Blog

Denúncia de Ameaças Cibernéticas

Written by André Duarte | 5/set/2017 19:10:00

Quando uma ameaça cibernética surge, que tipo de informações são importantes termos a respeito? Como gostaríamos que nos comunicassem? Respondendo à estas perguntas seria possível chegar a um padrão para denúncias de ameaças. Este padrão não só existe, como está sendo preparado para ser comunicado diretamente entre sistemas computacionais. Trata-se do Structured Threat Information Expression (STIX).

Com o STIX é possível denunciar ameaças e ajudar os interessados a se protegerem  informando sobre ataques persistentes (campanhas) e indicações de ameaças. Por exemplo, pode-se avisar sobre um hacker ou grupo de hackers com motivação ideológica que usa dispositivos IoT para atacar empresas do setor energético, identificando origens e/ou destinos. Dessa forma, quando detectadas as ameaças, podemos anunciá-las e/ou recebê-las entre sistemas de forma estruturada para tomada de ações. Mas como isso se traduz computacionalmente? Explicarei um pouco como esta comunicação foi padronizada.

 

Serialização

O formato de transmissão digital (serialização) é JSON por padrão, ou seja, é obrigatória sua implementação. Além deste formato pode-se dar opção de XML.

 

Objetos

Os objetos de domínio do STIX (STIX Domain Objects, ou ainda SDO) são:

  • Attack Pattern
  • Campaign
  • Course of Action
  • Identity
  • Indicator
  • Intrusion Set
  • Malware
  • Observed Data
  • Report
  • Threat Actor
  • Tool
  • Vulnerability

Existem também os objetos de relacionamento (SRO) que mostram como um SDO está ligado a outro. Por exemplo, um objeto do tipo Indicator pode definir um relacionamento dele mesmo com o tipo Malware, ou seja, seria um indicador de origem/destino de algum código malicioso.

 

Observables

Representações de objetos observáveis e suas propriedades para serem usados em um SDO. Um endereço IP é um exemplo de objeto observável.

 

Vocabulário

É um catálogo fixo e definido de termos (strings) para usar como valores possíveis em propriedades de objetos no STIX. Por exemplo, para descrever motivações de um ator para ataque cibernético (Atack Motivation) à uma empresa podemos usar os termos accidental, coercion ou ideology (acidente, coerção ou ideologia), dentre outros.

O vocabulário padrão evita que um anunciante escreva o valor "Energy" e outro "Energy Sector" para referenciar a mesma coisa. Embora deva-se seguir o vocabulário definido sempre que possível, o padrão permite que se criem novos termos em casos especiais.

 

Conclusão

No mundo cibernético, a comunicação é uma ótima aliada para minimizar os riscos de uma ameaça cibernética se propagar. Vemos isso se concretizar a cada dia com Threat Intelligence e a adoção da linguagem STIX. Quanto mais esta se proliferar, mais segura a internet será.