Inteligência de ameaças cibernéticas (doinglês:Cyber Threat Intelligence,CTI) usualmente resumido comoInteligência Cibernética, ou ainda,Inteligência de Ameaças, é o ramo responsavel pela coleta, análise e exploração de informações para entender os motivos, alvos e comportamentos de umataque cibernético, permitindo tomar decisões de segurança mais rápidas, mais informadas e baseadas em dados na luta contraagentes de ameaças.[1] As fontes de inteligência de ameaças cibernéticas inclueminteligência de código aberto, inteligência de mídia social,inteligência humana eespionagem para coleta de dados derivados dadark web.
Nos últimos anos, a inteligência de ameaças tornou-se uma parte crucial da estratégia desegurança cibernética, pois permite que empresas e organizações, sejam mais proativas em sua abordagem e determinem quais ameaças representam os maiores riscos para um negócio. Isso coloca as empresas em uma frente mais proativa - tentando ativamente encontrar suas vulnerabilidades e evitarhackeamentos antes que eles aconteçam.[2] Este método está ganhando importância nos últimos anos, uma vez que, comoa IBM estima, o método mais comum que as empresas são hackeadas é através da exploração de ameaças (47% de todos os ataques)[3]
As vulnerabilidades de ameaças aumentaram nos últimos anos também devido àpandemia do COVID-19 e mais pessoastrabalhando em casa – o que torna os dados das empresas mais vulneráveis. Devido às crescentes ameaças, por um lado, e à crescente sofisticação necessária para inteligência de ameaças, muitas empresas optaram nos últimos anos por terceirizar suas atividades de inteligência de ameaças para umprovedor de segurança gerenciado (MSSP) .[4]
Existem três classes abrangentes, mas não categóricas, de inteligência de ameaças cibernéticas:[1]
- Tática: inteligência técnica (incluindo indicadores de comprometimento, como endereços IP, nomes de arquivos ou hashes) que pode ser usada para auxiliar na identificação de agentes de ameaças
- Operacional: detalhes da motivação ou capacidades dos agentes de ameaças, incluindo suas ferramentas, técnicas e procedimentos
- Estratégico: inteligência sobre os riscos abrangentes associados às ameaças cibernéticas que podem ser usadas para conduzir a estratégia organizacional de alto nível
A inteligência de ameaças cibernéticas oferece vários benefícios, que incluem:
- Dá às organizações, agências ou outras entidades, a capacidade de desenvolver uma postura proativa e robusta de cibersegurança e de reforçar a gestão geral de riscos e as políticas e respostas de cibersegurança.[5]
- Impulsiona o impulso em direção a uma postura proativa de segurança cibernética que é preditiva, não simplesmente reativa após um ataque cibernético
- Permite detecção aprimorada de riscos e ameaças
- Informa melhor a tomada de decisão antes, durante e após a detecção de uma invasão cibernética ou interferência pretendida de serviços de TI/TO.
- Permite o compartilhamento de conhecimentos, habilidades e experiências entre a comunidade de práticas de segurança cibernética e as partes interessadas em sistemas.
- Comunica superfícies de ameaças, vetores de ataque e atividades maliciosas direcionadas às plataformas detecnologia da informação e de tecnologia operacional.
- Servir como repositório baseado em fatos para evidências de ataques cibernéticos bem-sucedidos e malsucedidos.
- Forneça indicadores para equipes de resposta a emergências de computador e grupos de resposta a incidentes.
Dados ou informações sobre ameaças cibernéticas com os seguintes elementos-chave são considerados inteligência sobre ameaças cibernéticas:[6]
- Baseado em evidências: as evidências de ameaças cibernéticas podem ser obtidas a partir da análise demalware para garantir que a ameaça seja válida
- Utilidade: é preciso haver alguma utilidade para ter um impacto positivo no resultado ou na organização de um incidente de segurança
- Acionável: a inteligência de ameaças cibernéticas obtida deve conduzir à ação de controle de segurança, não apenas dados ou informações
As ameaças cibernéticas envolvem o uso de computadores, dispositivos de armazenamento, redes de software e repositórios baseados em nuvem. Antes, durante ou depois de umataque cibernético, informações técnicas sobre as informações e tecnologia operacional, dispositivos, rede e computadores entre o(s) invasor(es) e a(s) vítima(s) podem ser coletadas, armazenadas e analisadas. No entanto, identificar a(s) pessoa(s) por trás de um ataque, suas motivações ou o patrocinador final do ataque, - denominado atribuição, às vezes é difícil. Recente os esforços em inteligência de ameaças enfatizam a compreensão dos TTPs (taticas, técnicas e procedimentos) de adversários .[7]
Uma série de recentes relatórios analíticos de inteligência de ameaças cibernéticas foram divulgados por organizações dos setores público e privado que atribuem ataques cibernéticos. Isso inclui os relatórios APT1 e APT28 da Mandiant,[8] o relatório APT29 do US CERT, e os relatórios Dragonfly, Waterbug Group e Seedworm da Symantec.[9][10][11]
Em 2015, a legislação do governo dos EUA na forma da "Lei de Compartilhamento de Informações de Cibersegurança" incentivou o compartilhamento de indicadores CTI entre o governo e organizações privadas. Essa lei exigia que o governo federal dos EUA facilitasse e promovesse 4 objetivos do CTI:[12]
- Compartilhamento de "indicadores de ameaças cibernéticas classificados e desclassificados em posse do governo federal com entidades privadas, agências governamentais não federais ou governos estaduais, tribais ou locais";
- Compartilhamento de “indicadores não classificados com o público”;
- Partilha de “informação com entidades sob ameaças de cibersegurança para prevenir ou mitigar efeitos adversos”;
- Compartilhamento de "melhores práticas de cibersegurança com atenção aos desafios enfrentados pelas pequenas empresas.
Em 2016, a agência do governo dos EUA Instituto Nacional de Padrões e Tecnologia (NIST) emitiu uma publicação (NIST SP 800-150) que delineou ainda mais a necessidade de compartilhamento de informações sobre ameaças cibernéticas, bem como uma estrutura para implementação.[13]
- ↑ab«Understanding Cyber Threat Intelligence Operations»(PDF).Bank of England. 2016.Cópia arquivada(PDF) em 29 de fevereiro de 2020
- ↑«Managed Threat Intelligence».CyberProof (em inglês). Consultado em 29 de maio de 2022
- ↑IBM (23 de fevereiro de 2022).«IBM Security X-Force Threat Intelligence Index».www.ibm.com (em inglês). Consultado em 29 de maio de 2022
- ↑«MSSP - What is a Managed Security Service Provider?».Check Point Software (em inglês). Consultado em 29 de maio de 2022
- ↑Berndt, Anzel; Ophoff, Jacques (2020). Drevin, Lynette; Von Solms, Suné; Theocharidou, Marianthi, eds.«Exploring the Value of a Cyber Threat Intelligence Function in an Organization». Cham: Springer International Publishing.Information Security Education. Information Security in Action. IFIP Advances in Information and Communication Technology (em inglês).579: 96–109.ISBN 978-3-030-59291-2.doi:10.1007/978-3-030-59291-2_7
- ↑GerardJohansen (24 de julho de 2017).Digital Forensics and Incident Response (em inglês). [S.l.]: Packt Publishing Ltd, 2017.ISBN 9781787285392
- ↑Levi Gundert, How to Identify Threat Actor TTPs
- ↑«APT1: Exposing One of China's Cyber Espionage Units | Mandiant»(PDF)
- ↑«Dragonfly: Western energy sector targeted by sophisticated attack group»
- ↑«Waterbug: Espionage Group Rolls Out Brand-New Toolset in Attacks Against Governments»
- ↑«Seedworm: Group Compromises Government Agencies, Oil & Gas, NGOs, Telecoms, and IT Firms»
- ↑Burr, Richard (28 de outubro de 2015).«S.754 - 114th Congress (2015-2016): To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes.».www.congress.gov. Consultado em 9 de junho de 2021
- ↑Johnson, Christopher S.; Badger, Mark Lee; Waltermire, David A.; Snyder, Julie; Skorupka, Clem (outubro de 2016). «Guide to Cyber Threat Information Sharing».doi:10.6028/nist.sp.800-150
