Cyber Threat Intelligence e seus objetivos
A inteligência de ameaças cibernéticas (CTI) é conhecimento, habilidades e informações baseadas em experiência sobre a ocorrência e avaliação de ameaças cibernéticas e físicas e agentes de ameaças que se destinam a ajudar a mitigar ataques potenciais e eventos nocivos que ocorrem no ciberespaço. As fontes de inteligência de ameaças cibernéticas incluem inteligência de código aberto, inteligência de mídia social, inteligência humana, inteligência técnica, arquivos de log de dispositivos, dados adquiridos forense ou inteligência do tráfego da Internet e dados derivados da deep e dark web.
A inteligência de ameaças é o conhecimento baseado em evidências (por exemplo, contexto, mecanismos, indicadores, implicações e conselhos orientados para a ação) sobre ameaças existentes ou emergentes ou perigos aos ativos. – Gartner
No mundo da segurança cibernética, ameaças persistentes avançadas (APTs) e defensores estão constantemente tentando superar uns aos outros. Os dados sobre o próximo movimento de um agente de ameaça são cruciais para adaptar proativamente suas defesas e prevenir ataques futuros.
Nos últimos anos, a inteligência de ameaças tornou-se uma parte crucial da estratégia de segurança cibernética das empresas, pois permite que as empresas sejam mais proativas em sua abordagem e determinem quais ameaças representam os maiores riscos para um negócio. Isso coloca as empresas em uma frente mais proativa – tentando ativamente encontrar suas vulnerabilidades e evita hacks antes que eles aconteçam. Esse método está ganhando importância nos últimos anos, pois, segundo estimativas da IBM, o método mais comum de invasão das empresas é por meio da exploração de ameaças (47% de todos os ataques).
No entanto, há uma diferença entre reconhecer valor e receber valor. A maioria das organizações hoje está concentrando seus esforços apenas nos casos de uso mais básicos, como a integração de feeds de dados de ameaças com a rede existente, IPS, firewalls e SIEMs — sem aproveitar ao máximo os insights que a inteligência pode oferecer.
As empresas que aderem a esse nível básico de inteligência contra ameaças estão perdendo vantagens reais que poderiam fortalecer significativamente suas posturas de segurança.
A inteligência de ameaças é importante pelos seguintes motivos:
- Lança luz sobre o desconhecido, permitindo que as equipes de segurança tomem melhores decisões.
- Capacita as partes interessadas em segurança cibernética, revelando motivos adversários e suas táticas, técnicas e procedimentos (TTPs).
- Ajuda os profissionais de segurança a entender melhor o processo de tomada de decisão do agente malicioso.
- Capacita as partes interessadas nos negócios, como conselhos executivos, CISOs, CIOs e CTOs; para investir com sabedoria, mitigar riscos, tornar-se mais eficiente e tomar decisões mais rápidas.
Quem se beneficia com o Threat Intelligence?
A inteligência de ameaças beneficia organizações de todas as formas e tamanhos, ajudando a processar dados de ameaças para entender melhor seus invasores, responder mais rapidamente a incidentes e antecipar-se proativamente ao próximo passo de um agente de ameaças. Para SMBs, esses dados os ajudam a alcançar um nível de proteção que, de outra forma, estaria fora de alcance. Por outro lado, as empresas com grandes equipes de segurança podem reduzir o custo e as habilidades necessárias, aproveitando informações externas sobre ameaças e tornando seus analistas mais eficazes.
De cima para baixo, o threat intelligence oferece vantagens exclusivas para todos os membros de uma equipe de segurança, incluindo:
- Analista Sec/TI
- SOC
- CSIRT
- Intel Analyst
- Gestão executiva
Ciclo de vida do threat intelligence
O ciclo de vida da inteligência é um processo para transformar dados brutos em inteligência finalizada para tomada de decisão e ação. Você verá muitas versões ligeiramente diferentes do ciclo de inteligência em sua pesquisa, mas o objetivo é o mesmo: orientar uma equipe de segurança cibernética no desenvolvimento e execução de um programa eficaz de inteligência contra ameaças.
A inteligência de ameaças é desafiadora porque as ameaças estão em constante evolução, exigindo que as empresas se adaptem rapidamente e tomem medidas decisivas. O ciclo de inteligência fornece uma estrutura para permitir que as equipes otimizem seus recursos e respondam com eficácia ao cenário moderno de ameaças. Este ciclo consiste em seis etapas, resultando em um ciclo de feedback para incentivar a melhoria contínua.
