e fazer recomendações.

Por exemplo, se os analistas de segurança descobrirem que a quadrilha conectada usando um novo tipo de ransomware tem como alvo outras empresas do setor, a equipe pode identificar vulnerabilidades específicas na infraestrutura de TI da organização que a quadrilha provavelmente explorará, bem como os controles de segurança ou correções que possam minimizar ou eliminar essas vulnerabilidades.

Etapa 5. Disseminação

A equipe de segurança compartilha seus insights e recomendações com os stakeholders adequados. Essas recomendações podem ser usadas para determinar ações, como estabelecer novas regras de detecção SIEM direcionadas a IoCs recém-identificados ou atualizar listas negras de firewall para bloquear o tráfego de endereços IP suspeitos recém-identificados. Muitas ferramentas de inteligência de ameaça integram e compartilham dados com ferramentas de segurança, como SOARs e XDRs, para gerar automaticamente alertas de ataques ativos, atribuir pontuações de risco para priorização de combate à ameaça ou acionar outras ações.

Etapa 6. Feedback

Nesta etapa, os stakeholders e analistas refletem sobre o ciclo mais recente de inteligência de ameaça para determinar se os requisitos foram atendidos. O surgimento de novas perguntas ou a identificação de novas lacunas podem influenciar a próxima etapa do ciclo de vida.

O ciclo de vida de inteligência de ameaça produz diferentes tipos de inteligência dependendo dos stakeholders envolvidos, dos requisitos definidos e dos objetivos gerais de uma dada instância do ciclo de vida. Existem três grandes categorias de inteligência de ameaça:

Inteligência de ameaça tática: é usada pelo centro de operações de segurança (SOC) para detectar e responder a ataques cibernéticos em andamento. Normalmente, seu foco são IoCs comuns. Por exemplo, endereços IP associados a servidores de comando e controle, hashes de arquivo relacionados a ataques de malware e ransomware conhecidos ou linhas de assunto de e-mail associadas a ataques de phishing.

Além de ajudar as equipes de resposta a incidentes a filtrar os falsos positivos e, com isso, interceptar ataques reais, a inteligência de ameaça tática também é usada por equipes de caça a ameaças para identificar ameaças persistentes avançadas (APTs) e outros agentes maliciosos ocultos, porém, ativos.

Inteligência de ameaça operacional: ajuda as organizações a antecipar e evitar futuros ataques. Às vezes, é chamada de "inteligência de ameaça técnica", pois detalha os TTPs e os comportamentos de agentes de ameaça conhecidos, por exemplo, os vetores de ataque que usam, as vulnerabilidades que exploram e os ativos que são os maiores alvos de ataques. CISOs, CIOs e outros tomadores de decisão de informações de segurança usam a inteligência de ameaça operacional para identificar agentes de ameaça que possivelmente realizarão ataques a suas organizações e responder com controles de segurança e outras ações destinadas especificamente a impedir esses ataques.

Inteligência de ameaça estratégica: é uma inteligência de alto nível sobre o cenário de ameaça global e como a organização se encaixa dentro dele. A inteligência de ameaça estratégica proporciona aos tomadores de decisão que não pertencem à TI, como CEOs e outros executivos, informações sobre as ameaças cibernéticas que suas organizações estão enfrentando. A inteligência de ameaça estratégica geralmente se concentra em problemas como situações geopolíticas, tendências de ameaça cibernética de um setor específico ou como ou por que parte dos ativos estratégicos da organização pode ser se tornaram alvo de ataques. Os stakeholders usam a inteligência de ameaça estratégica para alinhar investimentos e estratégias mais abrangentes de gerenciamento de riscos organizacionais ao cenário de ameaças cibernéticas.