Como usar o threat intelligence a seu favor

O modo de atuação da segurança da informação nos últimos anos tem sido baseado na prevenção, no uso de tecnologias sobre as quais não temos pleno conhecimento de seu funcionamento, na aplicação das melhores práticas, na adequação a frameworks e também focando no perímetro (defense in depth) de defesa das organizações. Todos nós certamente já atuamos com essas diretrizes, no entanto, esta linha está perdendo a efetividade:

• Cibercriminosos criam ataques específicos para suas vítimas

• O uso de tecnologias como criptografia ponto a ponto e SSL fazem proteções tradicionais
  terem dificuldades na detecção

• Pessoas são mais alvos fáceis de se hackear do que sistemas

• Os ataques em si estão mais sofisticados

O foco dos defensores está atualmente na detecção e na resposta, e Inteligência é uma parte fundamental nesta mudança, virando a base para outras vertentes de segurança.

Threat intelligence pode se referir tanto ao processo de desenvolvimento de inteligência quanto produtos que oferecem inteligência. Uma boa definição para o termo: “conhecimentos baseados em evidência que incluem contexto, mecanismos, indicadores, implicações ou informações confiáveis sobre uma ameaça ou perigos existentes ou emergentes, de forma que possam ser usados para tomada de decisão e reposta a estas ameaças e perigos. ”

Em termos práticas, é a coleta, análise e aproveitamento de informações e dados sobre ameaças em uma organização que auxiliam na tomada de decisão a níveis táticos ou estratégicos.

Threat intelligence não é:

• Somente uma coleta de feeds com IP’s maliciosos, domínios ou hashes de arquivos maliciosos
• Somente informações sobre uma vulnerabilidade
• Uma plataforma para gerenciar indicadores técnicos de inteligência
• Somente a utilização e aproveitamento de informações de assinaturas de antivírus ou IDS

A seguir, serão listados os tipos de inteligência, suas fontes e produtos (conteúdos gerados) que podem ser aproveitados por uma organização.

De forma geral, como podemos utilizar o threat intelligence?

Prevenção e detecção

• Contra fraudes
• SOC: Detecção de intrusos via alertas
• SOC: Detecção de intrusos via enriquecimento de dados

• Sobre incidentes em andamentos, novas descobertas
• Troca de informações
• Análise de indicadores e enriquecimento de informações

Gerenciamento de Risco e Tomada de Decisões Estratégicas

• Para o negócio
• Priorização de recursos

Tipos ou níveis de Threat Intelligence

Estratégico: Conteúdo voltado para executivos, C-level, analistas de ameaças e equipes de gerenciamento de riscos. É certamente o mais difícil de se desenvolver e é feito em grande parte por pesquisa open source. Procura definir os adversários em termos de seus objetivos, táticas, técnicas e procedimentos (TTP), além de suas ferramentas de uso. O tipo de informação tratada aqui é de mais alto nível focando em comportamento.

Tático ou Operacional: Nível técnico, relacionando indicadores (como IP’s, hashes e outros) com o modo de operação de ataques e malwares. Seu foco é estabelecer relações a partir de informações que possam ser consumidas por uma máquina. Em termos práticos, o Tático é algo que muda com mais frequência do que o Estratégico, uma vez que se altera uma infraestrutura de ataque, domínio ou servidor, mas não seu modo de operação (TTP).

Fontes de inteligência

Produtos que geram inteligência

• Feeds públicos: Com IP’s, hashes, etc. É ideal que estas informações tenham contexto, como por exemplo, informações que vinculem o ataque os quais foram reconhecidos
• Assinaturas de AV, IDS e IPS
• Alertas, reportes públicos gerados sobre uma campanha ou ataque. Geralmente são úteis para se entender técnicas, além de se ter uma visão do ramo das empresas que foram afetadas e, consequentemente, possíveis interesses em nossas organizações
• Análise de ameaças
• Profile dos atores responsáveis pelas ameaças
• Honeypots e tratamento de dados de forma estatística

Ciclo básico para Threat Intelligence

É ideal que os requerimentos de um ciclo sejam bem definidos pelos responsáveis por tomada de decisão na organização. Alguns exemplos comuns são a melhoria na prevenção de incidentes, detecção e descobertas dos atores e cibercriminosos, melhoria de medidas de segurança e melhoria na triagem e resposta a incidentes.

A partir disso é feito o planejamento dos ativos, tipos de informações, tecnologias, fontes de dados e métodos em que estas serão trabalhadas para atingir os objetivos. Para empresas com maior maturidade em segurança, a fonte de tais informações pode vir a partir de um corpo técnico especializado como analistas de malware, rede ou forense.

O processamento e análise focam na transformação dos dados coletados em informação útil, tendo-se em mente alguns fatores:

A partir desta análise, as informações são processadas e enriquecidas com outras fontes para poderem ser consumidas pelos interessados.

Por fim, a informação é distribuída aos seus consumidores - máquinas ou pessoas. Como resultado, espera-se que as informações possam ajudar na tomada de decisões estratégicas, de acordo com os requisitos iniciais.

A informação também é classificada de acordo com as políticas da empresa. Um framework simples para uso é o TLP. Uma necessidade básica para esse processo é conhecer e entender o negócio da empresa, seus ativos, suas relações e possíveis impactos na organização mediante a presença de um risco. Conheça seu adversário. Não ter conhecimento sobre as ameaças as quais está sujeita, limita as capacidades de detecção e resposta.

Ter a percepção de que ferramentas são as ameaças elimina todo o fator humano por trás delas e do próprio malware, não contribuindo para o desenvolvimento de objetivos mais amplos, como: quem está interessado em minhas informações?