×

Como escolher uma estratégia de inteligência de ameaças

25/10/2019

Nos últimos anos, vimos como os limites que classificam os tipos e autores de ameaças estão cada vez mais difusos. Os métodos e as ferramentas que anteriormente representavam um risco para um pequeno número de organizações se espalharam para um mercado mais amplo. Um exemplo é o grupo Shadow Brokers, devido a disseminação de seu código, colocou exploits sofisticados ao alcance de cibercriminosos que não teriam acesso a estratégias tão avançadas. Outro exemplo é o surgimento de campanhas avançadas de ameaças persistentes (APT), que não estão centradas em espionagem cibernética, mas no roubo de dinheiro utilizado para financiar outras atividades nas quais estão envolvidos incidentes de APT. Infelizmente, a lista não tem fim.

Precisamos de uma nova estratégia

Mais e mais empresas estão se tornando vítimas de ataques avançados e direcionados, então a necessidade de novos métodos de defesa é evidente. Para se proteger, elas precisam de uma estratégia proativa em constante adaptação dos controles de segurança a esse ambiente de ameaças em evolução. É necessário projetar um programa eficaz de inteligência contra ameaças.

A inteligência de ameaças tornou-se uma parte crucial das operações de segurança que foram estabelecidas por empresas de diversos portes e dos mais variados setores e regiões. Por meio de formatos legíveis para humanos e máquina, a inteligência de ameaças pode oferecer suporte a equipes de segurança com informações significativas durante o gerenciamento de incidentes e fornecer dados para o desenvolvimento da estratégia.

No entanto, a crescente demanda por um serviço externo de inteligência contra ameaças gerou um aumento no número de fornecedores com conjuntos de serviços extremamente diversificados. O mercado é amplo e competitivo com uma série de opções complexas, por isso pode ser muito confuso e frustrante escolher a solução certa.

Uma solução de inteligência de ameaças que não combina com o seu negócio pode agravar o problema. Em muitas empresas, analistas de segurança gastam mais da metade do tempo descartando falsos positivos, em vez de se envolver em detecção e prevenção de resposta a ameaças, o que aumenta significativamente o tempo de detecção. A inserção de dados irrelevantes ou imprecisos aumenta os números relativos a falsos alertas, o que resulta no impacto grave e negativo sobre a capacidade de resposta e de segurança global da sua empresa.

Qual a melhor opção?

Então, como você pode avaliar as numerosas fontes de inteligência contra ameaças? Como saber qual é a solução certa para sua organização e como implementá-la com eficiência? Como lidar com as ações de venda em que cada fornecedor afirma que seus serviços de inteligência são os melhores?

Antes de tudo, você deve se perguntar uma coisa. Muitas organizações, atraídas por mensagens encantadoras e grandes promessas, acreditam que um fornecedor possui uma espécie de superpoder, como visão de raio-X, omitindo o fato de que a inteligência mais valiosa se encontra dentro dos limites de sua própria rede corporativa.

Dados a partir dos sistemas de detecção e prevenção de intrusão, firewalls, logs de aplicativos e registros de outros sistemas de controles de segurança revelam muito sobre o que acontece em redes empresariais. Por exemplo, eles podem identificar padrões de atividade maliciosa específica contra a organização, a diferença entre o comportamento dos usuários comuns e redes ajuda a dar seguimento às atividades, possibilitando o acesso às informações e identificando vulnerabilidades de informações potenciais que devem ser mitigadas, por exemplo. Tudo isso permite que as empresas implementem inteligência de ameaças, relacionando-a com o que foi observado internamente. Caso contrário, o uso de fontes externas pode dificultar o processo. Na verdade, alguns fornecedores podem ter uma visão mais ampla de ameaças virtuais por causa de sua presença global e sua capacidade de coletar, processar e correlacionar dados de várias partes do mundo. Mas isso só é útil quando o contexto interno é analisado.

Pense como um cibercriminoso

Para projetar um programa eficaz de inteligência de ameaças, as empresas (incluindo aquelas com centros de operações de segurança estabelecidos) devem pensar como e, portanto, identificar e proteger os pontos de ataque mais comuns. Para mensurar o valor real de um programa de inteligência contra ameaças, é necessário entender quais são os ativos cruciais, os conjuntos de dados e os processos da empresa necessários para atingir os objetivos organizacionais. A identificação dessas “joias da coroa” permite que as empresas estabeleçam pontos de coleta de dados internamente para potencializar ainda mais as informações coletadas com a ajuda de insumos externos sobre ameaças. Em vista dos recursos limitados comumente disponíveis para os departamentos de segurança, descrever uma organização como um todo é um esforço formidável. A solução é adotar uma estratégia baseada em riscos, focando primeiramente nos objetivos mais suscetíveis.

Depois que as fontes de inteligência de ameaças são definidas e implementadas, a empresa pode começar a pensar em adicionar informações externas aos fluxos de trabalho existentes.

Questão de confiança

As fontes de inteligência de ameaças variam de acordo com seus níveis de confiança:

As fontes de código aberto são gratuitas, mas geralmente não integram o contexto corporativo e geram um número considerável de falsos positivos.

Para começar, é possível acessar comunidades que compartilham inteligência específica sobre um setor; por exemplo, o Centro de Análise e Troca de Informações sobre Serviços Financeiros (da sigla em inglês, FS-ISAC). Esses grupos fornecem informações extremamente valiosas, embora tenham acesso restrito, exigindo uma afiliação específica.

As fontes de inteligência de ameaças comerciais são mais confiáveis, embora as taxas de acesso possam ser altas.

Ao escolher fontes de inteligência contra ameaças, a qualidade deve prevalecer sobre a quantidade. Algumas organizações pensam que quanto mais fontes de inteligência de ameaças estiverem integradas, maior a visibilidade. Isso pode ser verdade em alguns casos; por exemplo, fontes confiáveis, incluindo as opções comerciais, que fornecem inteligência sobre ameaças adaptadas ao perfil de ameaça específico da organização; caso contrário, há um risco considerável de sobrecarregar suas operações de segurança com informações irrelevantes.

As informações fornecidas pelos serviços de inteligência de ameaças podem ser dissonantes. Como suas fontes de inteligência e seus métodos de coleta variam, o conhecimento fornecido é único em certos aspectos. Por exemplo, um fornecedor com grande presença em uma região específica terá mais informações sobre as ameaças que surgem na mesma, enquanto outro pode disponibilizar mais detalhes sobre o tipo de ameaça. Ter acesso a mais de uma fonte tende a ser benéfico e, se usá-las em conjunto, possibilita uma perspectiva mais ampla e orienta a detecção de ameaças e resposta efetiva aos incidentes. No entanto, lembre-se de que, independentemente do nível de confiança, todas essas fontes exigem uma avaliação prévia cuidadosa para garantir que o serviço contratado seja adequado às necessidades específicas e aplicações utilizadas por sua organização, como as operações de segurança, a resposta a incidentes, a gestão de riscos e vulnerabilidades, a formação de redes (simulacros de ataque) e outros.

O que você deve ter em mente ao avaliar os diferentes serviços de inteligência contra ameaças

Não existem critérios unânimes para avaliar as várias opções comerciais de serviços de inteligência contra ameaças. No entanto, há algumas dicas podem facilitar seu processo de decisão:

Procure uma inteligência de alcance global. Os ataques não têm fronteiras: uma campanha contra uma empresa latino-americana pode ter origem na Europa e vice-versa. O fornecedor deve coletar informações de todo o mundo e compilar atividades aparentemente não relacionadas em campanhas unificadas, certo? Esse tipo de visão generalista possibilita ações adequadas e garante a proteção do seu negócio.

Se você estiver procurando por um conteúdo mais estratégico para planejar sua atuação de segurança a longo prazo, sugerimos focar em:

    • Um panorama de alto nível das tendências de ataque.
    • Técnicas e métodos utilizados pelos golpistas.
    • Motivações.
    • Atribuições, etc.

Em seguida, procure um fornecedor de inteligência contra ameaças com um histórico comprovado de investigação e detecção de ameaças complexas em sua região ou setor. Da mesma forma, é essencial que a empresa contratada adapte as funcionalidades de pesquisa às características de sua empresa.

Os indicadores de ameaças não têm valor se não tiverem dentro de um panorama maior. Portanto, você deve contratar empresas que o ajudem a responder a seguinte pergunta: “por que isso é importante?”. O contexto das relações (por exemplo, os domínios associados aos endereços IP detectados ou as URLs das quais o arquivo específico foi baixado) fornece valor adicional, orienta a investigação de incidentes e oferece suporte para uma análise mais assertiva do incidente por meio da descoberta dos indicadores de comprometimento relacionados e recentemente adquiridos na rede.

Presumimos que sua empresa já implementou alguns controles de segurança, com os processos associados definidos, e que você considera importante relacionar a inteligência de ameaças com as ferramentas que você já conhece e usa. Portanto, procure métodos de entrega, mecanismos de integração e formatos que suportem a integração uniforme da inteligência de ameaças em suas operações de segurança existentes.

Na Kaspersky Lab, estamos há mais de duas décadas centrados na análise e no monitoramento de ameaças. Com petabytes de dados valiosos sobre ameaças para explorar, tecnologias de aprendizado de máquina e uma equipe global única de especialistas, trabalhamos para fornecer a inteligência de ameaças mais atual no mundo que o ajuda a se manter imune inclusive diante de ciberataques inéditos.

Comentar