Threat intelligence: como usar para alavancar sua abordagem em segurança
Como um agente malicioso se comporta? Quais são as suas táticas, técnicas e métodos? Quais são os seus alvos? O que ele faz depois que o alcança?
Quando modificamos, em cibersegurança, nossa postura de reativa para proativa, a primeira iniciativa que vem à nossa mente é: precisamos antecipar os passos dos agentes maliciosos.
Infelizmente não é possível ler a mente deles, mas mesmo assim dá para fazer muito. Uma das maneiras é por meio da threat intelligence.
A threat intelligence busca pesquisar e produzir conhecimento para criar uma postura em segurança mais robusta e bem informada. Esse conhecimento vem da coleta, análise e processamento de informações de segurança, de trocas com outros profissionais e até de incidentes propriamente ditos.
O objetivo é levar a decisões rápidas, data-driven e em tempo real tanto diante de ataques em andamento, a fim de impedir que eles avancem pelo ambiente de rede da organização, quanto diante das estratégias, táticas e operações em segurança.
Mas onde a threat intelligence é produzida? Considerando que métodos de ataque variam de segmento para segmento e até de empresa para empresa, existe um framework que possa ser seguido a fim de implementá-la? E depois, como integrá-la a tudo que se tem em segurança?
Acompanhe neste artigo.
Leia também: SOC as a service: como funciona esse modelo de terceirização?
Produzindo threat intelligence: adote um framework
Para fazer threat intelligence, você vai adotar um processo. O MITRE Atta&ck Framework é um repositório de comportamentos em ciberataques baseado em observações reais que está entre as bases de conhecimento mais populares, consagradas e acessíveis para isso.
Com ele, você vai mapear as diferentes técnicas, táticas e procedimentos (TTP) que os agentes maliciosos usam para adentrar seus sistemas, bem como as tecnologias que eles usam e seus alvos.
Ele também ajudará você a classificar ataques e a ter ideia de como agentes maliciosos podem se comportar em diferentes cenários.
Seu objetivo é descobrir quais os riscos e vulnerabilidades que a organização enfrenta com mais frequência ou com maior nível de impactos, e quais atores podem se aproveitar deles.
Veja mais: SIEM: que funcionalidades você precisa para modernizar o seu
Purple team engagement: gerando aplicações da threat intelligence em segurança
Esse processo de pesquisa ativa, unido ao aprendizado pós-ataques e de troca com parceiros externos, vai gerar conhecimento acionável.
Isso deve ser traduzido em engajamento para o purple team aplicar novos testes a fim de compreender como melhorar as defesas a perímetro da organização.
Seu objetivo é verificar a possibilidade a nível de estratégias, táticas e operações para a prevenção e detecção de ataques.
Veja como esse trabalho alavanca sua abordagem em cibersegurança nesses quatro níveis:
1- Estratégia de cibersegurança
Você pode descobrir que enquanto você mirava em um lado e corria para ele, seus atacantes olhavam para outro. Tendências de ataque, assim como vulnerabilidades mudam muito rápido.
Por isso, a pesquisa em threat intelligence pode beneficiar sua estratégia em cibersegurança, modificando ou refinando a tomada de decisão a nível da alta gestão sobre o apetite a riscos, a abordagem de riscos e sobre como equilibrar, para atender a ela, a alocação de recursos financeiros, humanos e ferramentais.
Com a visão do que afeta a organização em termos de vulnerabilidades e riscos, você pode separar suas forças e oportunidades para redefinir objetivos e metas de acordo com as maiores prioridades.
2- Táticas utilizadas em cibersegurança
Da mesma maneira, a threat intelligence leva você a repensar seu modus operandi de acordo com o que você identifica no comportamento dos atacantes. Afinal, sabendo de antemão os prováveis passos que ele tomará, você poderá repensar os seus.
Como deve ser seu trabalho de monitoramento, sua metodologia, suas ferramentas e sua equipe? Como devem ser playbook e regras de monitoramento e detecção?
Com base nisso, você encontrará diferentes rotas de ação mais alinhadas com o seu negócio, com seu orçamento, com suas habilidades técnicas e suas ferramentas.
Esse tipo de inteligência de ameaças será aproveitado pelas lideranças das operações, que precisam conciliar inúmeras variáveis para atender a estratégia geral de segurança
3- Operações
Nesse caso, a threat intelligence será usada para alavancar a resposta a uma ameaça ou ataque em andamento.
Como a linha de frente, o foco é compreender como o ator opera, por onde ele se move e suas habilidades para determinar seus próximos passos baseado no seu comportamento passado.
Nesse caso, ela engloba toda informação que pode ser imediatamente consumida, como alertas em tempo real que ajudam o time a compreender o escopo de um ataque e a se defender dele com mais rapidez e precisão.
Essa frente tem a ver também com a qualidade com que a equipe poderá investigar um incidente e remediar danos.
Portanto, quem mais vai consumir essa informação de threat intelligence serão os analistas de segurança, profissionais de rede, times de detecção de fraude.
Threat intelligence: o caminho para um programa avançado em cibersegurança
Um programa consistente em pesquisas em threat intelligence pode trazer um retorno significativo sobre o investimento. À medida que torna a segurança da organização mais madura e avançada, o trabalho em threat intelligence pode ser integrado a suas estratégicas, táticas e operações em segurança.
Mas de maneira nenhuma é uma tarefa simples. O processo de coleta e processamento pode ser demorado e trabalhoso. Por isso, tão logo quanto possível deve ser automatizado.
Inicialmente, como é de se esperar, o processo de pesquisa, engajamento e incremento será lento. Porém, é ao perseverar nesse caminho e manter as trocas acontecendo que as descobertas vão surgir.
Sua estratégia de segurança agradece!
