Hoje em dia, os ataques digitais são realizados por pessoas que utilizam técnicas sofisticadas, por isso é muito difícil prever as intenções e quais serão as técnicas utilizadas na hora de um ataque. Diante desse cenário, o modelo tradicional de atuação da segurança da informação não é suficiente. As empresas precisar recrutar profissionais especialistas que produzam inteligência de ameaças, descobrindo assim novas indicadores de comprometimento, técnicas de ataque e mecanismos avançados de defesa dos ativos de TI da companhia.
O que é a inteligência de ameaças (Cyber Threat Intelligence)
A inteligência de ameaças, também conhecia como CTI, se define como a análise de informações e padrões empregados em um ataque para criar medidas que possam prevenir sua realização. O processo de entendimento de ameaças desconhecidas é formado por três etapas bem definidas: recolhimento de informações, investigação dos dados recolhidos e análise de tendências durante um ataque. O objetivo principal da CTI é que a empresa seja capaz de identificar novas falhas, tomando precauções para evitar que elas sejam exploradas.
O processo de transformar uma ameaça desconhecida em uma conhecida deve ser transversal a todas as áreas de negócio da empresa, que só assim poderá se antecipar aos ataques.
As etapas da inteligência de ameaças
Existem três etapas que compõem o estudo de inteligência de ameaças: “unknown unknowns”, “known unknowns” e “known knowns”. Na primeira etapa, “unknown unknowns”, não se tem qualquer ideia sobre a ameaça que se está tentando localizar. Quando se obtém alguma informação sobre ela, passamos para a segunda etapa chamada, ou “known unknowns”, onde se passa a analisar a informações que permitam entender a natureza das ameaças, o que nos leva a terceira etapa, ou “known knowns”, em que se atua para mitigar as falhas encontradas. Resumindo, podemos definir a cyber threat intelligence como o processo de recolher informação sobre ataques presumidos, entendendo o que está por trás desses ataques, para tentar proteger de maneira proativa as infraestruturas de TI da empresa. O gráfico abaixo pode ajudar na compreensão do processo:
Características da Cyber Threat Intelligence
- Recolher dados de múltiplas fontes, sejam de código aberto ou comerciais, assim como aquelas internas ou externas ao ambiente;
- Criar alertas customizados e priorizados sobre a infraestrutura de TI da empresa;
- Ajudar a identificar os indicadores de comprometimento (IoC) para proteger ativos de um possível ataque;
- Possibilitar a implementação de novas estratégias de proteção;
- Compreender as campanhas de ataque ativas, definindo “quem”, “oque”, “quando”, “onde”, “por que” e “como”;
- Tentar prever o risco e o impacto que as ameaças podem impor ao ambiente
- Recomendar soluções de mitigação desse risco.
Como a inteligência de ameaças pode ajudar as empresas?
Diminuindo o efeito das falhas de segurança sobre os ambientes de TI das empresas. A CTI é importante para fortalecer a postura de segurança, atuando nas seguintes áreas:
- Identify and Protect: a monitoria de ameaças internas e externas permite revelar falhas desconhecidas e vulnerabilidades que podem representar riscos para o negócio. A inteligência de ameaças ajuda a adaptar a estratégia atual de segurança para combater as estratégias de ataques que podem ser utilizadas contra o ambiente. Uma varredura do ambiente é crucial para determinar suas características, superfície de ataque e possíveis falhas que podem ser exploradas.
- Detect: a monitoria e inteligência aplicada em tempo real ajuda as empresas a detectar ataques com mais rapidez e de maneira mais eficientes. A CTIA ajuda os analistas de segurança a descobrir ataques em suas fases iniciais, reduzindo alertas irrelevantes e falsos positivos.
- Respond: a CTI entrega informação contextual sobre os ataques, incluindo IoCs, TTPs, etc. que podem prevenir a propagação do ataque, reduzindo seu impacto e duração, além de permitir o uso de medidas correspondentes de mitigação. A inteligência de ameaças suporta todo o processo de tomada de decisões para ajudar na criação de atividades de resposta aos incidentes correspondentes.
- Recover: a CTI detecta e elimina os mecanismos permanentes utilizados por atacantes como, por exemplo, arquivos infectados instalados em sistemas, permitindo rápida recuperação do ambiente, priorizando a segurança de ativos e ajudando a melhoras os mecanismos existentes de proteção dos mesmos.
Fernando Palacios Escribano
www.elevenpaths.com