Inteligência de ameaças: uma área necessária para toda empresa de segurança

quinta-feira, 9 de maio de 2019

Hoje em dia, os ataques digitais são realizados por pessoas que utilizam técnicas sofisticadas, por isso é muito difícil prever as intenções e quais serão as técnicas utilizadas na hora de um ataque. Diante desse cenário, o modelo tradicional de atuação da segurança da informação não é suficiente. As empresas precisar recrutar profissionais especialistas que produzam inteligência de ameaças, descobrindo assim novas indicadores de comprometimento, técnicas de ataque e mecanismos avançados de defesa dos ativos de TI da companhia.

O que é a inteligência de ameaças (Cyber Threat Intelligence)
A inteligência de ameaças, também conhecia como CTI, se define como a análise de informações e padrões empregados em um ataque para criar medidas que possam prevenir sua realização. O processo de entendimento de ameaças desconhecidas é formado por três etapas bem definidas: recolhimento de informações, investigação dos dados recolhidos e análise de tendências durante um ataque. O objetivo principal da CTI é que a empresa seja capaz de identificar novas falhas, tomando precauções para evitar que elas sejam exploradas. 

O processo de transformar uma ameaça desconhecida em uma conhecida deve ser transversal a todas as áreas de negócio da empresa, que só assim poderá se antecipar aos ataques.

As etapas da inteligência de ameaças
Existem três etapas que compõem o estudo de inteligência de ameaças: “unknown unknowns”, “known unknowns” e “known knowns”. Na primeira etapa, “unknown unknowns”, não se tem qualquer ideia sobre a ameaça que se está tentando localizar. Quando se obtém alguma informação sobre ela, passamos para a segunda etapa chamada, ou “known unknowns”, onde se passa a analisar a informações que permitam entender a natureza das ameaças, o que nos leva a terceira etapa, ou “known knowns”, em que se atua para mitigar as falhas encontradas. Resumindo, podemos definir a cyber threat intelligence como o processo de recolher informação sobre ataques presumidos, entendendo o que está por trás desses ataques, para tentar proteger de maneira proativa as infraestruturas de TI da empresa. O gráfico abaixo pode ajudar na compreensão do processo:

etapas da inteligência de ameaças imagem

Características da Cyber Threat Intelligence
  • Recolher dados de múltiplas fontes, sejam de código aberto ou comerciais, assim como aquelas internas ou externas ao ambiente;
  • Criar alertas customizados e priorizados sobre a infraestrutura de TI da empresa;
  • Ajudar a identificar os indicadores de comprometimento (IoC) para proteger ativos de um possível ataque;
  • Possibilitar a implementação de novas estratégias de proteção; 
  • Compreender as campanhas de ataque ativas, definindo “quem”, “oque”, “quando”, “onde”, “por que” e “como”;
  • Tentar prever o risco e o impacto que as ameaças podem impor ao ambiente
  • Recomendar soluções de mitigação desse risco.

Como a inteligência de ameaças pode ajudar as empresas?
Diminuindo o efeito das falhas de segurança sobre os ambientes de TI das empresas. A CTI é importante para fortalecer a postura de segurança, atuando nas seguintes áreas:
  • Identify and Protect: a monitoria de ameaças internas e externas permite revelar falhas desconhecidas e vulnerabilidades que podem representar riscos para o negócio. A inteligência de ameaças ajuda a adaptar a estratégia atual de segurança para combater as estratégias de ataques que podem ser utilizadas contra o ambiente. Uma varredura do ambiente é crucial para determinar suas características, superfície de ataque e possíveis falhas que podem ser exploradas.
  • Detect: a monitoria e inteligência aplicada em tempo real ajuda as empresas a detectar ataques com mais rapidez e de maneira mais eficientes. A CTIA ajuda os analistas de segurança a descobrir ataques em suas fases iniciais, reduzindo alertas irrelevantes e falsos positivos.
  • Respond: a CTI entrega informação contextual sobre os ataques, incluindo IoCs, TTPs, etc. que podem prevenir a propagação do ataque, reduzindo seu impacto e duração, além de permitir o uso de medidas correspondentes de mitigação. A inteligência de ameaças suporta todo o processo de tomada de decisões para ajudar na criação de atividades de resposta aos incidentes correspondentes.
  • Recover: a CTI detecta e elimina os mecanismos permanentes utilizados por atacantes como, por exemplo, arquivos infectados instalados em sistemas, permitindo rápida recuperação do ambiente, priorizando a segurança de ativos e ajudando a melhoras os mecanismos existentes de proteção dos mesmos.

Fernando Palacios Escribano

Nenhum comentário:

Postar um comentário