Skip links

Inteligência de ameaças talvez não seja o que sua empresa pensa que é

A maioria das ferramentas que alegam produzir “inteligência acionável sobre ameaças” está na verdade produzindo informações a respeito de ameaças. E informações são necessárias para otimizar o tempo dos analistas. Mas, não são inteligência.

Inteligência de ameaças cibernéticas não quer dizer toda e qualquer informação gerada por análise. Também não é apenas detecção destrinchada em um relatório de dezenas de páginas. É um ciclo contínuo, com etapas claras. Como resultado, permite que a empresa sane dúvidas sobre uma determinada ameaça eminente, do porquê, como, onde e quem está por trás do ataque. Esse conhecimento e entendimento das ameaças externas reflete em uma defesa mais estratégica, criando mecanismos de proteção e mitigando riscos de danos causados por ataques futuros. Afinal, visualizando o risco ao qual está exposta, uma organização consegue adaptar proativamente as barreiras de proteção e antecipar investidas de cibecriminosos.

Isso tem grande valor em uma estratégia de segurança. Mas, para isso, é preciso que a inteligência esteja sendo feita, em todas as fases do seu ciclo de vida. Se ela não está prevendo e prevenindo ataques, e, portanto, ajudando a contê-los, se não está reduzindo o tempo de resposta a incidentes, nem gerando insights para direcionamento de investimentos em proteção, se não está elevando a maturidade da segurança corporativa, há uma grande chance de não ser o que prometia.

E por que isso é importante? Quando há o entendimento do que é inteligência de ameaças cibernéticas, e o time da empresa está pronto para usá-la e incorporá-la nas operações, ela se torna uma ferramenta poderosa de proteção, capaz de aumentar o nível de maturidade de segurança da empresa.

Por isso, neste artigo, traremos as peças que compõem essa solução, quais ferramentas fazem parte da inteligência de ameaças cibernéticas (e que, isoladas, não o são), e o que deve ocorrer em cada uma das etapas que compõem a geração de inteligência.

Parece, mas não é

Dados podem representar uma solução e um problema para as organizações que lutam para se defender contra os ataques cibernéticos sofisticados de hoje. Pilhas de dados acabam confundindo as empresas que não sabem usá-los para extrair inteligência. Da mesma forma, soluções de segurança contratadas para fazer o papel de inteligência e que, por si só, não foram criadas para essa finalidade. Abaixo, alguns exemplos do que não é, isoladamente, inteligência de ameaças cibernéticas:

Monitoramento de marca e redes sociais

Algumas atividades podem ser importantes para a segurança da empresa, mas nem sempre são consideradas atividades de inteligência. O monitoramento de reputação da marca e das redes sociais é mais comumente associado à resposta a incidentes, em que a organização monitora a atividade online em busca de possíveis riscos, mas não necessariamente com o objetivo de coletar informações sobre ameaças.

Detecção de credenciais e cartões

Já a detecção de credenciais ou cartões de crédito comprometidos é uma atividade de prevenção, para proteger os dados da empresa e de seus clientes. Embora importante, essa atividade não é considerada inteligência de ameaças cibernéticas, uma vez que não envolve a coleta nem análise de informações sobre ameaças.

IOCs

A ingestão de Indicadores de Comprometimento (IOCs), ou assinaturas para bloqueio e detecção automática, é uma atividade de detecção de ameaças considerada parte do processo de inteligência de ameaças cibernéticas. Os IOCs são indicadores para a presença de uma ameaça ou atividade maliciosa em uma rede ou sistema, enquanto as assinaturas são padrões pré-definidos que ajudam a identificar atividades maliciosas. Algo fundamental para a detecção e prevenção, e que faz parte do processo de coleta e análise de informações sobre ameaças, o principal objetivo da inteligência de ameaças cibernéticas.

E o que é, então, inteligência de ameaças  

A inteligência existe há muito mais tempo do que a palavra “cibernética”. Engloba uma série de habilidades cognitivas, como lógica, abstração, memorização, compreensão, comunicação, aprendizado, controle emocional, planejamento e resolução de problemas. Ao contrário de uma resposta simples de “sim” ou “não”, a inteligência oferece uma avaliação baseada em uma análise mais aprofundada.

Nenhuma ferramenta pode produzir inteligência acionável. Apenas analistas podem, ao considerarem várias fontes de informação, sem seguir o ciclo de vida da inteligência de ameaças cibernéticas. São os profissionais que trazem insights valiosos sobre adversários, táticas, técnicas, procedimentos e probabilidades de ataques futuros.

Seguindo na terminologia, a definição de ameaça se dá quando há a junção de três critérios: intenção, capacidade e oportunidade de causar danos ou prejuízos a uma entidade. E cibernética, na terminologia utilizada de acordo com o cientista americano Norbert Wiener, refere-se à comunicação e interação entre o homem e a máquina.

Inteligência de ameaças cibernéticas é, portanto, o conhecimento que permite decifrar e interpretar ameaças cibernéticas contra organizações, sistemas e redes por meio da coleta, análise e disseminação de informações. Com isso, melhora a capacidade do negócio de detectar, prevenir e responder a esses perigos. É um processo contínuo e estratégico, vai além da detecção e resposta a incidentes e requer a expertise e a habilidade de profissionais especializados.

As 5 fases do ciclo de vida da inteligência

  • Planejamento: nesta fase inicial, o objetivo da coleta de informações é definido e um escopo é estabelecido. É importante determinar quais aspectos das ameaças cibernéticas serão abordados, quais são as áreas prioritárias e quais são os objetivos específicos a serem alcançados. O escopo ajuda a direcionar os esforços de coleta e análise de maneira eficiente e eficaz.
  • Coleta: as informações relevantes são adquiridas a partir de diversas fontes, como fontes abertas, feeds de inteligência, análise de incidentes, pesquisas em fontes técnicas e humanas, entre outras. As fontes podem incluir dados internos da organização, feeds de inteligência externos, dados de tráfego de rede, fóruns online, mídias sociais, relatórios de ameaças e muito mais. É essencial avaliar a qualidade e a confiabilidade das fontes de informação durante o processo de coleta.
  • Processamento: na etapa de processamento, as informações coletadas são analisadas e organizadas de forma a torná-las úteis para a tomada de decisões. Isso envolve a agregação, triagem e normalização dos dados, além da identificação de padrões, tendências e correlações relevantes. O processamento pode envolver o uso de ferramentas de análise automatizadas, algoritmos de detecção de anomalias e técnicas de análise de dados.
  • Produção e análise: nesta fase, os analistas de inteligência cibernética realizam uma análise aprofundada das informações processadas. Eles examinam os dados coletados à luz do escopo definido e dos objetivos estabelecidos. Os analistas identificam ameaças emergentes, avaliam a natureza das ameaças existentes, investigam suas origens e motivações, e estimam o potencial impacto nos sistemas e na organização. Essa análise resulta na produção de produtos de inteligência, como relatórios, alertas, boletins informativos e recomendações de ação.
  • Disseminação / Feed: na última etapa do ciclo de inteligência cibernética, os resultados da análise são disseminados para as partes interessadas dentro da organização. Isso pode incluir a equipe de segurança, a alta administração, os tomadores de decisão e outras equipes relevantes. A divulgação da inteligência ocorre por meio de relatórios, apresentações, reuniões ou outros meios de comunicação adequados. O objetivo é garantir que a inteligência seja compartilhada de maneira clara e acionável, fornecendo insights valiosos para fortalecer a postura de segurança e tomar medidas proativas contra as ameaças cibernéticas identificadas.

Por onde começar então?

Ao entender a definição de inteligência de ameaças, o time de segurança pode tomar decisões informadas sobre o que realmente procurar para resolver o problema que está enfrentando, quais ferramentas adquirir, como orientar os processos internos, os tipos de treinamento necessários para as equipes e muito mais.

Há uma necessidade de uma solução que ofereça contexto em tempo real sobre o cenário real de ameaças. A inteligência é uma forma de conseguir avançar. Entenda o contexto do negócio e como protegê-lo hoje. Nossos especialistas em inteligência de ameaças estão prontos para conversar.

This website uses cookies to improve your web experience.
Explore
Drag