Estamos tratando da inteligência de ameaças em uma série de posts aqui no blog. Anteriormente, falamos sobre o funcionamento dessa estratégia; apontamos o ciclo a ser percorrido para alcançá-la.
Hoje vamos te ajudar a refletir sobre os diferentes tipos de inteligência de ameaças. Você vai ver que cada um deles responde a um objetivo, ou a uma realidade empresarial em termos de segurança da informação.
Acompanhe!
3 tipos de inteligência de ameaças
A inteligência de ameaças geralmente é dividida em três subcategorias:
- Estratégica — tendências mais amplas normalmente destinadas a um público não técnico;
- Tática — esboços das táticas, técnicas e procedimentos dos agentes de ameaças para um público mais técnico;
- Operacional — detalhes técnicos sobre ataques e campanhas específicas.
Confira, a seguir, um detalhamento de cada uma dessas subcategorias!
1. Inteligência estratégica de ameaças
A inteligência estratégica de ameaças fornece uma ampla visão geral do cenário de ameaças da organização. Destina-se a informar decisões de alto nível tomadas por executivos e outros tomadores de decisão em uma organização — como tal, o conteúdo geralmente é menos técnico e é apresentado por meio de relatórios ou briefings.
Uma boa inteligência estratégica deve fornecer informações sobre áreas como os riscos associados a certas linhas de ação, padrões amplos nas táticas e alvos dos atores de ameaças e eventos e tendências geopolíticas.
As fontes comuns de informação para inteligência estratégica de ameaças incluem:
- documentos de política de estados-nação ou organizações não governamentais;
- notícias da mídia local e nacional, publicações específicas do setor e do assunto ou outros especialistas no assunto;
- white papers, relatórios de pesquisa e outros conteúdos produzidos por organizações de segurança.
A produção de uma forte inteligência estratégica contra ameaças começa com perguntas específicas e focadas para definir os requisitos de inteligência. Também são necessários analistas com experiência fora das habilidades típicas de segurança cibernética — em particular, um forte entendimento de conceitos sociopolíticos e de negócios.
Embora o produto final não seja técnico, a produção de inteligência estratégica eficaz exige uma pesquisa profunda por meio de grandes volumes de dados, geralmente em vários idiomas.
Isso pode tornar a coleta inicial e o processamento de dados muito difíceis de serem executados manualmente, mesmo para aqueles analistas raros que possuem as habilidades linguísticas certas, formação técnica e habilidade.
Logo, uma solução de inteligência de ameaças que automatiza a coleta e o processamento de dados ajuda a reduzir essa carga e permite que analistas que não têm tanta experiência trabalhem com mais eficiência.
2. Inteligência tática de ameaças
A inteligência tática de ameaças descreve as táticas, técnicas e procedimentos dos agentes de ameaças. Deve ajudar os defensores a entender, em termos específicos, como sua organização pode ser atacada e as melhores maneiras de se defender ou mitigar esses ataques.
Geralmente, ela inclui contexto técnico e é usada por pessoal diretamente envolvido na defesa de uma organização, como arquitetos de sistemas, administradores e equipe de segurança.
Os relatórios produzidos por fornecedores de segurança geralmente são a maneira mais fácil de obter inteligência tática sobre ameaças.
Recomenda-se a procura ativa de informações em relatórios sobre os vetores de ataque, ferramentas e infraestrutura que os invasores estão usando. Incluindo detalhes sobre quais vulnerabilidades estão sendo direcionadas e quais explorações os invasores estão aproveitando, bem como quais estratégias e ferramentas eles podem estar usando para evitar ou atrasar detecção.
3. Inteligência de ameaças operacionais
A inteligência operacional é o conhecimento sobre ataques cibernéticos, eventos ou campanhas. Ela fornece insights especializados que ajudam as equipes de resposta a incidentes a entender a natureza, a intenção e o momento de ataques específicos.
Como isso geralmente inclui informações técnicas — como qual vetor de ataque está sendo usado, quais vulnerabilidades estão sendo exploradas ou quais domínios de comando e controle estão sendo empregados — esse tipo de inteligência também é chamado de inteligência técnica de ameaças.
Uma fonte comum de informações técnicas são os feeds de dados de ameaças, que geralmente se concentram em um único tipo de indicador, como hashes de malware ou domínios suspeitos.
Mas se a inteligência técnica de ameaças é estritamente pensada como derivada de informações técnicas, como feeds de dados de ameaças, inteligência de ameaças técnica e operacional não são totalmente sinônimos — mais como um diagrama de Venn com grandes sobreposições.
Outras fontes de informação sobre ataques específicos podem vir de fontes fechadas, como a interceptação de comunicações de grupos de ameaças, seja por meio de infiltração ou invasão desses canais de comunicação.
Consequentemente, existem algumas barreiras para coletar esse tipo de inteligência:
- Acesso — Os grupos de ameaças podem se comunicar por canais privados e criptografados ou exigir alguma prova de identificação. Existem também barreiras linguísticas com grupos de ameaças localizados em países estrangeiros.
- Ruído — Pode ser difícil ou impossível reunir manualmente uma boa inteligência de fontes de alto volume, como salas de bate-papo e mídias sociais.
- Ofuscação — Para evitar a detecção, os grupos de ameaças podem empregar táticas de ofuscação, como o uso de codinomes.
As soluções de inteligência contra ameaças que dependem de processos de aprendizado de máquina para coleta automatizada de dados em grande escala podem superar muitos desses problemas ao tentar desenvolver inteligência operacional eficaz contra ameaças.
Uma solução que usa processamento de linguagem natural, por exemplo, poderá coletar informações de fontes de idiomas estrangeiros sem precisar de conhecimento humano para decifrá-las.
Como o tema da inteligência de ameaças está sendo tratado na sua empresa? Aprofunde-se mais neste conceito baixando o eBook que acabamos de lançar!
