Inteligência de Ameaças ou Threat Intelligence são dados coletados, processados e analisados para entender o comportamento de ataque de um adversário. A inteligência de ameaças nos permite tomar decisões de segurança mais rápidas, mais informadas e baseadas em dados para mudar os comportamentos e sair de um estado reativo para o proativo.
Hoje, o setor de segurança cibernética enfrenta vários desafios, os atacantes que estão cada vez mais persistentes em seus ataques, uma enxurrada diária de dados cheios de informações estranhas e alarmes falsos em vários sistemas de segurança e uma séria escassez de profissionais qualificados.
Algumas organizações tentam incorporar feeds de dados de ameaças em sua rede, mas não sabem o que fazer com esses dados brutos e nem como transformar em diamante, aumentando a sobrecarga dos analistas que podem não ter as ferramentas para decidir o que priorizar e o que ignorar.
Uma solução de inteligência de ameaças cibernéticas pode resolver cada um desses problemas. As melhores soluções usam aprendizado de máquina para automatizar a coleta e o processamento de dados, integrar-se às suas soluções existentes, receber dados não estruturados de fontes diferentes e conectar os pontos fornecendo contexto sobre indicadores de compromisso (IoCs) e as táticas, técnicas e procedimentos (TTPs) de adversários.
A HackerSec é especializada no serviço de Threat Intelligence e pode ajudar as maiores empresas com a prevenção de ameaças, conheça mais nossas soluções de cibersegurança: https://hackersec.com/empresas/
Fases do Threat Intelligence
1. Planejamento e Direção
O primeiro passo para produzir inteligência de ameaças é fazer a pergunta certa.
As perguntas que melhor impulsionam a criação de inteligência de ameaças concentram-se em eventos ou atividades.
Priorize seus objetivos de inteligência com base em fatores como o quanto eles aderem aos valores centrais de sua organização, quão grande será o impacto que a decisão resultante terá e quão sensível ao tempo a decisão é.
2. Coleta
A próxima etapa é coletar dados brutos que atendam aos requisitos definidos no primeiro estágio. É melhor coletar dados de uma ampla variedade de fontes internas, como logs de eventos de rede e registros de respostas a incidentes anteriores, e logs externos que vem da internet.
Os dados de ameaças são geralmente considerados listas de IoCs, como endereços IP maliciosos, domínios e hashes de arquivos, mas também podem incluir informações de vulnerabilidade, PIIs e etc.
3. Processamento
Depois que todos os dados brutos forem coletados, você precisa classificá-los, organizando-os com tags de metadados e filtrando informações redundantes ou falsos positivos e negativos.
Hoje, até mesmo as pequenas organizações coletam dados de eventos de log e centenas de milhares de indicadores todos os dias. É demais para os analistas humanos processarem com eficiência, a coleta e o processamento de dados precisam ser automatizados para começar a fazer sentido.
Soluções como SIEMs são um bom ponto de partida porque facilitam relativamente a estruturação de dados.
4. Análise
O próximo passo é entender os dados processados. O objetivo da análise é procurar possíveis problemas de segurança e notificar as equipes relevantes em um formato que atenda aos requisitos de inteligência descritos na etapa de planejamento e direção.
A inteligência de ameaças pode assumir muitas formas, dependendo dos objetivos iniciais e do público-alvo, mas a ideia é colocar os dados em um formato que o público entenda. Isso pode variar de simples listas de ameaças a relatórios revisados por pares.
5. Divulgação
O produto acabado é então distribuído aos seus consumidores pretendidos. Para que a inteligência de ameaças seja acionável, ela precisa chegar às pessoas certas no momento certo.
Também precisa ser rastreado para haver continuidade entre um ciclo de inteligência e o próximo e assim o aprendizado não seja perdido. Use sistemas de tíckets que se integram com seus outros sistemas de segurança para rastrear cada etapa do ciclo de inteligência, assim cada vez que uma nova solicitação de inteligência surge, os tíquetes podem ser enviados, escritos, revisados e preenchidos por várias pessoas em diferentes equipes, tudo em um Lugar.
6. Comentários
A etapa final é quando o ciclo de inteligência se completa. Após receber o relatório de inteligência finalizado, quem fez a solicitação inicial o analisa e determina se suas dúvidas foram respondidas. Isso impulsiona os objetivos e procedimentos do próximo ciclo de inteligência, novamente tornando a documentação e a continuidade essenciais.
Os tipos de Threat Intelligence
A inteligência de ameaças geralmente é dividida em três subcategorias:
Estratégico — Tendências mais amplas normalmente destinadas a um público não técnico
Tático — Esboços das táticas, técnicas e procedimentos dos agentes de ameaças para um público mais técnico
Operacional — Detalhes técnicos sobre ataques e campanhas específicos
Inteligência Estratégica de Ameaças
A inteligência estratégica de ameaças fornece uma ampla visão geral do cenário de ameaças de uma organização. Destina-se a informar decisões de alto nível tomadas por executivos e outros tomadores de decisão em uma organização, o conteúdo geralmente é menos técnico sendo apresentado por meio de relatórios ou resumos.
Inteligência Tática de Ameaças
A inteligência tática de ameaças descreve as táticas, técnicas e procedimentos (TTPs) dos adversários. Isso deve ajudar os defensores a entender, como sua organização pode ser atacada e as melhores maneiras de se defender ou mitigar esses ataques. Geralmente inclui contexto técnico sendo usado pelo time diretamente envolvido na defesa de uma organização, como arquitetos de sistema, administradores e equipe de segurança.
Inteligência de ameaças operacionais
A inteligência operacional é o conhecimento sobre ataques cibernéticos, eventos ou campanhas. Ele fornece insights especializados que ajudam as equipes de resposta a incidentes a entender a natureza, a intenção e o momento de ataques específicos.
Como isso geralmente inclui informações técnicas, informações como qual vetor de ataque está sendo usado, quais vulnerabilidades estão sendo exploradas ou quais domínios de comando e controle estão sendo utilizados, esse tipo de inteligência também é chamado de inteligência técnica de ameaças. Uma fonte comum de informações técnicas são os feeds de dados de ameaças, que geralmente se concentram em um único tipo de indicador, como hashes de malware ou domínios suspeitos.
Threat Intelligence na prática
Como é feito o trabalho de Inteligência de ameaças na prática?
O Uso de OSINT é um processo importante para investigar o grau de exposição de informações, urls e ips que sua empresa tem, principalmente para criar uma abordagem de monitoramento. Muitos utilizam ferramentas para auxiliar nesse processo:
- Shodan
- Censys
- Google Dorks
Além disso, muitos endereços IPs e dominios são utilizados para realizar ataques, ter uma base confiável para consultar é importante, principalmente para um posterior bloqueio. Por isso ferramentas como:
- Virus Total
- URL Haus Abuse
- IP Abuse
Entender e mapear adversários é fundamental, principalmente quando você tem um negócio com um modelo tão visado por cibercriminosos, por isso o Mitre Att&ck é indispensável nesses casos.
Um SIEM já ajuda muito, mas ter uma base de ameaças que você pode consultar, principalmente colaborativa como o MISP se torna útil, assim você consegue antecipar as potenciais ameaças que podem vim em qualquer direção no mundo cibernético.