O que é inteligência contra ameaças cibernéticas?

Para realizar a caça às ameaças, é especialmente importante ter pelo menos um conhecimento básico dos principais conceitos de inteligência contra ameaças cibernéticas.

Não é objetivo deste artigo mergulhar profundamente em questões complexas que envolvem as diferentes definições de inteligência e os múltiplos aspectos da teoria da inteligência. O objetivo é mostrar uma introdução ao processo de inteligência para que você entenda o que é inteligência contra ameaças cibernéticas (CTI) e como ela é feita, antes de abordarmos a inteligência contra ameaças cibernéticas (CTI), orientada por CTI e caça de ameaças orientada por dados.

Se quisermos discutir as raízes da disciplina de inteligência, provavelmente poderíamos voltar até o século 19, quando os primeiros departamentos de inteligência militar foram fundados. Poderíamos até argumentar que a prática da inteligência é tão antiga quanto a própria guerra e que a história da humanidade está repleta de histórias de espionagem como resultado da necessidade de ter o controle sobre o inimigo.

Tem sido afirmado repetidamente que, para ter uma vantagem militar, devemos ser capazes não só de nos compreendermos, mas também do inimigo: como eles pensam? Quantos recursos eles têm? Que forças eles têm? Qual é o seu objetivo final?

“Inteligência é uma capacidade corporativa de prever mudanças a tempo de fazer algo a respeito. A capacidade envolve previsão e insight e se destina a identificar mudanças iminentes, que podem ser positivas, representando oportunidades, ou negativas, representando ameaças.”

Allan Breakspear em seu artigo A New Definition of Intelligence (2012)

Com base nisso, vamos definir o CTI como uma disciplina de cibersegurança que pretende ser uma medida proativa de segurança de computadores e redes, que se nutre da tradicional teoria da inteligência.

O CTI se concentra na coleta de dados e análise de informações para que possamos obter um melhor entendimento das ameaças que uma organização enfrenta. Isso nos ajuda a proteger seus ativos. O objetivo de qualquer analista de CTI é produzir e entregar informações relevantes, precisas e oportunas – isto é, inteligência – para que a organização receptora possa aprender como se proteger de uma ameaça potencial.

A soma dos dados relacionados gera informações que, por meio da análise, se transformam em inteligência. No entanto, como afirmamos anteriormente, a inteligência só tem valor se for relevante, precisa e, o mais importante, se for entregue no prazo. O propósito da inteligência é servir aos responsáveis pela tomada de decisões, para que possam fazê-lo de forma informada. Não adianta nada se não for entregue antes que a decisão deva ser tomada.

Isso significa que, quando falamos em inteligência, não nos referimos apenas ao produto em si, mas também a todos os processos que o tornam possível.

Finalmente, podemos classificar a inteligência de acordo com o tempo que foi dedicado ao estudo de um determinado assunto, seja distinguindo entre inteligência de longo e curto prazo, ou de acordo com sua forma; isto é, inteligência estratégica, tática ou operacional. Nesse caso, a inteligência entregue varia, dependendo de quais destinatários a receberão.

Nível estratégico

A inteligência estratégica informa os principais tomadores de decisão – geralmente chamados de CSuite: CEO, CFO, COO, CIO, CSO, CISO – e qualquer outro CEO para quem as informações possam ser relevantes. A inteligência fornecida neste nível deve ajudar os tomadores de decisão a compreender a ameaça que enfrentam. Os tomadores de decisão devem ter uma noção adequada de quais são as principais capacidades e motivações da ameaça (interrupção, roubo de informações proprietárias, ganho financeiro e assim por diante), sua probabilidade de ser um alvo e as possíveis consequências disso.

Nível operacional

A inteligência operacional é fornecida para aqueles que tomam decisões no dia-a-dia; ou seja, aqueles que são responsáveis por definir prioridades e alocar recursos. Para concluir essas tarefas com mais eficiência, a equipe de inteligência deve fornecer-lhes informações sobre quais grupos podem ter como alvo a organização e quais foram os mais recentemente ativos. A entrega pode incluir CVEs e informações sobre a tática usada, bem como as técnicas da possível ameaça. Por exemplo, isso pode ser usado para avaliar a urgência de corrigir certos sistemas ou adicionar novas camadas de segurança que impedirão o acesso a eles, entre outras coisas.

Nível tático

A inteligência tática deve ser fornecida para aqueles que precisam de informações instantâneas. Os destinatários devem ter um entendimento completo de quais comportamentos adversários devem prestar atenção para identificar as ameaças que podem ter como alvo a organização.

Nesse caso, a entrega pode incluir endereços IP, domínios e URLs, hashes, chaves de registro, artefatos de e-mail e muito mais. Por exemplo, eles podem ser usados para fornecer contexto a um alerta e avaliar se vale a pena envolver a equipe de resposta a incidentes (IR).

Até agora, definimos os conceitos relativos à inteligência, CTI e níveis de inteligência, mas o que entendemos pelo termo ameaça no domínio cibernético?

Definimos uma ameaça como qualquer circunstância ou evento que tem o potencial de explorar vulnerabilidades e afetar negativamente as operações, ativos (incluindo informações e sistemas de informação), indivíduos e outras organizações ou sociedades de uma entidade.

Poderíamos dizer que as principais áreas de interesse para inteligência de ameaças cibernéticas são crimes cibernéticos, terrorismo cibernético, hacktivismo e espionagem cibernética. Tudo isso pode ser definido grosso modo como grupos organizados que usam tecnologia para se infiltrar em organizações públicas e privadas e governos para roubar informações proprietárias ou causar danos a seus ativos. No entanto, isso não significa que outros tipos de ameaças, como criminosos ou internos, estejam fora do escopo de interesse.

Às vezes, os termos ator da ameaça e ameaça persistente avançada (APT) são usados alternadamente, mas a verdade é que, embora possamos dizer que todo APT é um ator da ameaça, nem todo ator da ameaça é avançado ou persistente. O que distingue um APT de um agente de ameaça é seu alto nível de segurança operacional (OPSEC), combinado com uma baixa taxa de detecção e um alto nível de sucesso. Lembre-se de que isso pode não se aplicar perfeitamente a todos os grupos APT. Por exemplo, existem alguns grupos que se alimentam da propaganda do ataque, por isso fazem um esforço menor para não serem identificados.

Para gerar inteligência valiosa, é importante trabalhar com conceitos claros e definidos para que você possa estruturar os dados e gerar informações. Não é obrigatório escolher uma terminologia existente, mas a MITRE Corporation desenvolveu a Structured Threat Information Expression (STIX) (https://oasis-open.github.io/cti-documentation/) para facilitar a padronização e o compartilhamento de inteligência de ameaças.

Em resumo, a inteligência contra ameaças cibernéticas é uma ferramenta que deve ser usada para obter uma melhor percepção dos interesses e capacidades de um ator da ameaça. Deve ser usado para informar todas as equipes envolvidas na proteção e direção da organização.

Para gerar boa inteligência, é necessário definir o conjunto certo de requisitos para entender as necessidades da organização. Uma vez que esta primeira etapa tenha sido realizada, podemos priorizar as ameaças nas quais a equipe deve se concentrar e começar a monitorar os atores de ameaças que podem ter a organização entre os alvos desejados.

Evitar a coleta de dados desnecessários nos ajudará a alocar mais tempo e recursos, bem como definir nosso foco principal nas ameaças que são mais iminentes para a organização.