Inteligência de ameaças cibernéticas

Inteligência de ameaças cibernéticas (do inglês: Cyber Threat Intelligence, CTI) usualmente resumido como Inteligência Cibernética, ou ainda, Inteligência de Ameaças, é o ramo responsavel pela coleta, análise e exploração de informações para entender os motivos, alvos e comportamentos de um ataque cibernético, permitindo tomar decisões de segurança mais rápidas, mais informadas e baseadas em dados na luta contra agentes de ameaças.^[1] As fontes de inteligência de ameaças cibernéticas incluem inteligência de código aberto, inteligência de mídia social, inteligência humana e espionagem para coleta de dados derivados da dark web.

Nos últimos anos, a inteligência de ameaças tornou-se uma parte crucial da estratégia de segurança cibernética, pois permite que empresas e organizações, sejam mais proativas em sua abordagem e determinem quais ameaças representam os maiores riscos para um negócio. Isso coloca as empresas em uma frente mais proativa - tentando ativamente encontrar suas vulnerabilidades e evitar hackeamentos antes que eles aconteçam.^[2] Este método está ganhando importância nos últimos anos, uma vez que, como a IBM estima, o método mais comum que as empresas são hackeadas é através da exploração de ameaças (47% de todos os ataques) ^[3]

As vulnerabilidades de ameaças aumentaram nos últimos anos também devido à pandemia do COVID-19 e mais pessoas trabalhando em casa – o que torna os dados das empresas mais vulneráveis. Devido às crescentes ameaças, por um lado, e à crescente sofisticação necessária para inteligência de ameaças, muitas empresas optaram nos últimos anos por terceirizar suas atividades de inteligência de ameaças para um provedor de segurança gerenciado (MSSP) .^[4]

Tipos

Existem três classes abrangentes, mas não categóricas, de inteligência de ameaças cibernéticas: ^[1]

Tática: inteligência técnica (incluindo indicadores de comprometimento, como endereços IP, nomes de arquivos ou hashes) que pode ser usada para auxiliar na identificação de agentes de ameaças
Operacional: detalhes da motivação ou capacidades dos agentes de ameaças, incluindo suas ferramentas, técnicas e procedimentos
Estratégico: inteligência sobre os riscos abrangentes associados às ameaças cibernéticas que podem ser usadas para conduzir a estratégia organizacional de alto nível

Benefícios da inteligência de ameaças cibernéticas

A inteligência de ameaças cibernéticas oferece vários benefícios, que incluem:

Dá às organizações, agências ou outras entidades, a capacidade de desenvolver uma postura proativa e robusta de cibersegurança e de reforçar a gestão geral de riscos e as políticas e respostas de cibersegurança.^[5]
Impulsiona o impulso em direção a uma postura proativa de segurança cibernética que é preditiva, não simplesmente reativa após um ataque cibernético
Permite detecção aprimorada de riscos e ameaças
Informa melhor a tomada de decisão antes, durante e após a detecção de uma invasão cibernética ou interferência pretendida de serviços de TI/TO.
Permite o compartilhamento de conhecimentos, habilidades e experiências entre a comunidade de práticas de segurança cibernética e as partes interessadas em sistemas.
Comunica superfícies de ameaças, vetores de ataque e atividades maliciosas direcionadas às plataformas de tecnologia da informação e de tecnologia operacional.
Servir como repositório baseado em fatos para evidências de ataques cibernéticos bem-sucedidos e malsucedidos.
Forneça indicadores para equipes de resposta a emergências de computador e grupos de resposta a incidentes.

Elementos chave

Dados ou informações sobre ameaças cibernéticas com os seguintes elementos-chave são considerados inteligência sobre ameaças cibernéticas: ^[6]

Baseado em evidências: as evidências de ameaças cibernéticas podem ser obtidas a partir da análise de malware para garantir que a ameaça seja válida
Utilidade: é preciso haver alguma utilidade para ter um impacto positivo no resultado ou na organização de um incidente de segurança
Acionável: a inteligência de ameaças cibernéticas obtida deve conduzir à ação de controle de segurança, não apenas dados ou informações

Atribuição

As ameaças cibernéticas envolvem o uso de computadores, dispositivos de armazenamento, redes de software e repositórios baseados em nuvem. Antes, durante ou depois de um ataque cibernético, informações técnicas sobre as informações e tecnologia operacional, dispositivos, rede e computadores entre o(s) invasor(es) e a(s) vítima(s) podem ser coletadas, armazenadas e analisadas. No entanto, identificar a(s) pessoa(s) por trás de um ataque, suas motivações ou o patrocinador final do ataque, - denominado atribuição, às vezes é difícil. Recente os esforços em inteligência de ameaças enfatizam a compreensão dos TTPs (taticas, técnicas e procedimentos) de adversários .^[7]

Uma série de recentes relatórios analíticos de inteligência de ameaças cibernéticas foram divulgados por organizações dos setores público e privado que atribuem ataques cibernéticos. Isso inclui os relatórios APT1 e APT28 da Mandiant,^[8] o relatório APT29 do US CERT, e os relatórios Dragonfly, Waterbug Group e Seedworm da Symantec.^[9]^[10]^[11]

Compartilhamento de CTI

Em 2015, a legislação do governo dos EUA na forma da "Lei de Compartilhamento de Informações de Cibersegurança" incentivou o compartilhamento de indicadores CTI entre o governo e organizações privadas. Essa lei exigia que o governo federal dos EUA facilitasse e promovesse 4 objetivos do CTI: ^[12]

Compartilhamento de "indicadores de ameaças cibernéticas classificados e desclassificados em posse do governo federal com entidades privadas, agências governamentais não federais ou governos estaduais, tribais ou locais";
Compartilhamento de “indicadores não classificados com o público”;
Partilha de “informação com entidades sob ameaças de cibersegurança para prevenir ou mitigar efeitos adversos”;
Compartilhamento de "melhores práticas de cibersegurança com atenção aos desafios enfrentados pelas pequenas empresas.

Em 2016, a agência do governo dos EUA Instituto Nacional de Padrões e Tecnologia (NIST) emitiu uma publicação (NIST SP 800-150) que delineou ainda mais a necessidade de compartilhamento de informações sobre ameaças cibernéticas, bem como uma estrutura para implementação.^[13]

Referências

↑ ^a ^b «Understanding Cyber Threat Intelligence Operations» (PDF). Bank of England. 2016. Cópia arquivada (PDF) em 29 de fevereiro de 2020
↑ «Managed Threat Intelligence». CyberProof (em inglês). Consultado em 29 de maio de 2022
↑ IBM (23 de fevereiro de 2022). «IBM Security X-Force Threat Intelligence Index». www.ibm.com (em inglês). Consultado em 29 de maio de 2022
↑ «MSSP - What is a Managed Security Service Provider?». Check Point Software (em inglês). Consultado em 29 de maio de 2022
↑ Berndt, Anzel; Ophoff, Jacques (2020). Drevin, Lynette; Von Solms, Suné; Theocharidou, Marianthi, eds. «Exploring the Value of a Cyber Threat Intelligence Function in an Organization». Cham: Springer International Publishing. Information Security Education. Information Security in Action. IFIP Advances in Information and Communication Technology (em inglês). 579: 96–109. ISBN 978-3-030-59291-2. doi:10.1007/978-3-030-59291-2_7
↑ GerardJohansen (24 de julho de 2017). Digital Forensics and Incident Response (em inglês). [S.l.]: Packt Publishing Ltd, 2017. ISBN 9781787285392
↑ Levi Gundert, How to Identify Threat Actor TTPs
↑ «APT1: Exposing One of China's Cyber Espionage Units | Mandiant» (PDF)
↑ «Dragonfly: Western energy sector targeted by sophisticated attack group»
↑ «Waterbug: Espionage Group Rolls Out Brand-New Toolset in Attacks Against Governments»
↑ «Seedworm: Group Compromises Government Agencies, Oil & Gas, NGOs, Telecoms, and IT Firms»
↑ Burr, Richard (28 de outubro de 2015). «S.754 - 114th Congress (2015-2016): To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes.». www.congress.gov. Consultado em 9 de junho de 2021
↑ Johnson, Christopher S.; Badger, Mark Lee; Waltermire, David A.; Snyder, Julie; Skorupka, Clem (outubro de 2016). «Guide to Cyber Threat Information Sharing». doi:10.6028/nist.sp.800-150

Leitura adicional

Boris Giannetto - Pierluigi Paganini (2020). Mastering Communication in Cyber Intelligence Activities: A Concise User Guide. [S.l.]: Cyber Defense Magazine
Anca Dinicu, "Nicolae Bălcescu" Land Forces Academy, Sibiu, Romania, Cyber Threats to National Security. Specific Features and Actors Involved - Bulletin Ştiinţific No 2(38)/2014
Zero Day: Nuclear Cyber Sabotage, BBC Four - the Documentary thriller about warfare in a world without rules - the world of cyberwar. It tells the story of Stuxnet, self-replicating computer malware, known as a 'worm' for its ability to burrow from computer
What is threat intelligence? - Blog post providing context and adding to the discussion of defining threat intelligence.
Threat hunting explained - Short article explaining cyber threat intelligence.

[Bank_of_England_Cyber_Threat_Intelligence_Operations-1] «Understanding Cyber Threat Intelligence Operations» (PDF). Bank of England. 2016. Cópia arquivada (PDF) em 29 de fevereiro de 2020

[2] «Managed Threat Intelligence». CyberProof (em inglês). Consultado em 29 de maio de 2022

[3] IBM (23 de fevereiro de 2022). «IBM Security X-Force Threat Intelligence Index». www.ibm.com (em inglês). Consultado em 29 de maio de 2022

[4] «MSSP - What is a Managed Security Service Provider?». Check Point Software (em inglês). Consultado em 29 de maio de 2022

[5] Berndt, Anzel; Ophoff, Jacques (2020). Drevin, Lynette; Von Solms, Suné; Theocharidou, Marianthi, eds. «Exploring the Value of a Cyber Threat Intelligence Function in an Organization». Cham: Springer International Publishing. Information Security Education. Information Security in Action. IFIP Advances in Information and Communication Technology (em inglês). 579: 96–109. ISBN 978-3-030-59291-2. doi:10.1007/978-3-030-59291-2_7

[Digital_Forensics_and_Incident_Response_2017-6] GerardJohansen (24 de julho de 2017). Digital Forensics and Incident Response (em inglês). [S.l.]: Packt Publishing Ltd, 2017. ISBN 9781787285392

[7] Levi Gundert, How to Identify Threat Actor TTPs

[8] «APT1: Exposing One of China's Cyber Espionage Units | Mandiant» (PDF)

[9] «Dragonfly: Western energy sector targeted by sophisticated attack group»

[10] «Waterbug: Espionage Group Rolls Out Brand-New Toolset in Attacks Against Governments»

[11] «Seedworm: Group Compromises Government Agencies, Oil & Gas, NGOs, Telecoms, and IT Firms»

[12] Burr, Richard (28 de outubro de 2015). «S.754 - 114th Congress (2015-2016): To improve cybersecurity in the United States through enhanced sharing of information about cybersecurity threats, and for other purposes.». www.congress.gov. Consultado em 9 de junho de 2021

[13] Johnson, Christopher S.; Badger, Mark Lee; Waltermire, David A.; Snyder, Julie; Skorupka, Clem (outubro de 2016). «Guide to Cyber Threat Information Sharing». doi:10.6028/nist.sp.800-150

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]