Skip links
Vagas

Estamos contratando - Faça parte da nossa equipe 👋

Saiba mais
Instagram Linkedin Spotify Soundcloud Youtube Itunes-note Deezer
Ouça o RedCast
Fale conosco
Redbelt Security
o que é e o que não é threat intelligence

O que é – e o que não é – Threat Intelligence em cibersegurança

Author
Published on:
Published in: Blog

Em cibersegurança, Threat Intelligence, ou Inteligência de Ameaças Cibernéticas, é o processo de identificar e interpretar ameaças contra organizações, sistemas e redes por meio da coleta, da análise e da disseminação de informações.

Entretanto, a maioria das ferramentas que dizem produzir “inteligência acionável sobre ameaças” está, na verdade, produzindo informações a respeito de ameaças. O que é diferente de entregar inteligência.

E por que é importante distinguir uma coisa da outra? Porque, quando há o entendimento do que é Threat Intelligence, e a empresa está pronta para usá-la e incorporá-la nas operações, ela se torna uma ferramenta poderosa de proteção, capaz de aumentar o nível de maturidade de segurança da companhia.

Neste artigo, vamos definir o que de fato é inteligência de ameaças, quais ferramentas fazem parte desse processo e o que deve ocorrer em cada uma das cinco etapas que compõem a geração de inteligência.

O que não é Threat Intelligence

Threat Intelligence não é toda e qualquer informação gerada por análise. Também não é apenas detecção destrinchada em um relatório de dezenas de páginas. Isto porque dados podem representar tanto uma solução quanto um problema para as organizações que investem em defesa cibernética.

Pilhas de dados acabam confundindo as empresas que não sabem usá-los para extrair inteligência. Assim como soluções de segurança contratadas para fazer o papel de inteligência, que, por si só, não foram criadas para essa finalidade.

Além disso, algumas atividades podem ser importantes para a segurança da empresa,mas nem sempre são consideradas atividades de inteligência.

Abaixo, alguns exemplos do que não é, isoladamente, inteligência de ameaças cibernéticas:

  1. ‍Monitoramento de marca e redes sociais
    O monitoramento de reputação da marca e das redes sociais é mais comumente associado à resposta a incidentes, em que a organização monitora a atividade online em busca de possíveis riscos, mas não necessariamente com o objetivo de coletar informações sobre ameaças;

  2. Detecção de credenciais e cartões
    Já a detecção de credenciais ou cartões de crédito comprometidos é uma atividade de prevenção, para proteger os dados da empresa e de seus clientes. Embora importante, essa atividade não é considerada inteligência de ameaças cibernéticas, uma vez que não envolve a coleta nem análise de informações sobre ameaças.

  3. Identificação de IOCs
    A identificação de Indicadores de Comprometimento (IOCs), ou assinaturas para bloqueio e detecção automática, é uma atividade de detecção de ameaças considerada parte do processo de Threat Intelligence.

    Os IOCs são pistas técnicas que mostram a presença de uma ameaça ou atividade maliciosa em uma rede ou sistema. Já as assinaturas são padrões pré-definidos que ajudam a identificar atividades maliciosas. Algo fundamental para a detecção e prevenção, e que faz parte do processo de coleta e análise de informações sobre ameaças.

O que é Threat Intelligence

Threat Intelligence, como dissemos, é o processo de coletar, analisar e transformar informações sobre ameaças cibernéticas em insights acionáveis para proteger uma organização.

Esse conhecimento e entendimento das ameaças externas reflete em uma defesa mais estratégica, e permite basear mecanismos de proteção e para mitigar riscos potenciais, causados por ataques futuros.

Isso tem grande valor em uma estratégia de segurança. Mas é preciso que a inteligência esteja sendo feita em todas as fases do seu ciclo de vida. Como resultado, permite que a empresa sane dúvidas sobre uma determinada ameaça eminente, do porquê, como, onde e quem está por trás do ataque.

Ou seja: se ela não está prevendo e prevenindo ataques, e, portanto, ajudando a contê-los; se não está reduzindo o tempo de resposta a incidentes, nem gerando insights para direcionamento de investimentos em proteção; se não está elevando a maturidade da segurança corporativa, há uma grande chance de não ser inteligência de ameaças.

E um adendo importante: nenhuma ferramenta pode produzir inteligência acionável. São os profissionais que trazem insights valiosos sobre adversários, táticas, técnicas, procedimentos e probabilidades de ataques futuros.


As 5 fases do ciclo de vida da inteligência de ameaças

  1. Planejamento: nesta fase inicial, o objetivo da coleta de informações é definido e um escopo é estabelecido. É importante determinar quais aspectos das ameaças cibernéticas serão abordados, quais são as áreas prioritárias e quais são os objetivos específicos a serem alcançados. O escopo ajuda a direcionar os esforços de coleta e análise de maneira eficiente e eficaz.
  1. Coleta: as informações relevantes são adquiridas a partir de diversas fontes, como fontes abertas, feeds de inteligência, análise de incidentes, pesquisas em fontes técnicas e humanas, entre outras. As fontes podem incluir dados internos da organização, feeds de inteligência externos, dados de tráfego de rede, fóruns online, mídias sociais, relatórios de ameaças e muito mais. É essencial avaliar a qualidade e a confiabilidade das fontes de informação durante o processo de coleta.

  2. Processamento: na etapa de processamento, as informações coletadas são analisadas e organizadas de forma a torná-las úteis para a tomada de decisões. Isso envolve a agregação, triagem e normalização dos dados, além da identificação de padrões, tendências e correlações relevantes. O processamento pode envolver o uso de ferramentas de análise automatizadas, algoritmos de detecção de anomalias e técnicas de análise de dados.

  3. Produção e análise: nesta fase, os analistas de inteligência cibernética realizam uma análise aprofundada das informações processadas. Eles examinam os dados coletados à luz do escopo definido e dos objetivos estabelecidos. Os analistas identificam ameaças emergentes, avaliam a natureza das ameaças existentes, investigam suas origens e motivações, e estimam o potencial impacto nos sistemas e na organização. Essa análise resulta na produção de produtos de inteligência, como relatórios, alertas, boletins informativos e recomendações de ação.

  4. Disseminação/Feed: na última etapa do ciclo de inteligência cibernética, os resultados da análise são disseminados para as partes interessadas dentro da organização. Isso pode incluir a equipe de segurança, a alta administração, os tomadores de decisão e outras equipes relevantes. A divulgação da inteligência ocorre por meio de relatórios, apresentações, reuniões ou outros meios de comunicação adequados. O objetivo é garantir que a inteligência seja compartilhada de maneira clara e acionável, fornecendo insights valiosos para fortalecer a postura de segurança e tomar medidas proativas contra as ameaças cibernéticas identificadas.


RedCast: O poder da inteligência na defesa cibernética

Threat Intelligence foi o tema do episódio 82 do nosso RedCast. No bate-papo, nossos convidados dão dicas sobre como incorporar a Inteligência de Ameaças na estratégia de segurança cibernética e como ter certeza de que essas informações estão sendo bem aproveitadas.

Conte com o apoio da Redbelt Security

A Redbelt Security pode ajudar a sua empresa com inteligência de ameaças efetiva. Nosso serviço de Threat Intelligence identifica, classifica e monitora fontes externas, operações de grupos hackers e vulnerabilidades, em todas as camadas da internet: Surface, Deep e Dark Web.

Visualize o risco cibernético, adapte proativamente as barreiras de proteção da sua empresa e antecipe investidas de cibercriminosos. Fale com nossos especialistas.

Leia também

This website uses cookies to improve your web experience.