CyberThreat Intelligence: é a área que toda empresa de segurança precisa

ElevenPaths    29 agosto, 2019
CyberThreat Intelligence

Hoje, os ataques cibernéticos são realizados por pessoas que usam técnicas avançadas. É muito difícil prever as intenções e os meios que serão usados para realizar o ataque. Nesse cenário, a abordagem clássica de segurança cibernética não é suficiente. As empresas precisam recrutar profissionais especialistas em segurança para utilizar a inteligência de ameaças, identificar riscos desconhecidos e criar mecanismos de defesa avançados para proteger os ativos de TI das empresas.

Cyber Threat Intelligencetambém conhecida como CTI, é definida como a análise das informações sobre a ameaça, adversários e padrões empregados no ataque para tomar decisões com base em todos os itens acima para ações de prevenção, detecção resposta contra possíveis ciberataques. O processo de descobrimento de qualquer “unknown threat” segue as seguintes etapas: recolhimento de informações, investigação de dados recolhidos e análise de tendências durante a realização de um ataque. O principal objetivo da CTI é tornar a empresa capaz de identificar ameaças atuais e emergentes, desenvolvendo uma postura proativa de segurança, antes que essas falhas sejam exploradas. É uma rotina que deve ser compartilhada por todas as áreas de negócio para que seja possível se antecipar aos ataques.

O CTI pode ser utilizado para identificar os fatores de risco em ataques de malware, SQL injections, ataques a aplicações web, vazamentos de dados, phishing, ataques DoS etc. Estes riscos, depois de serem filtrados, podem ser colocados em um checklist para que sejam gerenciados corretamente. A Cyber Threat Intelligence é benéfica para a empresa porque permite que se faça uma gestão efetiva de ameaças, com planejamento e ações de mitigação através da análise específica, além disso fortalece o sistema de defesa das empresas, cria awareness em relação aos riscos e ajuda na resposta a incidentes.

Etapas da Threat Intelligence

Existem três etapas, ou classificações de informação: “unknown unknows”, “known unknowns”, “known knowns”. O processo começa na etapa de “unknown, unknowns” na qual não se tem qualquer ideia sobre a ameaça que se tenta localizar, depois de obter essas informações iniciais passamos às duas etapas seguintes. Em “knowm unknowns” analisamos os dados levantados e se entende a natureza da ameaça, seu funcionamento e características, o que nos leva à terceira fase “known knowns”, onde se mitigam as ameaças. Resumindo a CTI, podemos dizer que é o processo de recolhimento de informações sobre ataques presumidos para entender o motivo que estão por trás deles. Com essas informações de pode proteger e tentar prevenir as infraestruturas de TI da empresa. De forma gráfica:

Características do Threat Intelligence

  • Recolhimento de dados de várias fontes, tanto de código aberto como comerciais, assim como internas e externas
  • Criação de alertas personalizados e priorizados sobre a infraestrutura de TI da companhia
  • Identificação de Indicadores de Comprometimento (IoC) para prevenir que um ataque ponha em risco os ativos de TI
  • Permitir que se crie estratégias de proteção do ambiente
  • Permitir que se entenda os ataques em curso, incluindo who, what, when, where e o how das ameaças desconhecidas
  • Criar um índice de probabilidade de risco e o impacto que ele pode ter sobre o negócio
  • Recomendar diversas soluções para a mitigação do risco.

Como a Threat Intelligence ajuda as empresas?

Em uma definição simples, reduzindo os efeitos que as ameaças tem sobre os ambientes para fortalecer a maturidade de segurança das empresas, incluindo as seguintes áreas:

  • Identificação e proteção: a monitoria de ameaças internas e externas permite revelar ameaças desconhecidas e vulnerabilidades que podem pôr o negócio em risco. A inteligência de ameaças ajuda a adaptar a estratégia de segurança atual com as estratégias de ataques, diminuindo a eficiência e impacto das ameaças emergentes. Uma varredura extensiva permite que a empresa possa avaliar suas capacidades para definir a operabilidades da CTI.
  • Detectar: monitorar as ameaças e aplicar inteligência em tempo real ajuda as empresas a detectar ataques com mais rapidez e de maneira mais efetiva. A Threat Intelligence ajuda os analistas a descobrir ataques em suas etapas mais iniciais, reduzindo alertas irrelevantes e falsos positivos.
  • Responder: a CTI produz informação contextual sobre ataques que incluem IoCs, TTPs etc., que podem ajudar as empresas a prevenir a propagação de ataques, redução de impacto no negócio e duração. A inteligência de ameaças suporta o processo de mitigação e a tomada de decisões para ajudar a criar atividades de resposta a incidentes efetivas.
  • Recuperar: a CTI detecta e elimina os mecanismos permanentes usados pelos invasores, como arquivos mal-intencionados instalados nos sistemas, e fornece uma recuperação rápida dos ataques. A CTIA prioriza a segurança dos ativos e ajuda a melhorar seus mecanismos de segurança existentes.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *