Inteligência de Ameaças Cibernéticas Guia de Iniciantes
Neste artigo, veremos uma visão geral do domínio de inteligência de Ameaças no mundo cibernético. Vamos aprender sobre o que é Inteligência de Ameaças, um olhar básico para o ciclo de vida da Inteligência de Ameaças.
O que é a Inteligência de Ameaças?
“A inteligência de ameaças cibernéticas são informações sobre ameaças e atores de ameaças que ajudam a mitigar eventos nocivos no ciberespaço.[1] As fontes de inteligência de ameaças cibernéticas incluem inteligência de código aberto, inteligência de mídia social, inteligência humana, inteligência técnica ou inteligência da deep and dark web.”
Em termos mais simples, são as informações coletadas pela organização para entender as ameaças que estão atualmente mirando-as ou que as visam no futuro. Essas informações ajudam a organização a construir uma melhor defesa contra o risco ou para mitigar o risco.
Essas informações fornecem informações sobre muitas vulnerabilidades sofisticadas, como APTs (Advanced Persistent Threats, ameaças persistentes avançadas), campanhas globais de malware e vulnerabilidades de zero-day. Onde as vulnerabilidades de zero-day são impossíveis de detectar, essas informações podem ajudar a empresa ou organização a se proteger melhor.
A partir das informações acima, você pode entender por que esse domínio é importante.
Ciclo de vida da Inteligência de Ameaças
O trabalho básico neste domínio é coletar os dados brutos e transformá-los em inteligência que podem realmente ser usados. O ciclo de vida pode depender da organização. Aqui vamos falar sobre os passos do ciclo de vida com algumas informações básicas.
Então, este ciclo de vida consiste em 6 passos.
1. Planejamento/Direção/Requisito
Esta etapa pode ser conhecida como planejamento ou direção ou etapa de Requisito.
Este é um dos passos mais importantes neste domínio. Nesta etapa, a equipe planejará e concordará com a metodologia e os objetivos das informações.
Algumas coisas que são decididas nesta etapa são:
- Quem é o atacante e qual é a motivação.
- A superfície de ataque.
2. Coleção
Nesta etapa, a equipe se propõe a coletar as informações brutas para satisfazer os requisitos definidos na primeira etapa. Dependendo das metas na primeira etapa, a equipe geralmente pesquisará a web aberta, dark web e outros Indicadores de Compromisso (IoCs) para coletar as informações.
É por isso que essa fase é chamada de fase de coleta porque as informações brutas são coletadas nesta fase.
3. Processamento
Depois que os dados brutos são coletados, as informações precisam ser processadas corretamente para serem analisadas. Sem o processamento adequado, o analista não pode analisar os dados.
Essa fase geralmente consiste em descriptografar arquivos, organizar os pontos de dados em planilhas, traduzir de uma fonte estrangeira e avaliar a relevância e confiabilidade dos dados.
4. Análise
Agora, o conjunto de dados brutos foi processado. Nesta etapa, a equipe realizará uma análise minuciosa do conjunto de dados para encontrar a potencial vulnerabilidade ou problemas e informar as equipes relevantes para resolver os problemas.
Basicamente, a equipe realiza a análise para responder a todas as perguntas que são feitas na exigência ou na fase de planejamento.
5. Divulgação
As informações geradas nas etapas anteriores devem ser distribuídas aos consumidores ou stakeholders pretendidos. Portanto, nesta etapa, a equipe torna as informações acima apresentáveis e digeríveis aos stakeholders.
6. Feedback
Esta é a fase final do ciclo de vida. Nesta fase, o feedback foi fornecido ao relatório gerado na etapa anterior. O feedback geralmente é fornecido por quem fez a solicitação inicial. Esta fase também verifica se há algum problema ou alterações que precisam ser feitas no relatório de acordo com o cliente.
Então, essa é a visão geral do que é o ciclo de vida.
Tipos de Inteligência de Ameaças
Existem três tipos de inteligência de ameaças,
- Tático
- Operacional
- Estratégico
Cada um desses tipos é um grande tópico neste domínio e não pode ser explicado em um blog. Aqui vamos dar uma visão geral básica desses tipos.
Tático
“A inteligência técnica (incluindo indicadores de compromisso, como endereços IP, nomes de arquivos ou hashes) pode ser usada para auxiliar na identificação de atores de ameaças” –Wikipedia
Basicamente, tem um esboço de táticas e técnicas, geralmente, é para um público mais técnico.
Operacional
“detalhes da motivação ou capacidade dos atores de ameaças, incluindo suas ferramentas, técnicas e procedimentos” –Wikipedia
Basicamente, tem detalhes técnicos sobre ataques e campanhas específicas.
###Estratégico
“inteligência sobre os riscos abrangentes associados a ameaças cibernéticas que podem ser usadas para impulsionar estratégia organizacional de alto nível” — Wikipedia
Basicamente, tem tendências mais amplas ou de alto nível que geralmente são destinadas a públicos não técnicos.
Há um bom exemplo de Crowdstrike para entender esses passos facilmente.
Crowdstrike Exemplo para tipos de ameaças Intel
Vamos discutir todas essas etapas em detalhes em outros blogs.
Abaixo, existem links para mais leitura e ferramentas relacionadas a este domínio, Verifique todos eles para obter uma compreensão mais clara do tópico.
Recursos
- Uma lista com curadoria de recursos incríveis de inteligência de ameaças// https://github.com/hslatman/awesome-threat-intelligence
- Uma lista com curadoria de incríveis recursos de detecção e caça de ameaças// https://github.com/0x4D31/awesome-threat-detection
- Obtenha os detalhes técnicos mais recentes sobre atividade avançada de malware significativa// https://www.fireeye.com/current-threats.html
- 10 dos melhores feeds de inteligência de ameaças de código aberto// https://d3security.com/blog/10-of-the-best-open-source-threat-intelligence-feeds/
- Briefing semanal de ameaças — inteligência de ameaças cibernéticas entregue a você // Anomali Briefing semanal de ameaças
- 11 Dicas de Inteligência de Ameaças Cibernéticas // https://www.isaca.org/resources/news-and-trends/isaca-now-blog/2016/11-cyber-threat-intelligence-tips
- Inteligência de Ameaças Definida e Explorada // https://www.forcepoint.com/cyber-edu/threat-intelligence
- Feeds de inteligência de ameaças cibernéticas // http://thecyberthreat.com/cyber-threat-intelligence-feeds/
Refrences
- https://www.forcepoint.com/cyber-edu/threat-intelligence
- https://www.recordedfuture.com/threat-intelligence/
- https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
- https://en.wikipedia.org/wiki/Cyber_threat_intelligence