Diariamente novas ameaças virtuais são criadas e o número de vítimas cresce de forma vertiginosa. Para lidar com esse problema, as empresas têm investido constantemente em equipes e tecnologias de ponta. Mas, então, por que não tem dado certo? Porque proteger uma empresa contra ameaças cibernéticas requer vigilância constante sobre sua infraestrutura de segurança e ativos críticos de informação.
A resposta é simples mas sua aplicação, no entanto, não. A base para a proteção de uma rede corporativa é a regular coleta e análise, em tempo real, dos milhares de logs de segurança gerados pelos ativos da rede (sim, milhares!) e correta detecção. Pronto! Pode tirar a venda e prepare-se para o que vai encontrar: incidentes de segurança.
Aqui começa uma outra grande batalha, já que quando uma empresa sofre um ciberataque, o tempo de resposta é determinante para diminuir suas consequências e proteger as informações críticas. A demora ou ineficiência no tratamento de um incidente só aumentará os danos e perdas de uma violação.
Estamos falando dos serviços de Monitoração de Segurança e de Resposta a Incidentes, que têm se mostrado importantes aliados das equipes de segurança das organizações. Isso porque tais equipes possuem à disposição diversas fontes de inteligência para identificar ameaças cibernéticas mas acabam soterradas pela quantidade de informações e pela complexidade que é transformar tal conhecimento em algo acionável. Ou seja, Threat Intelligence, que é, de forma simplista, informação específica e confiável sobre ameaças que pode embasar decisões sobre a resposta a uma ameaça ou risco.
Vemos muitas vezes o termo sendo empregado em contextos inadequados e, por isso, é importante entender que Threat Intelligence NÃO É informação óbvia ou trivial, informação simples sobre vulnerabilidades nem tampouco mera análise de tráfego de redes.
Quando se trata de segurança da informação, precisamos estar com os olhos bem abertos.