Como a inteligência de ameaças cibernéticas é produzida? De que forma ela funciona no dia a dia das empresas? Quais vantagens as organizações que a potencializam têm mais chances de obter, na comparação com seus pares que ainda não chegaram lá?
Em nossa série de artigos sobre o tema, buscamos levar você a entender por que esse conceito é fundamental. Por isso, agora vamos tentar responder a esses questionamentos. Confira!
→ Talvez você queira uma introdução ao conceito de inteligência de ameaças. Neste caso, leia antes este artigo:
As seis fases do ciclo da Inteligência de Ameaças
A inteligência contra ameaças cibernéticas é o produto final que sai de um ciclo de seis partes de coleta, processamento e análise de dados. Esse processo é um ciclo, pois novas questões e lacunas de conhecimento são identificadas durante o desenvolvimento da inteligência, levando à definição de novos requisitos de coleta.
Neste sentido, um programa de inteligência eficaz é iterativo, tornando-se mais refinado ao longo do tempo.
Para maximizar o valor da inteligência de ameaças que você produz, é fundamental identificar seus casos de uso e definir objetivos antes de fazer qualquer outra coisa. Acompanhe nos tópicos que seguem!
1. Planejamento e direção
O primeiro passo para produzir inteligência de ameaças acionável é fazer os questionamentos certos.
As perguntas que melhor impulsionam a criação de inteligência de ameaças acionável concentram-se em um único fato, evento ou atividade — perguntas amplas e abertas geralmente devem ser evitadas.
Priorize seus objetivos de inteligência com base em fatores como o quão próximo eles aderem aos valores centrais de sua organização, quão grande será o impacto que a decisão resultante terá e quão sensível é a decisão.
Um importante fator orientador neste estágio é entender quem consumirá e se beneficiará do produto final.
É preciso perguntar e responder:
- A inteligência irá para uma equipe de analistas com experiência técnica que precisa de um relatório rápido sobre uma nova exploração?
- Ou para um executivo que está procurando uma ampla visão geral das tendências para informar suas decisões de investimento em segurança para o próximo trimestre?
2. Coleta
A próxima etapa é coletar dados brutos que atendam aos requisitos definidos no primeiro estágio. É melhor coletar ativos informacionais de uma ampla variedade de fontes — internas, como logs de eventos de rede e registros de respostas a incidentes anteriores; e externas da web aberta, da dark web e de fontes técnicas.
Os dados de ameaças geralmente são considerados listas de IoCs, como endereços IP maliciosos, domínios e hashes de arquivos. Mas também podem incluir informações de vulnerabilidade, como informações de identificação pessoal de clientes, código bruto de sites colados e texto de notícias fontes ou redes sociais.
3. Processamento
Depois que todos os dados brutos foram coletados, você precisa classificá-los, organizando-os com tags de metadados e filtrando informações redundantes ou falsos positivos e negativos.
Hoje, até mesmo as pequenas organizações coletam dados na ordem de milhões de eventos de log e centenas de milhares de indicadores todos os dias. É demais para os analistas humanos processarem com eficiência — a coleta e o processamento de dados precisam ser automatizados para começar a fazer sentido.
Soluções como SIEMs são um bom ponto de partida porque facilitam relativamente a estruturação de dados com regras de correlação que podem ser configuradas para alguns casos de uso diferentes, mas só podem receber um número limitado de tipos de dados.
Se você estiver coletando dados não estruturados de muitas fontes internas e externas diferentes, precisará de uma solução mais robusta.
4. Análise
O próximo passo é entender os dados processados. O objetivo da análise é procurar possíveis problemas de segurança e notificar as equipes relevantes em um formato que atenda aos requisitos de inteligência descritos na etapa de planejamento e direção.
A inteligência de ameaças pode assumir muitas formas, dependendo dos objetivos iniciais e do público-alvo. Mas a ideia é colocar os ativos informacionais em um formato que o público entenda, o que pode variar de simples listas de ameaças a relatórios revisados por pares.
5. Divulgação
O produto acabado é então distribuído aos seus consumidores pretendidos. Para que a inteligência de ameaças seja acionável, ela precisa chegar às pessoas certas no momento certo.
Também precisa ser rastreável, para que haja continuidade entre um ciclo de inteligência e o próximo. Dessa forma, o aprendizado não será perdido.
Recomenda-se o uso de sistemas de tíquetes que se integram com seus outros sistemas de segurança para rastrear cada etapa do ciclo de inteligência — cada vez que uma nova solicitação de inteligência surge, os tíquetes podem ser enviados, escritos, revisados e preenchidos por várias pessoas em diferentes equipes.
6. Comentários
A etapa final é quando o ciclo de inteligência se completa, tornando-o intimamente relacionado à fase inicial de planejamento e direção.
Após receber o produto de inteligência finalizado, quem fez a solicitação inicial o analisa e determina se suas dúvidas foram respondidas. Isso impulsiona os objetivos e procedimentos do próximo ciclo de inteligência, tornando a documentação e a continuidade essenciais.
Como o tema da inteligência de ameaças está sendo tratado na sua empresa? Aprofunde-se mais neste conceito baixando o eBook que acabamos de lançar!
