Plataformas de inteligência de ameaças

O que é uma plataforma de inteligência de ameaças?

Uma plataforma de inteligência de ameaças automatiza a coleta, agregação e conciliação de dados externos sobre ameaças, fornecendo às equipes de segurança as informações mais recentes sobre ameaças para reduzir os riscos relevantes para sua organização.

A inteligência de ameaças é um ingrediente chave para os defensores da cibersegurança que permitem a tomada de decisões pré e pós-incidente. Hoje, as equipes de cibersegurança não carecem de fonte ou saídas de inteligência de ameaças. Pense em dezenas de artigos de notícias, centenas de feeds de indicadores de código abertos e gratuitas, listas de comunidades do setor (ISACs) ou inteligência de ameaças fornecidas por fabricantes e você verá rapidamente como os profissionais estão ficando sobrecarregados com inteligência. Os consumidores, obviamente, ficam se perguntando quais dados são confiáveis, se há alguma sobreposição e como traduzir todos esses dados em informações diretamente consumíveis para os controles ou durante os fluxos de trabalho?

Funções que usam plataformas de inteligência de ameaças

Um dos principais benefícios de usar uma plataforma de inteligência de ameaças é que ela facilita o compartilhamento de informações sobre ameaças externas em toda a organização, tanto para partes interessadas técnicas quanto não técnicas. Isso é feito por meio de fluxos de trabalho automatizados, integração e enriquecimento contínuo dos dados coletados.

Algumas das funções organizacionais e casos de uso envolvidos com inteligência de ameaças são:

Analista de segurança e analista de TI

Usa inteligência de ameaças para otimizar capacidades de prevenção e detecção e desenvolver defesas mais fortes.

Casos de uso do analista

• Integra feeds de inteligência de ameaças com outros produtos de segurança
• Bloqueia IPs, URLs, domínios, arquivos mal-intencionados e muito mais

Centro de Operações de Segurança (SOC)

Prioriza a resposta a incidentes com base no risco e impacto para a organização.

Casos de uso do SOC

• Usa informações sobre ameaças para enriquecer alertas
• Vincula alertas a incidentes
• Reduz falsos positivos e alerta a fadiga 

Acelera a investigação, o gerenciamento e a priorização de um evento de segurança.

Casos de uso da CSIRT

• Busca informações sobre os motivos, atribuições e técnicas, táticas e procedimentos (TTPs) de um incidente
• Analisa a causa raiz para determinar o escopo de um incidente

Analista de inteligência

Descobre e rastreia atividades de ameaças que desejam atacar a organização, obtendo uma melhor compreensão dos aspectos relevantes do cenário atual de ameaças e realizando análises avançadas para entender rapidamente o contexto organizacional de alertas quanto a atores conhecidos, campanhas, incidentes, malware, assinaturas, TTPs e vulnerabilidades.

Casos de uso de analistas de inteligência

• Agrega dados estruturados e não estruturados (relatórios) relacionados a atores de ameaças para aprender a detectá-los com mais eficácia
• Ativa triagem de alertas e resposta a incidentes
• Direciona priorização de correção de vulnerabilidades

Gestão executiva

Entenda os riscos que a organização enfrenta e as opções para lidar com seu impacto.

Casos de uso de gestão executiva

• Avalia o nível global de ameaça da organização
• Desenvolve um roteiro de segurança

Como funciona a plataforma de inteligência de ameaças

Plataformas de inteligência de ameaças coletam automaticamente dados de várias fontes externas e os organiza em formatos que podem ser analisados e empacotados para consumo humano ou por máquina.

No entanto, as ameaças estão sempre evoluindo, e as organizações precisam se adaptar rapidamente se quiserem tomar ações decisivas. Um framework ajuda as equipes de segurança a otimizar os recursos e a se manterem atualizadas sobre o cenário de ameaças. O ciclo de vida da inteligência de ameaças é um framework de seis etapas que ajuda a organização a atingir esses objetivos:

1. Requisitos

Esta é a etapa de planejamento, na qual uma organização toma decisões sobre os consumidores e os resultados desejados da inteligência produzida. Por exemplo, é a inteligência necessária para detecção específica, resposta pós-incidente ou para compreender as ameaças mais relevantes à superfície de ataque da organização.  Para organizar os requisitos, é importante começar com os possíveis tipos de ameaças à segurança que têm maior probabilidade de serem importantes, como atores mal-intencionados que provavelmente querem atacar a organização, quais são as táticas mais comuns e quem deve ser informado.

2. Coleta

TIPs normalmente começam coletando dados brutos de fora da organização, como fabricantes de segurança, comunidades, bancos de dados nacionais de vulnerabilidades ou feeds de código abertos. O fabricante da solução de segurança pode agregar dados de toda a sua base de usuários e incorporar o feed de inteligência resultante em suas soluções para o benefício de seus clientes ou disponibilizar os feeds como um produto separado. Feeds específicos do setor, “círculos de confiança” de profissionais de cibersegurança e fóruns da dark web são outras fontes. Feeds de código abertos estão disponíveis em muitos lugares, incluindo a Cybersecurity & Infrastructure Security Agency (CISA), a SANS e o Google, enquanto rastreadores da Web podem ser usados para pesquisar na Internet em busca de exploits e ataques.

3. Processamento

Dados brutos são convertidos em formatos que podem ser analisados. Isso envolve descriptografar arquivos, traduzir conteúdo estrangeiro, organizar pontos de dados em planilhas e avaliar dados quanto à confiabilidade e relevância.

4. Análise

Nesta etapa, os dados brutos são transformados em inteligência acionável que é usada para desenvolver planos de ação de acordo com as decisões tomadas na fase de “requisitos”. Os insights finais são agrupados em diferentes tipos de relatórios e avaliações para consumo por diferentes tipos de públicos:

• A inteligência estratégica é destinada a planejadores de segurança sênior e se concentra em tendências amplas para planejar investimentos em segurança e políticas.
• A inteligência tática foca em indicadores de comprometimento (IOCs) e é usada para acelerar a identificação e eliminação de uma possível ameaça. A inteligência tática de ameaças é a mais facilmente gerada e costuma ser automatizada.
• A inteligência operacional examina os aspectos do "quem", "o que" e "como" um ciber ataque com o objetivo de compreender as táticas, motivos e nível de habilidade dos atores mal-intencionado. Isso permite definir a postura defensiva adequada, antecipando-se a futuros ataques ou a ameaças semelhantes.

5. Disseminação

Os resultados da análise são traduzidos em recomendações adaptadas para públicos específicos e apresentadas às partes interessadas. Nesta etapa, é importante evitar jargões técnicos e ser conciso. Um relatório de uma única página ou um pequeno conjunto de slides são os melhores formatos para apresentação. 

6. Feedback

Como o cenário de ameaças está sempre evoluindo, é necessário estabelecer um ciclo de feedback contínuo. Nesta etapa, busque feedback das partes interessadas sobre a relevância dos relatórios fornecidos e meça a eficácia dos controles técnicos implementados. Este ciclo de feedback pode ser usado para ajustar a seleção das origens de inteligência de ameaças externas, bem como priorizar insights recém-produzidos com base no contexto.

Principais funcionalidades da plataforma de inteligência de ameaças

A plataforma de inteligência de ameaças baseada apenas no indicador não é uma ferramenta de segurança adequada no sofisticado ambiente de ameaças de hoje. Os adversários alteram frequentemente suas táticas, e os indicadores coletados não expõem os motivos ou a sofisticação do ator. Procure uma solução que integre múltiplas formas de inteligência de ameaças e permita que os usuários naveguem e distribuam os dados. Plataformas de inteligência de ameaças devem consolidar e desduplicar indicadores de múltiplas fontes. No entanto, é o enriquecimento de táticas de ataque e atores que fornece às equipes de operações de segurança orientação sobre o que fazer a seguir.  Além disso, a identificação de novas campanhas de ataque deve ser automatizada e integrada com uma ampla gama de controles ou ferramentas de detecção, como análises de segurança (SIEM, NBA), detecção e resposta de endpoint (EDR), firewall de última geração (NGFW), ferramentas de gerenciamento de vulnerabilidades e ativos e fluxos de trabalho de respostas a incidentes.

Como a CrowdStrike oferece suporte às plataformas de inteligência de ameaças (TIPs)

A CrowdStrike apoia as plataformas de inteligência de ameaças, oferecendo integrações pré-criadas e acesso de API ao nosso premiado módulo de inteligência de ameaças, o CrowdStrike CROWDSTRIKE FALCON® INTELLIGENCE™. O CrowdStrike Falcon® Intelligence fornece IOCs enriquecidos com contexto, relatórios de ameaças, sandbox de malware, atribuição e repositório de malware pesquisável. A CrowdStrike também oferece integrações com fabricantes TIP líderes do setor, como ThreatQuotient, ThreatConnect e Anomali, proporcionando insights acionáveis sobre os principais atores de ameaças, vetores de ataque e tendências de inteligência de ameaças.

Vale ressaltar que uma TIP é apenas uma solução para atingir os casos de uso discutidos anteriormente neste artigo. O CrowdStrike Security Cloud correlaciona trilhões de eventos de segurança coletados diariamente de milhões de endpoints e workloads na nuvem ao redor do mundo. Usando uma combinação de inteligência artificial e análise humana orientada por especialistas, milhões de IOCs em tempo real e milhares de relatórios de inteligência são entregues aos nossos clientes anualmente. Isso permite que os clientes CrowdStrike executem muitos dos casos de uso de TIP listados acima sem a necessidade de implementar uma nova infraestrutura ou projetar novos fluxos de trabalho. 

Ficou interessado em como nossos clientes aproveitam todo o potencial da CrowdStrike para atingir seus objetivos de inteligência? Visite nossa página CrowdStrike Adversary Intelligence e a plataforma Falcon para ver tudo o que temos a oferecer.