Inteligência humana (HUMINT) na cibersegurança

O que é inteligência humana (HUMINT)?

Inteligência Humana (HUMINT) é uma forma de coleta de informações “no local” usando fonte humana para coletar informações. No contexto de inteligência de ameaças, isso pode incluir infiltração e envolvimento com agentes de ameaças em redes criminosas clandestinas, fóruns e mercados, plataforma de bate-papo e outros ambientes alvo, incluindo a dark web.

O objetivo da HUMINT é reunir informações sobre os adversários e suas atividades para aprender mais sobre os humanos por trás do ciber ataque, incluindo suas motivações, alvos e técnicas. Essas informações, especialmente quando usadas em combinação com dados e insights coletados de ferramentas de segurança e outras telemetrias, podem ser usadas para ajudar as organizações a identificar riscos e impedir ataques.

É importante observar que a HUMINT é uma disciplina formal que requer estratégia especializada não apenas para coletar informações úteis, mas também para empregar segurança operacional (OPSEC) — que são medidas adotadas para proteger a verdadeira identidade do pesquisador ou suas afiliações com uma empresa, organização ou agência governamental.

A importância da inteligência humana na cibersegurança

À medida que os atores de ameaças alavancam técnicas de ataque mais sofisticadas e avançadas, como o lançamento de ataques sem assinatura, que são difíceis de detectar usando apenas a tecnologia, a HUMINT se tornou um componente necessário dentro da estratégia de cibersegurança.

A HUMINT oferece vários benefícios importantes para organizações e agências governamentais. Essas vulnerabilidades incluem:

1. Alertar possíveis vítimas de um ataque iminente. Coletar dados desses canais para prevenir ataques iminentes exige muito mais do que apenas coletar dados brutos. Com a HUMINT, o time de threat hunters qualificados pode se infiltrar nesses ambientes para coletar informações mais detalhadas sobre esses invasores e seus planos e, então, dar o importante passo de alertar as vítimas sobre um ataque iminente ou em andamento.

2. Validar dados coletados por inteligência automatizada. Os adversários compreendem o papel que as ferramentas de segurança desempenham na automação da coleta de dados de ambientes alvo. Como resultado, muitos começaram a ofuscar deliberadamente detalhes nas publicações, como nomes de vítimas ou domínios. A HUMINT é necessária para descobrir novas tendências e validar se os dados coletados por essas ferramentas são confiáveis e completos.

3. Comprovar as capacidades do invasor. A HUMINT também representa extremo valor uma vez que uma organização foi comprometida, ajudando a equipe de segurança a entender as reclamações feitas por um ator. Por exemplo, durante um ataque de ransomware, o ator pode alegar ter capacidades muito maiores do que realmente tem, na esperança de gerar um pagamento de resgate significativo. Nessa situação, a HUMINT pode ajudar a equipe de segurança a validar as alegações do ator e responder adequadamente.

4. Apoiar a aplicação da lei. Crimes digitais são notoriamente difíceis de investigar e processar — especialmente se o ator estiver operando em um país diferente daquele onde a vítima está sediada. A HUMINT coletada por um provedor de serviços de cibersegurança é de extremo valor para as agências de segurança pública porque a equipe de segurança pode compartilhar informações de perfil relevantes e necessárias sobre o ator. Isso pode incluir nomes verdadeiros, local de residência, cidadania e outros detalhes importantes, quando possível.

Quatro casos de uso comuns de inteligência humana e cibersegurança

A HUMINT tem muitas funções em uma equipe de segurança. Os quatro casos de uso mais comuns da HUMINT incluem:

1. Serviço de proteção de risco digital (DRPS): o DRPS é uma forma de proteger proativamente uma organização de ciber ataques. Como discutido acima, a tecnologia por si só não pode identificar e prever efetivamente ataques modernos e sofisticados. Por outro lado, monitorar todos os dados do submundo apenas com inteligência humana seria simplesmente impossível. Com uma combinação de coleta automatizada e HUMINT, é possível efetivamente revelar informações relevantes sobre as principais atividades de ameaças.

2. Resposta a incidentes (IR), erradicação do ator de ameaças e pagamentos de ransomware: quando ocorre um ataque - especialmente no caso de um ataque de ransomware - conhecer o ator e suas capacidades ajudará a informar como a organização responde ao ataque. Por exemplo, durante um ataque de ransomware, o adversário pode fazer grandes alegações sobre dados que foram roubados ou como eles podem estar corrompidos. A HUMINT pode ajudar a validar essas alegações e auxiliar nas decisões sobre se um pagamento de resgate precisa ser feito.

3. Descoberta de novos ataques: os atores alteram táticas e técnicas continuamente. Eles também aproveitam comunidades clandestinas para buscar informações que os ajudem a realizar ataques — como exploit e desenvolvimento de malware. Ao monitorar e entender o tipo de ajuda que esses atores precisam, é possível evita ou interromper novos ataques antes que representem um risco à organização.

4. Classificação do ator: quando um ator é nomeado, os analistas de inteligência usam a HUMINT para entender o ecossistema, as capacidades e as motivações do ator. Esse conhecimento é útil para rastrear suas atividades, bem como avaliar um ataque pelo qual esse indivíduo ou grupo é responsável.