CAPÍTULO 6
Proteja a sua rede contra intrusos com a inteligência contra ameaças.
As organizações fazem um esforço para incorporar e continuar mantendo atualizadas as medidas de segurança para se defenderem contra o crescente número de ataques cibernéticos. No entanto, estar à frente das ameaças cibernéticas é um desafio. Os hackers são peritos em explorar brechas de segurança e lançar ataques direcionados às organizações. É por isso que as organizações precisam de uma estratégia de segurança robusta para combater ataques cibernéticos não estruturados e sofisticados.
A inteligência contra ameaças é um aspecto da segurança que ajuda os profissionais de segurança a tomar decisões conscientes, fornecendo o contexto das atividades da rede.
O que é a inteligência contra ameaças?
A inteligência contra ameaças é o conhecimento contextual sobre fontes maliciosas, sendo utilizada para identificar e prevenir ataques e ameaças com base em evidências históricas. As organizações usam feeds de ameaça de código aberto disponíveis no formato STIX/TAXII ou feeds de ameaça de origem de fornecedores terceirizados para detectar possíveis ataques em sua rede. Estes feeds de ameaças adicionam contexto de negócio às conclusões dos dados de log e permitem, dessa forma, que os administradores de segurança rastreiem ataques direcionados e sofisticados com rapidez.
A importância de empregar um mecanismo de inteligência contra ameaças.
As organizações precisam manter-se atualizadas sobre os vetores de ataque mais recentes ou haverá um enfraquecimento do seu comportamento de segurança. A inteligência contra ameaças adiciona informações contextuais aos dados de log para que as ameaças possam ser detectadas com precisão. Além disso, os dados dinâmicos do feed de ameaças ajudam as empresas a se defenderem contra ataques futuros.
A inteligência contra ameaças ajuda a proteger a rede, alertando os administradores sobre anomalias e desencadeando ações corretivas imediatas para atenuar o impacto dos ataques.
Inteligência contra ameaças e feeds de ameaças.
As organizações integram dados de feeds de ameaças aos seus sistemas de segurança para identificar diferentes fontes mal-intencionadas ou que possam representar uma ameaça. Os feeds de ameaças associam-se à atividade da rede para detectar atividades suspeitas, ameaças e/ou explorações.
Tipos de inteligência contra ameaças.
A inteligência contra ameaças é classificada em:
- Estratégica
Proporciona uma visão abrangente do contexto da ameaça, isto é, uma perspectiva de como as ameaças e os ataques mudaram ao longo do tempo. Identifica tendências históricas, padrões de ataques e como os ataques são realizados. Conhecer a fonte e o motivo de um ataque é importante, pois fornece informações sobre a possível linha de ação que o invasor seguirá no futuro.
A inteligência estratégica contra ameaças fornece informações-chave, como as características da intrusão ou ataque; a localização geográfica/o setor alvo; e estatísticas sobre violações, malware e roubo de informações.
- Operacional
Define a natureza e a finalidade do ataque, ou seja, fornece informações sobre os recursos do invasor. Ao fornecer contexto para incidentes e eventos de segurança, a inteligência operacional ajuda os administradores a descobrir riscos potenciais, compreender as metodologias dos invasores e conduzir uma investigação completa dos incidentes.
- Tática
A inteligência tática descreve os indicadores associados ao ataque de forma detalhada. Ela fornece informações sobre as técnicas, ferramentas e táticas de um invasor. Esta é a forma mais básica de inteligência contra ameaças e é frequentemente utilizada para a detecção de ameaças entre máquinas.
- Técnica
As informações técnicas fornecem informações sobre malware e campanhas (feeds de ameaças). Elas dão ao administrador uma ideia do que procurar, facilitando a análise de um incidente. Seu foco primário são as pistas técnicas de um ataque, tais como linhas de assunto em mensagens de e-mail de phishing ou URLs fraudulentos.