A inteligência contra ameaças cibernéticas (threat intelligence) no universo da tecnologia da informação está recheada de cenários e atores que lembram os filmes de James Bond: agentes criminosos e governos de países planejando roubar grandes somas e semear a confusão no mundo, armas cibernéticas dissimuladas capazes de causar estragos aos desavisados e localizações de difícil acesso onde malfeitores se reúnem para recrutar cúmplices e planejar seu próximo crime.
Felizmente, para nós que estamos envolvidos com a rotina diária da inteligência contra ameaças cibernéticas, isso é o máximo que podemos chegar com essa analogia. A moderna inteligência contra ameaças não é apenas uma atividade para alguns agentes secretos de elite. Pelo contrário, a aplicação da inteligência é um trabalho de equipe, que conta com ferramentas específicas e tem um impacto mensurável nas operações do dia-a-dia.
Embora existam analistas especializados, que entendem as ferramentas, técnicas e procedimentos de cibercriminosos sofisticados e têm acesso a fóruns restritos na dark web, assim como plataformas de simulação de ataques para encontrar possíveis cenários de violação em seu ambiente, o trabalho que eles fazem só é realmente útil quando colocado a serviço daqueles que estão na linha de frente da defesa de sua rede.
Os membros da equipe de segurança cibernética responsáveis pelo monitoramento, resposta a incidentes, gerenciamento de vulnerabilidades e outras funções podem e devem usar as informações levantadas pelos analistas e pelas simulações, para prever possíveis ataques, localizar e bloquear ataques em andamento e evitar recorrências. Além disso, os líderes de segurança podem obter insights sobre as tendências emergentes e riscos iminentes.
As seis fases da inteligência contra ameaças cibernéticas
A inteligência contra ameaças cibernéticas foi desenvolvida com base em técnicas analíticas aperfeiçoadas durante várias décadas por agências governamentais e militares. A inteligência tradicional se concentra em seis fases distintas, que compõem o que é chamado de “ciclo da inteligência”:
- Direção
Nesta fase são definas as metas para o programa de inteligência contra ameaças. Isso envolve entender e articular:
- Os ativos de informação e processos de negócios que precisam ser protegidos;
- Os possíveis impactos de perder esses ativos ou interromper esses processos;
- Os tipos de inteligência contra ameaças que a organização de segurança exige para proteger ativos e responder a ameaças;
- Prioridades sobre o que proteger.
Uma vez que as necessidades estratégicas de inteligência são determinadas, uma organização pode formular perguntas que canalizem a necessidade de informações sobre requisitos distintos. Por exemplo, se um objetivo é entender possíveis agentes de ataques, uma questão lógica seria: “Quais atores em fóruns clandestinos estão solicitando dados sobre a nossa organização?”.
- Coleta
É o processo de identificar as informações para atender aos requisitos de inteligência mais importantes. A coleta de informações pode ocorrer organicamente por vários meios, incluindo:
- Levantar metadados e logs de redes internas e dispositivos de segurança;
- Assinar feeds de dados de ameaças de organizações do setor e fornecedores de segurança cibernética;
- Conversar com fontes bem informadas;
- Monitorar notícias e blogs de livre acesso;
- Pesquisar sites e fóruns;
- Infiltrar-se em fontes fechadas, como fóruns da dark web.
Os dados coletados normalmente serão uma combinação de informações acabadas, como relatórios de inteligência de especialistas e fornecedores de segurança cibernética e dados brutos, como assinaturas de malware ou vazamento de credenciais copiadas em um site.
Dica: Automatize. Os analistas devem gastar o mínimo de tempo possível coletando dados e o máximo de tempo possível avaliando e comunicando informações sobre ameaças.
- Processamento
Processamento é a transformação das informações coletadas em um formato utilizável pela organização. Quase todos os dados brutos coletados precisam ser processados de alguma maneira, seja por seres humanos ou por máquinas.
Novamente, a recomendação é automatizar esta etapa. Com as ferramentas certas, a maioria dos fluxos de trabalho de processamento, assim como a maioria dos processos de coleta, pode ser automatizada. Por exemplo, uma ferramenta de segurança automatizada pode identificar um indicador de comprometimento (IOC – Indicator of Compromise) suspeito e, em seguida, realizar uma sequência de verificações para trazer contexto ao indicador. Isso evita que o analista tenha que realizar essas verificações manualmente.
- Análise
A análise é um processo (ainda) humano, que transforma a informação processada em inteligência para subsidiar decisões. Dependendo das circunstâncias, as decisões podem envolver investigar uma possível ameaça, quais ações devem ser tomadas imediatamente para bloquear um ataque, como fortalecer os controles de segurança ou quanto investimento em recursos adicionais de segurança é justificado.
A forma com que a informação é apresentada é especialmente importante. É inútil coletar e processar informações e, em seguida, entregá-las de uma forma que não possa ser entendida e usada pelo tomador de decisões. Por exemplo, se você deseja se comunicar com líderes não técnicos, seu relatório deve:
- Ser conciso (um memorando de uma página ou um punhado de slides);
- Evitar termos e jargões confusos e excessivamente técnicos;
- Articular as questões em termos de negócios (como custos diretos e indiretos e impactos na reputação);
- Incluir uma proposta de ação recomendada.
- Disseminação
A disseminação envolve distribuição das conclusões de inteligência para os lugares que elas precisam ir. Para cada público interessado você precisa perguntar:
- Quais informações sobre ameaças eles precisam e como as informações externas podem apoiar suas atividades?
- Como as informações devem ser apresentadas para torná-las facilmente compreensíveis e acionáveis para esse público?
- Com que frequência é preciso fornecer atualizações e outras informações?
- Qual o melhor meio para as informações serem disseminadas?
- Como devemos acompanhar se tiverem dúvidas?
- Feedback
É importante entender as prioridades gerais de informação e os requisitos das equipes de segurança que estarão consumindo as informações de inteligência contra as ameaças. Essas necessidades guiam todas as fases do ciclo de vida da inteligência e confirmam:
- Quais tipos de dados coletar;
- Como processar e enriquecer os dados para transformá-los em informações úteis;
- Como analisar as informações e apresentá-las como inteligência acionável;
- Para quem cada tipo de informação deve ser disseminado, com que rapidez ela precisa ser disseminada e com que rapidez responder a perguntas.
Equipe dedicada e ferramentas adequadas
Ao desenvolver um programa corporativo de inteligência contra ameaças cibernéticas, é preciso formar uma equipe dedicada a coletar e analisar dados de ameaças e transformá-los em inteligência. O único foco dessa equipe deve ser fornecer inteligência relevante e acionável aos principais interessados, incluindo executivos seniores e membros do conselho.
Dedicação e uma visão corporativa são necessárias para garantir que os membros da equipe dediquem tempo suficiente para coletar, processar, analisar e disseminar informações que forneçam o maior valor para a empresa como um todo, em vez de ceder à tentação de se concentrar nas necessidades de inteligência específicas de um grupo.
No tocante às ferramentas, escolha uma solução automatizada que permita que a equipe de inteligência de ameaças centralize, combine e aprimore dados de várias fontes antes que sejam utilizados por outros sistemas de segurança ou sejam vistos por analistas humanos em equipes de operações de segurança.
Uma plataforma de simulação de violações e ataques permite simular automaticamente os métodos de hackers, para identificar como sua infraestrutura e seus sistemas são vistos como um alvo. Com ela, sua organização valida os riscos em seu ambiente de produção real por toda a kill chain, usando de forma contínua métodos reais de violação utilizados por hackers. Não há mais limitação de tempo ou dependência exclusiva das qualificações de sua equipe ou de consultores contratados para identificar os riscos de segurança.
Comments are closed.
Comentários