Inteligência sobre ameaças cibernéticas (CTI)

O que é inteligência sobre ameaças cibernéticas?

A inteligência sobre ameaças cibernéticas (CTI) refere-se a qualquer informação sobre as ameaças enfrentadas por uma organização na esfera digital. Essas informações são coletadas de um amplo conjunto de fontes e ajudam os analistas a entender as motivações, os alvos e os comportamentos dos agentes de ameaças. Ela também permite que uma organização avalie a gravidade das ameaças digitais e físicas e, ao mesmo tempo, atua como base para uma estratégia de mitigação e correção.

Benefícios da inteligência sobre ameaças cibernéticas

Os agentes de ameaças prosperam em ambientes onde podem operar sem serem notados e, portanto, sem serem impedidos. A inteligência sobre ameaças ajuda a esclarecer suas ações, permitindo que as organizações se preparem e respondam aos ataques cibernéticos de forma mais eficaz. Isso é benéfico por vários motivos:

  • Maior visibilidade do seu ecossistema e das ameaças que ele enfrenta
  • Tomada de decisões mais eficaz e orientada por dados com relação ao gerenciamento de riscos e ameaças
  • Uma estratégia de segurança baseada em um sólido entendimento das táticas, técnicas e procedimentos comuns utilizados pelos agentes de ameaças.
  • Maior agilidade e flexibilidade na resposta às ameaças cibernéticas
  • Melhor resiliência cibernética geral
  • Redução dos custos de segurança
  • Operações de segurança mais eficientes

Por que a inteligência sobre ameaças cibernéticas é importante

A agilidade, a flexibilidade e a eficácia da inteligência acionável contra ameaças são cada vez mais essenciais. Os ataques cibernéticos não são apenas mais numerosos do que nunca, mas também são executados muito mais rapidamente. Os agentes de ameaças - especialmente os operadores de ransomware patrocinados pelo Estado e com motivação financeira - estão cada vez mais sofisticados.

Mesmo criminosos cibernéticos não sofisticados e não técnicos podem causar sérios danos a uma organização. Em vez de utilizar suas próprias ferramentas e táticas, eles podem alugar a infraestrutura de ataque cibernético de agentes de ameaças mais sofisticados. Como alternativa, eles podem comprar sua entrada em um sistema comprometido por meio de um corretor de acesso inicial (IAB).

Como usar a inteligência sobre ameaças cibernéticas

A inteligência contra ameaças exige mais do que a orquestração passiva de dados. Uma organização deve ter a infraestrutura necessária para monitorar continuamente todo o seu ecossistema e a capacidade de analisar e contextualizar os dados de ameaças em tempo real. Para a maioria das organizações, isso significa que a inteligência contra ameaças exige algum grau de automação - o volume de informações geradas por feeds de inteligência contra ameaças não filtrados está além do escopo que até mesmo a equipe de segurança mais bem equipada pode considerar.

As organizações também devem integrar a inteligência contra ameaças a outros processos, como resposta a incidentes e gerenciamento de riscos. A inteligência contra ameaças não existe em um vácuo; ela deve fazer parte de uma abordagem geral da segurança cibernética.

Isso também significa que todas as soluções com as quais você coleta dados sobre ameaças - como uma solução XDR (Extended Detection and Response) ou uma plataforma SIEM (Security Information and Event Management) - devem ser totalmente integradas à sua pilha de segurança.

O ciclo de vida da inteligência sobre ameaças cibernéticas

O ciclo de vida da inteligência contra ameaças é o processo pelo qual uma organização reúne e examina dados brutos sobre ameaças em potencial e, em seguida, usa esses dados para lidar com essas ameaças de forma proativa. Os principais processos e técnicas pelos quais isso é alcançado não são exclusivos do setor de segurança cibernética. Em vez disso, eles foram desenvolvidos e aperfeiçoados ao longo de várias décadas no setor público, especialmente nas forças armadas e policiais.

No contexto da segurança cibernética e do gerenciamento de ameaças cibernéticas, esse ciclo de inteligência consiste nas seguintes fases:

1. Requisitos e direção. É aqui que a organização estabelece a base inicial para seu programa de inteligência contra ameaças, definindo:

  1. Os ativos e processos que precisam ser protegidos
  2. O impacto de um ataque em cada ativo ou processo
  3. Como cada ativo e processo deve ser priorizado em termos de medidas de segurança cibernética
  4. Por que os agentes de ameaças podem visar esses itens, ou seja, suas motivações
  5. O escopo completo da superfície de ataque da organização
  6. O tipo de inteligência contra ameaças necessária para proteger essa superfície de ataque e como esses dados serão usados

2. Coleta. Nesse estágio, as informações são coletadas de uma ampla gama de fontes internas e externas. Isso pode incluir registros de antivírus, tráfego da Web, feeds do setor e monitoramento superficial e profundo da Web.

3. Processamento. Grande parte dos dados coletados no segundo estágio não é filtrada nem formatada; antes de ser utilizável, ela precisa ser processada e organizada. Dado o grande volume de dados coletados até mesmo por um programa modesto de inteligência contra ameaças, raramente é viável fazer isso manualmente.

4. Análise. A equipe humana examina os dados processados, aplicando seu conhecimento, intuição e experiência para contextualizar ainda mais as informações. Em seguida, determinam a melhor forma de aproveitar os insights obtidos dos dados sobre ameaças.

5. Disseminação. Depois de definir os principais insights e itens de ação a partir dos dados coletados sobre ameaças, a equipe de inteligência contra ameaças distribui essas informações para os principais participantes da organização, que as utilizam para orientar a tomada de decisões.

6. Feedback. Depois de receber os relatórios de ameaças finalizados da equipe de inteligência, as partes interessadas voltam a colaborar com os ajustes que acharem necessário. 

Tipos de inteligência sobre ameaças cibernéticas

Toda a inteligência sobre ameaças cibernéticas pode ser dividida em uma das quatro categorias.

Inteligência estratégica sobre ameaças cibernéticas

A Inteligência Estratégica sobre Ameaças Cibernéticas concentra-se em percepções de nível mais alto, como o cenário geral de ameaças de uma organização, os possíveis motivos dos agentes de ameaças e o possível impacto de um ataque bem-sucedido. Ela apoia o planejamento de longo prazo e ajuda a organização a identificar tendências mais amplas do setor, definir sua postura geral de risco e elaborar estratégias de mitigação de risco. A inteligência estratégica sobre ameaças geralmente é voltada para a liderança organizacional.

Inteligência tática sobre ameaças cibernéticas

Tactical Cyber Threat Intelligence concentra-se na coleta e na ingestão de informações acionáveis sobre as táticas, as técnicas e os procedimentos utilizados pelos agentes de ameaças. Ela fornece às equipes de segurança insights sobre possíveis vulnerabilidades e possíveis defesas.

Inteligência técnica sobre ameaças cibernéticas

Inteligência Técnica sobre Ameaças Cibernéticas preocupa-se principalmente com indicadores de comprometimento. Trata-se de identificar e responder rapidamente a um ataque cibernético em andamento. É compreensível que haja uma sobreposição significativa entre a CTI técnica e a CTI operacional, e as duas são frequentemente agrupadas.

Inteligência operacional sobre ameaças cibernéticas

Inteligência operacional sobre ameaças cibernéticas consiste em conhecimento detalhado e em tempo real sobre a natureza, o motivo e o momento das possíveis ameaças, bem como informações detalhadas sobre as capacidades e as motivações dos agentes das ameaças. A caça às ameaças se enquadra na CTI operacional, assim como a infiltração em fóruns da dark web e comunidades de hackers.
Inteligência sobre ameaças cibernéticas

Casos de uso da inteligência sobre ameaças cibernéticas

Os casos de uso da inteligência sobre ameaças cibernéticas são bastante amplos e incluem o seguinte:

  • Busca ativa e atenuação de ameaças
  • Enriquecimento e categorização de alertas de segurança
  • Desenvolvimento de um roteiro de segurança de longo prazo
  • Avaliar o nível de ameaça, a postura de segurança e a tolerância a riscos de uma organização
  • Implantação e configuração de novos controles de segurança
  • Análise forense cibernética pós-incidente
  • Compreender os agentes de ameaças emergentes e as ameaças persistentes avançadas e tomar medidas preventivas contra elas

CylanceINTELLIGENCE para CTI

CylanceINTELLIGENCE é um serviço de assinatura que fornece às organizações inteligência contextual e acionável sobre ameaças cibernéticas, para que você possa prevenir, caçar e responder a ameaças sofisticadas.
Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos