Cibersegurança

Teste a eficiência de sua inteligência de ameaças

O que é vendido como inteligência de ameaças nem sempre é o que diz. Saiba se o que você está comprando é adequado para proteger os seus negócios.

Compartilhar artigo

O ditado “peça, e você receberá” parece estar precisando de uma ou duas observações. Tenha certeza de que os móveis que está comprando não são para casas de bonecas. E você se lembra daquele poema, rosas são vermelhas; cebolinhas são verdes? Quem seria o feliz ganhador desta caneca “mágica” natalina? Nós nunca saberemos.

A inteligência de ameaças também pode ser um caso de “entrega incorreta”. Existem muitos produtos descritos como inteligência de ameaças, mas que não são. E talvez os clientes não percebam que não estão recebendo o que pediram. Então, como testar a eficiência da sua inteligência de ameaças?

Inteligência de ameaças são dados analisados

A inteligência de ameaças identifica e analisa as ameaças cibernéticas direcionadas à sua empresa. A palavra-chave é “análise”. Isso significa examinar pilhas de dados, identificar problemas reais analisando o contexto e implementar uma solução específica para o problema.

Muito frequentemente, ela é confundida com “dados de ameaças”. Os dados de ameaças são uma lista de possíveis ameaças, sem análise de contexto ou soluções personalizadas.

A inteligência de ameaças deve cativar sua equipe de segurança

Era uma vez listas de bloqueio de IPs e URLs. Os primeiros produtos de segurança apenas consultavam essas listas de bloqueio para avisar sobre um IP ou URL perigoso. Com o tempo, a quantidade de dados de ameaças cresceu exponencialmente. Ficou difícil definir o que era e o que não era uma ameaça real. Os softwares de segurança não eram projetados para processar tantos indicadores de comprometimento, como somas hash de arquivos, domínios ou endereços de servidores de botnets maliciosos.

Alguns produtos comercializados como inteligência de ameaças incluem feeds de ameaças e indicadores de comprometimento, mas sem nenhum contexto; são apenas enormes quantidades de dados brutos.

Isso é um problema. O fornecimento dessa “inteligência” para as operações de segurança deverá gerar muitos alertas de segurança falsos. O excesso de alertas provoca um impacto grande sobre a segurança geral da sua empresa. Uma pesquisa mostrou que 52% dos alertas de segurança não são investigados.

Pilhas de dados brutos sem processamento e sem estrutura não podem ser chamados de “úteis”, muito menos de “inteligência”.

E os dados, apesar de relevantes, são inúteis, a menos que sejam contextualizados e possam servir para agir. Com a verdadeira inteligência de ameaças, uma equipe de segurança de informações pode interromper uma violação no início e proteger a rede ou perceber que trata-se apenas de um malware comum que não representa uma ameaça grave.

A inteligência de ameaças deve indicar seu futuro

A identificação de ameaças passadas ficou para trás. A inteligência de ameaças agora está focada na qualidade das fontes de dados. Não é suficiente que os dados apresentem insights, sem fornecer orientações para a tomada de decisões e ações. E quando a qualidade deles é limitada pela falta de fontes, como a não verificação na darknet, ou pela falta de alcance multilíngue global, esses dados não podem ser processados para fornecer uma inteligência de ameaças efetiva. A inteligência deve ser capaz de prever como a sua empresa deve se preparar para ameaças futuras e como combatê-las.

A inteligência de ameaças deve se adaptar à sua organização

Uma solução de inteligência de ameaças deve conseguir se adaptar às necessidades de segurança da organização. Ela deve orientar a organização na definição de pontos de coleta de dados internos relacionados a ativos críticos. Depois, deve correlacionar esses dados com a inteligência de ameaças externa para identificar as ameaças.

Sem essa abordagem direcionada, não será possível priorizar as informações necessárias para defender ativos importantes. Helen Patton, diretora de segurança de informações da Ohio State University, disse em um artigo da Forbes de 2019, “as ameaças são ameaças somente no contexto do risco à própria empresa”.

A inteligência de ameaças pode ser usada para agir

A inteligência de ameaças é algo que você pode usar para agir. Ela deve integrar várias fontes de informações às operações de segurança da organização, usando um único ponto de entrada.

Para ser eficaz, a organização precisa usar a inteligência de ameaças legível por máquina e por humanos. Seus métodos e formatos de entrega devem permitir que ela seja integrada perfeitamente aos fluxos de trabalho de segurança existentes.

Isso é inteligência de ameaças ou são apenas dados de ameaças? Este é o teste: deve ser possível processar, integrar e converter esses dados em informações com as quais você pode agir imediatamente.

Eles devem fornecer insights exclusivos sobre ameaças emergentes, de modo que as equipes de segurança possam priorizar alertas, maximizar recursos e acelerar a tomada de decisões. A inteligência de ameaças da sua organização passou no teste? Se não passou, está na hora de receber o que foi prometido.

KASPERSKY THREAT INTELLIGENCE PORTAL (TIP)

Acesse nosso portal gratuito para experimentar a inteligência de ameaças em sua organização. Análises rápidas e detalhadas de arquivos, endereços IP e URLs suspeitos.

Sobre os autores