Utilização de Threat Intelligence nas empresas
Um cenário de ataque por ameaças avançadas pode levar-nos a fazer perguntas como: "quem nos tem como alvo?", "que métodos estão usando?", "que informações estão buscando?". Ter claro o que se quer saber sobre atores de ataques e seus métodos e como prevenir ou detectar ataques pode ajudar imensamente quando planejamos políticas e ações de defesa.
A utilização de Threat Intelligence pode reduzir significativamente a quantidade de incidentes de segurança, bem como aumentar dramaticamente a velocidade de resposta aos incidentes detectados. Isto acontece graças à redução de falso-positivos pela validação baseada em vários critérios, o que ajuda a oferecer visão, contexto e credibilidade no que diz respeito à informação que está sendo observada, como, por exemplo, se estamos tratando de um ataque isolado ou parte de um ataque direcionado amplamente a uma vertical de mercado.
Para muitas organizações que utilizam Threat Intelligence, um desafio fundamental é como consumir e como agir sobre essa inteligência. Ela pode ser usada de forma estratégica, para lastrear decisões sobre a preparação para uma ameaça, como forma de evitar ou reduzir o seu impacto potencial. Também pode ser usada de forma tática, para responder a um incidente decorrente da ameaça, nas tarefas de identificação, avaliação, suporte forense e remediação.
Threat Intelligence Estratégica ® tipicamente consumida pelo C-level de uma organização. Sua finalidade é ajudar a compreender riscos correntes e a identificar outros riscos potenciais. Trata de conceitos de alto nível de risco e probabilidades, ao invés de aspectos técnicos, para orientar as decisões estratégicas de negócios. Normalmente é apresentada como relatórios ou briefings.
Threat Intelligence Tática ® informação sobre como atores de ameaças (threat actors) estão realizando ataques; que ferramentas, técnicas e processos (tools, techniques and processes – TTPs) estão sendo utilizados. É consumida por defensores e times de resposta a incidentes, para garantir que seus mecanismos de defesa, alertas e investigação estão preparados para as táticas de ataque atuais. Este tipo de inteligência muitas vezes tem uma vida curta, já que os atores podem facilmente alterar os endereços IP de origem ou modificar hashes de arquivos. Daí a necessidade de consumir tal inteligência de forma automatizada e de atualizá-la com enorme frequência.