Como usar o threat intelligence a seu favor
O modo de atuação da segurança da informação nos últimos anos tem sido baseado na prevenção, no uso de tecnologias sobre as quais não temos pleno conhecimento de seu funcionamento, na aplicação das melhores práticas, na adequação a frameworks e também focando no perímetro (defense in depth) de defesa das organizações. Todos nós certamente já atuamos com essas diretrizes, no entanto, esta linha está perdendo a efetividade:
- Cibercriminosos criam ataques específicos para suas vítimas
- O uso de tecnologias como criptografia ponto a ponto e SSL fazem proteções tradicionais
terem dificuldades na detecção
- Pessoas são mais alvos fáceis de se hackear do que sistemas
- Os ataques em si estão mais sofisticados
O foco dos defensores está atualmente na detecção e na resposta, e Inteligência é uma parte fundamental nesta mudança, virando a base para outras vertentes de segurança.
Threat intelligence pode se referir tanto ao processo de desenvolvimento de inteligência quanto produtos que oferecem inteligência. Uma boa definição para o termo: “conhecimentos baseados em evidência que incluem contexto, mecanismos, indicadores, implicações ou informações confiáveis sobre uma ameaça ou perigos existentes ou emergentes, de forma que possam ser usados para tomada de decisão e reposta a estas ameaças e perigos. ”
Em termos práticas, é a coleta, análise e aproveitamento de informações e dados sobre ameaças em uma organização que auxiliam na tomada de decisão a níveis táticos ou estratégicos.
Threat intelligence não é:
- Somente uma coleta de feeds com IP’s maliciosos, domínios ou hashes de arquivos maliciosos
- Somente informações sobre uma vulnerabilidade
- Uma plataforma para gerenciar indicadores técnicos de inteligência
- Somente a utilização e aproveitamento de informações de assinaturas de antivírus ou IDS
A seguir, serão listados os tipos de inteligência, suas fontes e produtos (conteúdos gerados) que podem ser aproveitados por uma organização.
De forma geral, como podemos utilizar o threat intelligence?
Prevenção e detecção
- Contra fraudes
- SOC: Detecção de intrusos via alertas
- SOC: Detecção de intrusos via enriquecimento de dados
- Sobre incidentes em andamentos, novas descobertas
- Troca de informações
- Análise de indicadores e enriquecimento de informações
Gerenciamento de Risco e Tomada de Decisões Estratégicas
- Para o negócio
- Priorização de recursos
Tipos ou níveis de Threat Intelligence
Estratégico: Conteúdo voltado para executivos, C-level, analistas de ameaças e equipes de gerenciamento de riscos. É certamente o mais difícil de se desenvolver e é feito em grande parte por pesquisa open source. Procura definir os adversários em termos de seus objetivos, táticas, técnicas e procedimentos (TTP), além de suas ferramentas de uso. O tipo de informação tratada aqui é de mais alto nível focando em comportamento.
Tático ou Operacional: Nível técnico, relacionando indicadores (como IP’s, hashes e outros) com o modo de operação de ataques e malwares. Seu foco é estabelecer relações a partir de informações que possam ser consumidas por uma máquina. Em termos práticos, o Tático é algo que muda com mais frequência do que o Estratégico, uma vez que se altera uma infraestrutura de ataque, domínio ou servidor, mas não seu modo de operação (TTP).
Fontes de inteligência
HUMINT: Coleta de inteligência feita por contato interpessoalSIGINT: Coleta de inteligência por meio da interceptação de sinais
OSINT: Coleta de inteligência a partir de informações disponíveis publicamente ( open source)
Internal Intel: Geração de inteligência interna em uma organização. Pode-se basear em incidentes, adversários conhecidos e seus modos de operação, tentativas de ataques baseadas nos ativos, etc.
Edge Intel: Coleta de inteligência, análise e uso de informação sobre hosts fora da rede da organização
Closed Source Intel: Inteligência provida por fontes não públicas, desde grupos de trabalhos até fontes pagas.
Produtos que geram inteligência
- Feeds públicos: Com IP’s, hashes, etc. É ideal que estas informações tenham contexto, como por exemplo, informações que vinculem o ataque os quais foram reconhecidos
- Assinaturas de AV, IDS e IPS
- Alertas, reportes públicos gerados sobre uma campanha ou ataque. Geralmente são úteis para se entender técnicas, além de se ter uma visão do ramo das empresas que foram afetadas e, consequentemente, possíveis interesses em nossas organizações
- Análise de ameaças
- Profile dos atores responsáveis pelas ameaças
- Honeypots e tratamento de dados de forma estatística
Ciclo básico para Threat Intelligence
É ideal que os requerimentos de um ciclo sejam bem definidos pelos responsáveis por tomada de decisão na organização. Alguns exemplos comuns são a melhoria na prevenção de incidentes, detecção e descobertas dos atores e cibercriminosos, melhoria de medidas de segurança e melhoria na triagem e resposta a incidentes.
A partir disso é feito o planejamento dos ativos, tipos de informações, tecnologias, fontes de dados e métodos em que estas serão trabalhadas para atingir os objetivos. Para empresas com maior maturidade em segurança, a fonte de tais informações pode vir a partir de um corpo técnico especializado como analistas de malware, rede ou forense.
O processamento e análise focam na transformação dos dados coletados em informação útil, tendo-se em mente alguns fatores:
A fonte de informações é confiável? Ela pode ser validada de alguma forma?A informação coletada afeta a organização de alguma forma?
Há contexto na informação? Como ela é relacionada à organização e como podemos nos aproveitar desta?
A partir desta análise, as informações são processadas e enriquecidas com outras fontes para poderem ser consumidas pelos interessados.
Por fim, a informação é distribuída aos seus consumidores - máquinas ou pessoas. Como resultado, espera-se que as informações possam ajudar na tomada de decisões estratégicas, de acordo com os requisitos iniciais.
A informação também é classificada de acordo com as políticas da empresa. Um framework simples para uso é o TLP. Uma necessidade básica para esse processo é conhecer e entender o negócio da empresa, seus ativos, suas relações e possíveis impactos na organização mediante a presença de um risco. Conheça seu adversário. Não ter conhecimento sobre as ameaças as quais está sujeita, limita as capacidades de detecção e resposta.
Ter a percepção de que ferramentas são as ameaças elimina todo o fator humano por trás delas e do próprio malware, não contribuindo para o desenvolvimento de objetivos mais amplos, como: quem está interessado em minhas informações?