A threat intelligence busca pesquisar e produzir conhecimento para criar uma postura em segurança mais robusta e bem informada. Esse conhecimento vem da coleta, análise e processamento de informações de segurança, de trocas com outros profissionais e até de incidentes propriamente ditos.

O objetivo é levar a decisões data-driven diante das estratégias, táticas e operações em segurança, a fim de se preparar para o perfil mais provável de ameaças futuras.

Como a threat intelligence é produzida?

Considerando que métodos de ataque variam de segmento para segmento e até de empresa para empresa, existe um framework que possa ser seguido a fim de implementá-la? E depois, como integrá-la a tudo que se tem em segurança?

Acompanhe neste artigo.

Leia também: SOC as a service: como funciona esse modelo de terceirização?

Objetivos da CTI

Se, de uma maneira geral, a cyber threat intelligence visa fortalecer proativamente a proteção contra ameaças, por outro, ao se tornar um processo realizado pelo SOC, ela precisa ter objetivos claros e específicos.

Isso, porque cada organização enfrenta ameaças únicas e, consequentemente, nem todas as táticas ou técnicas serão relevantes para todos. Priorize aquelas que são mais aplicáveis ao seu cenário e garanta que você esteja preparado para elas.

Isso pode ser:

• Melhorias em regras de detecção de ameaças específicas
• Melhorias em defesas contra ativos críticos
• Aprimoramento de playbooks de resposta a incidentes.

Na definição desses objetivos estará todo o direcionamento da ação do ciclo de cyber threat intelligence, sobre o qual falaremos abaixo.

Ciclo de cyber threat intelligence

O processo de CTI é cíclico e sempre vai envolver estas etapas: 

1. Coleta de dados

Coletar informações de diversas fontes, como:

• Externas: Feed OSINT, comerciais ou gratuitos, dark e deep web e threat sharing communities.
• Internas: logs e eventos do SOC, histórico de incidentes, reputação de emails e domínios…

2. Processamento dos dados coletados 

A partir dos dados, a equipe trabalha em cima deles, fazendo a normalização, compreendendo o comportamento e extraindo indicadores de comprometimento.

É esse trabalho que está na base da produção de inteligência.

3. Produção de inteligência

Nesta fase, a equipe vai correlacionar os dados com TTP de adversários.

MITRE ATT&CK e D3FEND frameworks são repositórios de comportamentos em ciberataques baseados em observações reais que estão entre as bases de conhecimento mais populares, consagradas e acessíveis.

O MITRE ATT&CK ajuda a entender como os atacantes operam, enquanto o MITRE D3FEND define como se defender das técnicas de ataque. 

MITRE ATT&CK

O MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) documenta táticas, técnicas e procedimentos (TTPs) usados por adversários reais para adentrar seus sistemas, bem como as tecnologias que eles usam e seus alvos. 

Nas mãos do red team, ele serve como material para classificar ameaças, e para o blue team para avaliar se as defesas (SIEM, EDR e outras) conseguem detectar esses ataques.

Com ele, a equipe vai descobrir quais os riscos e vulnerabilidades que a organização enfrenta com mais frequência ou com maior nível de impactos, e quais atores podem se aproveitar deles.

Você pode usá-lo para fazer:

1. Mapeamento de ameaças: analisar grupos de atacantes e vincular suas TTPs ao ATT&CK.
2. Detecção e resposta: criar regras de detecção de atividades baseadas nas técnicas documentadas.
3. Hunting e análise forense: investigar incidentes e entender como um ataque aconteceu.
4. Enriquecimento de relatórios: traduzir dados técnicos para a realidade do negócio.

MITRE D3FEND

A inteligência produzida pelo red team deve chegar a quem pode agir sobre ela.

O MITRE D3FEND complementa o ATT&CK. Com ele, o purple team tem diretrizes para desenvolver técnicas defensivas para mitigar ataques e fortalecer continuamente as defesas, por meio de:

1. Defesa baseada em inteligência: definir ações de resposta.
2. Melhoria nas detecções: ajustrar SIEM e EDR para cobrir lacunas nas defesas.
3. Refinamento e criação de playbooks de resposta: desenhar procedimentos pradonizados para mitigação.

Veja mais: SIEM: que funcionalidades você precisa para modernizar o seu

Gerando aplicações da threat intelligence em segurança

Esse processo de pesquisa ativa de ameaças, unido ao aprendizado pós-ataques e de troca com parceiros externos, vai gerar inteligência acionável. 

Isso deve ser traduzido em engajamento, isto é, em ações do purple team em melhoraria das defesas da organização.

Veja como esse trabalho alavanca sua abordagem em cibersegurança nesses 3 níveis:

1. Estratégia de cibersegurança

Você pode descobrir que, enquanto você mirava em um lado e corria para ele, seus atacantes olhavam para outro. Tendências de ataque, assim como vulnerabilidades mudam muito rápido.

Por isso, a pesquisa em threat intelligence pode beneficiar sua estratégia em cibersegurança, modificando ou refinando a tomada de decisão a nível da alta gestão sobre o apetite a riscos, a abordagem de riscos e sobre como equilibrar, para atender a ela, a alocação de recursos financeiros, humanos e ferramentais. 

Com a visão do que afeta a organização em termos de vulnerabilidades e riscos, você pode separar suas forças e oportunidades para redefinir objetivos e metas de acordo com as maiores prioridades.

2. Táticas utilizadas em cibersegurança

Da mesma maneira, a threat intelligence leva você a repensar seu modus operandi de acordo com o que você identifica no comportamento dos atacantes. Afinal, sabendo de antemão os prováveis passos que ele tomará, você poderá repensar os seus.

Como deve ser seu trabalho de monitoramento, sua metodologia, suas ferramentas e sua equipe? Como devem ser playbooks e regras de monitoramento e detecção?

Com base nisso, você encontrará diferentes rotas de ação mais alinhadas com o seu negócio, com seu orçamento, com suas habilidades técnicas e suas ferramentas.

Esse tipo de inteligência de ameaças será aproveitado pelas lideranças das operações, que precisam conciliar inúmeras variáveis para atender a estratégia geral de segurança

3. Operações

Nesse caso, a threat intelligence será usada para alavancar a resposta a uma ameaça ou ataque em andamento.

Como a linha de frente, o foco é compreender como o ator opera, por onde ele se move e suas habilidades para determinar seus próximos passos baseado no seu comportamento passado.

Nesse caso, ela engloba toda informação que pode ser imediatamente consumida, como alertas em tempo real que ajudam o time a compreender o escopo de um ataque e a se defender dele com mais rapidez e precisão.

Essa frente tem a ver também com a qualidade com que a equipe poderá investigar um incidente e remediar danos.

Portanto, quem mais vai consumir essa informação de threat intelligence serão os analistas de segurança, profissionais de rede, times de detecção de fraude.

Threat intelligence: o caminho para um programa avançado em cibersegurança

Um programa consistente em pesquisas em threat intelligence pode trazer um retorno significativo. À medida que torna a segurança da organização mais madura e avançada, o trabalho em threat intelligence pode ser integrado a suas estratégicas, táticas e operações em segurança.

Mas de maneira nenhuma é uma tarefa simples ou temporária. O processo de coleta e processamento pode ser demorado e trabalhoso. Da mesma forma, o trabalho não se dá por concluído. Os atacantes possuem múltiplas formas de realizar a maioria das técnicas. Busque compreender e detectar outras variações dessa técnica.

Inicialmente, como é de se esperar, o processo de pesquisa, engajamento e incremento será lento. Porém, é ao perseverar nesse caminho e manter as trocas acontecendo que as descobertas vão surgir. 

Sua estratégia de segurança agradece!