De acordo com Benjamin Franklin, nada é certo na vida, exceto a morte e os impostos. E, nesta era de tecnologias avançadas, podemos incluir um novo fator inevitável: as ameaças cibernéticas. Antes de você tomar seu primeiro gole de café em uma manhã de segunda-feira, já pode haver em seu sistema uma nova ameaça capaz de causar grande impacto em sua infraestrutura e em seus dados. Você apenas não a encontrou ainda.
Monitoramento ininterrupto de ameaças: fortalecendo seu Centro de operações de segurança
Em um mundo onde as ameaças estão por toda parte, quais são as suas opções? Bem, se a continuidade dos negócios e a proteção de dados são prioridade para a sua empresa, você provavelmente já investiu ou está planejando ter um Centro de operações de segurança (SOC). O SOC monitorará as ameaças 24 horas por dia, de modo que você poderá confiar à sua equipe de segurança o monitoramento e a execução de ações para manter afastados os riscos mais significativos.
Descanse tranquilamente. É hora de aproveitar aquele delicioso café quente.
Bom, nem tanto. Se os dados são o novo petróleo, hoje nós vivemos as consequências de um derramamento. E a sobrecarga de dados é um problema tão grande para sua equipe de segurança de informações quanto para suas operações de marketing ou com clientes. Com o contínuo crescimento de dispositivos cada vez mais interconectados e da Internet das Coisas, é muito bom ter dados sobre as muitas ameaças que atingem seu perímetro. Mas saber diferenciar os falsos positivos e quais situações exigem ação imediata é como encontrar uma agulha envenenada em uma pilha de dados. Para encontrar e imunizar-se contra esse alerta específico em um milhão, você precisa da inteligência de ameaças.
Por que você precisa da inteligência de ameaças?
A inteligência de ameaças é a camada que traduz a observação das ameaças em saber quando e como agir. A Gartner define inteligência de ameaças como:
Conhecimento baseado em evidências, o que inclui contexto, mecanismos, indicadores, implicações e recomendações úteis sobre uma ameaça ou um risco existente ou emergente para os ativos, que pode ser usado para embasar as decisões de como responder a isso.
Rob McMillan, Analista da Gartner
Não estou discutindo isso.
Mas não existem duas batalhas iguais contra as ameaças cibernéticas. Ao usar a inteligência de ameaças, você pode ligar os pontos entre os ataques relacionados para descobrir quem é o seu adversário e então ajustar sua estratégia de defesa para bloqueá-lo.
Nós enfrentamos mais ameaças a cada dia. Desde que a Kaspersky foi fundada, em 1997, nós incluímos mais de 700 milhões de novos arquivos maliciosos, o que representa um crescimento de 8.400 vezes. Isso abrange desde ameaças diárias a commodities – malware conhecido facilmente detectável – até ameaças avançadas e ataques direcionados que usam as conhecidas táticas, técnicas e procedimentos (TTPs) e as raras, porém mortais, ameaças persistentes avançadas (APTs).
Os dados formam uma imagem interessante, muitas vezes chamada de “pirâmide de ameaças”. As ameaças triviais e conhecidas, como malware comum e outros, compõem 90% de todas as ameaças que observamos. As ameaças avançadas e os ataques direcionados representam 9,9%. Elas impactam principalmente pequenas e médias empresas (PMEs) e corporações com ataques como o malware do tipo cavalo de Troia Emotet, que está bastante ativo hoje em dia. Apenas 0,1% de todas as ameaças são APTs, que afetam poucas organizações, mas com consequências devastadoras. Essas são as agulhas mais envenenadas em nossa pilha de dados.
Você precisa de uma estratégia, não de uma plataforma
A boa inteligência de ameaças é mais do que simplesmente comprar uma plataforma e esperar pelo melhor. Como toda prevenção cibernética eficaz, ela envolve um misto de tecnologia, estratégia e esforço. A boa inteligência de ameaças fornece insights para que você possa agir, incluindo desde alertas em tempo real de uma possível violação até ajuda para formar uma visão mais ampla para explicar aos altos executivos sobre os riscos contínuos. Por sua vez, isso indica o tipo de software e o investimento de você precisa para manter afastadas as ameaças.
No nível básico, a inteligência de ameaças fornece alertas e bloqueio de indicadores de comprometimento (IOCs). Os alertas contextuais e o gerenciamento de assinaturas eletrônicas ajudam a determinar a validade e a gravidade dos ataques para elaborar sua abordagem de resposta a incidentes. Outro caso de uso é a análise de fusão, que reúne e avalia feeds de dados desconectados a fim de identificar as ameaças que representam perigo.
Além disso, a inteligência de ameaças também fornece informações para sua estratégia de cibersegurança. Ao usar a inteligência relevante para sua postura de risco, o planejamento de segurança informa as decisões de arquitetura e ajuda a refinar seus processos de segurança para melhorar a defesa contra ameaças conhecidas. Se estiver trabalhando com um provedor de serviços gerenciados (MSP) para executar suas operações de segurança, pergunte como ele instalará e executará o serviço de inteligência de ameaças e quanto tempo e esforço serão necessários. Devido a sua natureza ininterrupta, não é fácil terceirizar esse serviço.
Três pontos principais da inteligência de ameaças
Ao planejar e comprar sua solução, você precisará de três componentes:
Indicador de comprometimento (IOC)
Os IOCs são a base da inteligência de ameaças. São evidências que podemos medir e reconhecer, como a febre que sinaliza externamente alguma doença no corpo. Existem muitos serviços de IOC. Para escolher o mais adequado, você deverá saber quais ameaças está mais propenso a enfrentar.
Feeds de dados de ameaças
Fornecem inteligência integrada após analisar os adversários e o amplo cenário de ameaças. Existem muitos no mercado, tanto pagos como gratuitos. Para escolher o mais adequado, pergunte-se: precisamos de um feed de dados de APTs, mesmo não sendo um alvo provável dos grupos de APTs? Qual é o melhor lugar na infraestrutura de TI para adicionar esses feeds? Devemos bloquear as ameaças ou apenas alertar a equipe? As respostas dependerão da postura de segurança e da estratégia de TI da sua organização.
Plataforma de inteligência de ameaças
Uma plataforma de inteligência de ameaças permite gerenciar uma série de softwares especializados que oferecem suporte a diferentes componentes. A sua escolha e como você integra os serviços depende do seu orçamento e de suas necessidades de negócios. Embora haja feeds de dados de código aberto, você pode comprar uma inteligência mais específica para um setor. É essencial verificar todos os detalhes ao comprar serviços de inteligência de ameaças para garantir que o fornecedor oferece um serviço responsivo, tanto em termos de qualidade dos feeds de dados quando de velocidade, se ele estiver fornecendo resposta a incidentes.
Com um planejamento cuidadoso ao escolher um fornecedor e uma estratégia bem pensada, seu SOC poderá se beneficiar de toda a proteção e capacidade da inteligência de ameaças. As agulhas ainda estarão em sua pilha de dados, mas você terá ferramentas para encontrá-las e bloqueá-las.