• Importância da Boa Inteligência de Ameaças

    Publicado em 20-05-2015 12:00
    2 Comentários Comentários
    As ameaças cibernéticas contra as muitas organizações pelo mundo todo continuam a evoluir, em parte, no que diz respeito às motivações que existem por trás dos ataques, e em parte devido ao aumento da sofisticação dos próprios ataques. E todos nós temos percebido que as motivações por trás desses ataques só aumentam no decorrer dos últimos anos, com as práticas de extorsão, o vandalismo, o hacktivismo ideológico, o roubo de dados e as fraudes financeiras. Todos regularmente estampados nas notícias. No lado técnico das coisas, kits de ferramentas e técnicas de ofuscação estão prontamente disponíveis, por um preço bastante acessível, a partir das comunidades cybercriminosas. E é claro que existem muitos atacantes associados a estatais, e estas últimas que possuem recursos significativos por trás deles para desenvolver e utilizar novas ferramentas e exploits.



    Priorizando Eventos de Maior Risco

    Portanto, proteger as nossas organizações contra essas ameaças exige, na maioria dos casos, alavancar a visibilidade e o conhecimento disponível fora das nossas organizações para ganhar inteligência sobre as ameaças que enfrentamos diariamente. Inteligência de ameaças é um pouco de uma "buzzword" na indústria de segurança, e nossos fornecedores de equipamentos, parceiros e outras equipes de pesquisa de segurança, todos têm os seus próprios feeds. Em primeiro lugar, é preciso ter uma visão ampla sobre a necessidade de ter uma boa inteligência de ameaças. As unidades de inteligência de ameaças, pelo menos, se não tiverem algumas das capacidades de detecção em muitos de nossos controles preventivos (por exemplo, sistemas de detecção de intrusão) e sem uma "alimentação" regularmente atualizada de inteligência, tem a sua eficácia bastante reduzida. Além do mais, a questão da fidelidade dessa inteligência também é muito importante. Minimizando falsos positivos e falsos negativos e fornecendo um contexto em torno de eventos detectados, certamente são questões que pode nos ajudar a maximizar a eficácia dos nossos recursos de segurança - permitindo que haja maior atenção e tempo para eventos de risco mais altos ou prioritários.

    Em segundo lugar, o que torna boa a inteligência de ameaças, é que seja atingido o ideal: precisamos da inteligência que estamos usando para que esta seja válida, relevante e oportuna. Informações de inteligência são geradas de muitas maneiras diferentes que vão desde a análise de malware através da monitorização do tráfego, ou comentário sobre a implantação de cliente a partir de fornecedores de soluções, e todas elas são válidas. Para os indicadores de compromisso baseados em rede (IOCs), toda e qualquer informação fornecida deve ser tão granular quanto possível. No mínimo, precisamos de IP, protocolo e número de porta, mas de forma ideal, também precisamos de nomes de domínios e URLs, pois quanto mais granular forem os dados, menos chances de falsos positivos ou negativos haverá.


    Formas de Apresentação da Inteligência de Ameaças

    Além de tudo, a forma como esta inteligência é apresentada também faz muita diferença para a sua utilidade. Um elemento individual de inteligência pode ser amarrado a uma amostra de malware específica, mas o que é ainda mais útil é a compreensão de como o malware pode se relacionar com as campanhas de ataque em curso. Esse contexto pode ajudar nossas equipes de operações de segurança a determinar se um evento deverá ser transferido para o topo da fila, para que seja feita a investigação necessária. Ter algum conceito de "confiança" em torno da inteligência que usamos também pode ser muito útil aqui, porque nós podemos ajustar nossas tecnologias de detecção de utilização de ameaças ou sensibilidade, com maior ou menor confiança e inteligência. Tudo isso baseado em torno do que temos percebido atualmente.

    Então, de onde a boa inteligência de ameaças surge? Bem, antes de qualquer coisa devemos adquiri-la a partir de múltiplas fontes, que têm capacidades de visibilidade e de investigação, e que são relevantes para o nosso negócio. Organizações de segurança espacial, muitas vezes, têm equipes de pesquisa que produzem inteligência com base na análise do que eles vêem - e 'o que eles vêem' se torna muito importante. Portanto, se uma organização tiver um bom nível de visibilidade em um espaço particular, e que corresponda às nossas necessidades, a inteligência de ameaças que eles produzem será extremamente útil para nós. E é por isso que as equipes específicas do CERT regionais e da indústria podem ser boas fontes, bem como fornecedores e empresas de segurança especializadas. Outras organizações, como a RedSky Alliance, existem para disponibilizar grupos de usuários controlados que facilitam o compartilhamento de informações entre as organizações, sem os riscos associados à divulgação pública. Ressaltando que a inteligência de ameaças é extremamente importante na luta contra as ameaças atuais. O tempo é uma moeda que temos para gastar com total sabedoria, e isso vale para a maioria das organizações de segurança. Dessa forma, precisamos maximizar a eficácia dos nossos recursos de segurança para que eles possam proteger nossos negócios para a sua melhor capacidade. Para fazer isso dar certo, existe a necessidade de minimizar falsos positivos e precisamos também oferecer o contexto em torno de eventos detectados, em uma combinação de tempo disponível, concentração e tirar vantagem a partir disso.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=2291&p=2
    Comentários 2 Comentários
    1. Avatar de Genis
      Genis - 21-05-2015, 07:49
      materia muito boa, esta de parabens.
    1. Avatar de lemke
      lemke - 21-05-2015, 17:15
      Citação Postado originalmente por Genis Ver Post
      materia muito boa, esta de parabens.
      Genis,

      Ficamos feliz com sua visita e comentário.

      Sds,

      Camilla
    + Enviar Comentário