Quando falamos em Threat Intelligence, o termo “inteligência” refere-se ao conhecimento transmitido ou adquirido através de estudo, pesquisa ou experiência, fruto da associação de informações, normalmente disponíveis em diversas fontes e diferentes formatos. Podemos entender, portanto, que se trata do resultado de um processo, não de um mero conjunto de informações.
Fig.: Processo de geração de inteligência
Nas organizações, as equipes de cibersegurança têm à disposição múltiplas fontes de inteligência para identificar ameaças cibernéticas. Porém, os analistas de segurança acabam soterrados pela quantidade de informações e pela complexidade de operacionalizar e transformar a inteligência em algo acionável. É preciso muito esforço para separar o “joio do trigo”, verificando e cruzando as fontes de inteligência, para transformar compreensão em ação.
O Gartner classifica o conteúdo de Threat Intelligence em 2 tipos, não sendo raro, entretanto, encontrar inteligência que misture os dois: conteúdo proveniente de aquisição e análise (acquisition and analysis content) e conteúdo em tempo real para monitoramento e notificação (real-time monitoring and notification content).
Normalmente é entregue na forma de Machine-Readable Threat Intelligence (MRTI), que nada mais é do que Threat Intelligence em um formato compreendido por máquinas. Dessa forma, é o conhecimento consolidado a partir de grandes quantidades de informações, provendo contexto para suportar ações táticas e, por vezes, estratégicas, para equipes de cibersegurança.
Tratar tamanho volume de dados, com uma variedade virtualmente ilimitada de fontes de inteligência sobre ameaças, gerada tanto externa quanto internamente, tanto em formato estruturado quanto desestruturado, requer a utilização de uma plataforma específica para isto. As Threat Intelligence Platforms (TIP), dotadas de capacidade de lidar com big-data e analytics, devem ser capazes de enriquecer e correlacionar essa inteligência sobre ameaças e possibilitar a geração da MRTI para alimentação de tecnologias como SIEM, sistemas de prevenção de intrusão (IPS), firewalls de próxima geração (NGFW) e gateways de web.
O que NÃO é
Vemos muitas vezes o termo Threat Intelligence sendo empregado em contextos inadequados, talvez numa tentativa de valorizar algum tipo de informação que se pretenda divulgar. Entretanto, Threat Intelligence não é: