O que é um feed de inteligência de ameaças?

Um feed de inteligência de ameaças é um fluxo de dados contínuo e em tempo real que reúne informações relacionadas a riscos cibernéticos ou ciberameaças. Os dados geralmente se concentram em uma única área de interesse de cibersegurança, como domínios incomuns, assinaturas de malware ou endereços IP associados a atores de ameaças conhecidos.

Por si só, os dados de feeds de inteligência de ameaças têm uso bastante limitado. Seu valor surge quando o feed de dados é integrado a outras ferramentas de segurança, plataformas ou capacidades para apoiar e permitir maior capacidade de inteligência de ameaças da organização.

O Que é a Inteligência de Ameaças?)

Inteligência de ameaças são dados que são coletados, processados e analisados para entender os motivos, alvos e comportamento de ataque de um ator de ameaças. As ameaças de inteligência permitem que as equipes de segurança tomem decisões de segurança mais rápidas, mais bem informadas e baseadas em dados e alterem seu comportamento de reativo para proativo na luta contra atores de ameaças.

Insights e dados dos feeds de inteligência de ameaças podem ser usados para:

• Bloquear fontes maliciosas conhecidas
• Apoiar a detecção de ameaças
• Priorizar alertas e orientar atividades de remediação
• Adicionar contexto durante uma investigação

Feeds de ameaças vs. feeds de inteligência de ameaças

Feeds de ameaças e feeds de inteligência de ameaças são fluxos de dados em tempo real que coletam informações de risco cibernético ou ciberameaça. No entanto, a principal diferença entre os dois é o contexto.

Enquanto os feeds de ameaças simplesmente coletam grandes volumes de dados e os disponibilizam para equipes de segurança por meio de um relatório ou visualização ao vivo do conjunto de dados, um feed de inteligência de ameaças fornece indicadores de comprometimento — uma parte da informação forense digital que sugere que um arquivo, sistema ou rede pode ter sido violado — com contexto relevante. Isso ajuda as equipes a se concentrarem nos problemas e alertas mais urgentes.

O contexto é extremamente importante para as equipes de TI modernas. Muitas delas, inclusive, estão sobrecarregadas e com falta de pessoal, além de não terem tempo suficiente para gerenciar e revisar vários feeds de dados. Usar tecnologia, incluindo agregação e análise de dados (IA ML), para analisar dados brutos de feed, desduplicar e fornecer contexto em torno das descobertas ajuda a tornar os dados mais acionáveis e, portanto, mais úteis.

Feeds de inteligência de código aberto vs. feeds de inteligência pagos

Os feeds de inteligência de ameaças são geralmente categorizados de duas maneiras:

1. Feeds de inteligência gratuitos e de código aberto
2. Serviços pagos de terceiros

Os feeds de ameaças gratuitos geralmente são baseados em dados de código aberto e mantidos por membros de uma comunidade on-line. Muitos feeds de ameaças de código abertos são especializados em um tipo específico de atividade de ameaça, como URLs de malware ou endereços IP de spam. Alguns dos feeds de inteligência de ameaças de código aberto mais populares incluem:

• URLhaus: coleta, rastreia e compartilha URLs de malware
• Spamhaus Project: rastreia spammers de e-mail e atividades relacionadas a spam
• FBI InfraGard: uma parceria entre o FBI e empresas do setor privado para proteger a infraestrutura crítica dos EUA

Feeds de ameaças pagos também podem aproveitar dados de código aberto. No entanto, eles também tendem a coletar dados de fontes fechadas, agregar vários feeds de código abertos em um único fluxo ou executar seu próprio feed baseado em análises.

Não importa se sua organização depende de feeds de inteligência de ameaças gratuitos ou pagos, lembre-se de que mais dados não necessariamente fornecem uma maior segurança. Na verdade, ter mais dados (ou seja, vários feeds) pode reduzir a postura de segurança da organização, fornecendo à equipe uma quantidade enorme de informações que podem resultar em fadiga, alertas perdidos ou falha em reconhecer uma ameaça real.

Além disso, a organização deve entender que nem todos os feeds de ameaças são confiáveis ou oportunos. As empresas devem considerar quem possui e coleta os dados, e avaliar quão preciso, completo e confiável é o conjunto de dados. Também é importante considerar que o ator de ameaças terá acesso a muitos feeds de inteligência de ameaças, especialmente feeds de código abertos. Alguns atores enviarão propositalmente dados ruins como medida de contra-espionagem, enquanto outros monitoram os feeds para se manterem à frente das equipes de cibersegurança.

Por fim, com feeds de inteligência de ameaças pagos e gratuitos, é extremamente importante garantir que a equipe de TI conheça o contexto adequado em relação aos dados produzidos para ajudar a reconhecer e agir com base em insights importantes.

Benefícios dos feeds de inteligência de ameaças

Os feeds de inteligência de ameaças fornecem aos profissionais de segurança visibilidade externa sobre fontes maliciosas conhecidas. Esses dados podem ser usados para informar esforços de detecção e prevenção de eventos, bem como resposta e remediação de eventos.

O uso eficaz de feeds de inteligência de ameaças oferece muitos benefícios importantes para a organização, incluindo:

• Maior eficiência e melhor alocação de recursos: ao automatizar a coleta de dados, formatação, análise e disseminação, a equipe de TI pode ser realocada para se concentrar em atividades de maior valor. Além disso, como o feed de inteligência de ameaças fornece um contexto valioso sobre os dados coletados, as equipes de TI podem priorizar atividades e concentrar recursos limitados nas necessidades mais urgentes.
• Medidas de segurança proativas aprimoradas: embora os dados de ameaças por si só não melhorem necessariamente a postura de segurança, a combinação de inteligência com mapeamento de detecção e controle pode ajudar a organização a se preparar melhor e prevenir eventos de segurança. Isso pode ser alcançado por meio de medidas de segurança direcionadas para lidar com ameaças específicas, bem como o fortalecimento geral das defesas com base em insights revelados por dados dos feeds de inteligência de ameaças.
• Maior velocidade: os feeds de inteligência de ameaças fornecem acesso aos dados e insights mais recentes em tempo real. Isso é especialmente importante devido à rapidez e à frequência com que o cenário de segurança muda. O acesso à inteligência de ameaças correta, combinado com uma infraestrutura de segurança robusta e um conjunto de ferramentas, pode ajudar as empresas a ficar um passo à frente dos adversários.

Como os feeds de inteligência de ameaças coletam dados

Os feeds de inteligência de ameaças funcionam como muitos outros feeds de dados. O sistema é programado para receber, armazenar, desduplicar e preparar automaticamente dados que correspondam a certas qualidades de uma fonte pré-determinada. Em muitos casos, as equipes de segurança usam dados de uma plataforma de inteligência de ameaças (TIP) para coordenar essa atividade.

O processo geral é o seguinte:

1. Definir os requisitos de dados.

Esta é a etapa de planejamento, em que uma organização descreve suas metas e objetivos com relação aos dados de inteligência de ameaças. Os requisitos variam de acordo com a forma como os dados serão usados, bem como as ameaças específicas que a organização enfrenta e as técnicas de ataque mais comuns usadas pelos adversários conhecidos.

2. Automatizar a coleta de dados.

A maioria dos sistemas de inteligência de ameaças começa coletando dados brutos de fontes externas, como fabricantes de segurança, comunidades, bancos de dados nacionais de vulnerabilidade ou feeds de fontes abertas. O fabricante da solução de segurança pode agregar dados de toda a sua base de usuários e incorporar o feed de inteligência resultante em suas soluções para o benefício de seus clientes ou disponibilizar os feeds como um produto separado. Outras fontes incluem feeds específicos do setor, “círculos de confiança” de profissionais de cibersegurança e fóruns da dark web. Os rastreadores Web também podem ser usados para pesquisar a Internet em busca de exploits e ataques.

3. Converter dados e os preparar para análise.

Dados brutos são convertidos em formatos que podem ser analisados. Isso envolve descriptografar arquivos, traduzir conteúdo estrangeiro, organizar pontos de dados em planilhas e avaliar dados quanto à confiabilidade e relevância.

4. Analisar dados.

Nesta etapa, os dados brutos são transformados em inteligência acionável que é usada para desenvolver planos de ação de acordo com as decisões tomadas na fase de “requisitos”. As informações finais são agrupadas em diferentes relatórios e avaliações específicos para cada público:

• A inteligência estratégica é destinada a planejadores de segurança sênior e se concentra em tendências amplas para planejar investimentos em segurança e políticas.
• A inteligência tática se concentra em indicadores de comprometimento (IOCs) e é usada para acelerar a identificação e a eliminação de uma possível ameaça. A inteligência tática de ameaças é a gerada com mais facilidade e é normalmente automatizada.
• A inteligência operacional examina os aspectos do "quem", "o que" e "como" um ciber ataque com o objetivo de compreender as táticas, motivos e nível de habilidade do ator mal-intencionado para que a postura defensiva adequada possa ser estabelecida antes do próximo ataque ou um ataque semelhante.

5. Disseminar dados.

Os resultados da análise são traduzidos em recomendações adaptadas para públicos específicos e apresentadas às partes interessadas. Nesta etapa, é importante evitar jargões técnicos e ser conciso. Um relatório de uma única página ou um pequeno conjunto de slides são os melhores formatos para apresentação.

6. Estabelecer um ciclo de feedback.

Como o cenário de ameaças está sempre evoluindo, é necessário estabelecer um ciclo de feedback contínuo. Nesta etapa, busque feedback das partes interessadas sobre a relevância dos relatórios fornecidos e meça a eficácia dos controles técnicos implementados. Este ciclo de feedback pode ser usado para ajustar a seleção das origens de inteligência de ameaças externas, bem como priorizar insights recém-produzidos com base no contexto.

Tornando os feeds de inteligência da ciberameaça acionáveis

Para que os feeds de inteligência de ameaças sejam acionáveis, eles devem ser equipados com o contexto adequado para ajudar as equipes de segurança a revisar, priorizar e agir rapidamente com base nas informações contidas no relatório. Esses feeds também devem ser integrados a outras ferramentas e plataformas de segurança para garantir que os dados sejam efetivamente aproveitados em toda a organização de forma coordenada.

Organizações com capacidades avançadas de segurança podem automatizar respostas a alguns alertas produzidos por dados do feed de inteligência. Isso não apenas melhora a velocidade com que a organização age, mas também libera a equipe de TI para se concentrar em atividades de maior valor ou questões mais complexas.

Embora os feeds de inteligência de ameaças desempenhem um papel importante na manutenção da postura de segurança da organização, as empresas devem monitorar e confirmar rotineiramente a confiabilidade dos dados contidos nos feeds. Para tornar os feeds de inteligência de ameaças realmente acionáveis, é fundamental conhecer o processo, as origens e o contexto de todos os dados no feed.

Como em qualquer sistema baseado em dados, o conceito de Bad-In = Bad-Out se aplica à inteligência de ameaças. Infelizmente, no caso de inteligência de ameaças, as consequências de confiar em dados incompletos, imprecisos ou não confiáveis para tomar decisões relacionadas à segurança podem ser realmente devastadoras.

Implementação

Conforme observado acima, a maioria das organizações utiliza uma plataforma de inteligência de ameaças ou SIEM (sistemas de gerenciamento e visualização de eventos de segurança) para automatizar a coleta, agregação e reconciliação de dados de ameaças externas. As ferramentas SIEM também estabelecem a plataforma digital que as equipes de segurança podem usar para monitorar e revisar os insights de ameaças mais recentes. A manutenção de ferramentas SIEM ou TIP pode ser muito trabalhosa, e a integração pode ser demorada.

Inteligência de ameaças com a CrowdStrike

A CrowdStrike é líder de mercado no fornecimento de inteligência acionável para equipes de segurança. O CrowdStrike Security Cloud correlaciona trilhões de eventos de segurança coletados todos os dias de milhões de endpoints e workloads da nuvem ao redor do mundo. Usando uma combinação de inteligência artificial e análise humana orientada por especialistas, milhões de IOCs em tempo real e milhares de relatórios de inteligência são entregues aos nossos clientes anualmente.

Nosso premiado módulo de inteligência de ameaças, CrowdStrike Adversary Intelligence, fornece IOCs enriquecidos com contexto, relatórios de ameaças, sandbox de malware, atribuição e repositório de malware pesquisável, fornecendo insights acionáveis sobre o principal ator de ameaças, vetores de ataque e tendências de inteligência de ameaças. A CrowdStrike também oferece integrações pré-criadas e integrações de API com fabricantes líderes do setor de TIP, como ThreatQuotient, ThreatConnect e Anomali. Usuários também podem baixar e filtrar os indicadores diretamente da plataforma usando uma exportação de CSV ou API.

Interessado em como nossos clientes aproveitam a CrowdStrike para atingir seus objetivos de inteligência? Visite nossa página do CrowdStrike Adversary Intelligence e da plataforma Falcon para ver tudo o que temos a oferecer.