Entenda por que a inteligência de ameaças é necessária

Compartilhar

Por Derek Manky, estrategista de segurança global da Fortinet

O compartilhamento de informações é um dos elementos mais importantes de qualquer estratégia de segurança. A possibilidade de comparar e analisar o dispositivo ou a rede que você está tentando proteger levando-se em conta as ameaças atualmente ativas é um recurso inestimável para implementar os recursos e as medidas apropriados para eliminar o alvo.

A meta é ir além do bloqueio de um ataque antes de atingir a rede e impedir que chegue ao objetivo final. Isso significa que sua estratégia de segurança também deve incluir a visualização e a interrupção de um ataque em qualquer momento da estrutura do ataque, desde a exploração inicial do sistema, passando pela penetração na rede, até a extração final dos dados. A inteligência também deve fornecer informações e contexto sobre as metodologias de ataque, como as ferramentas usadas para encobrir uma invasão, como um ataque se esconde no tráfego da rede ou evita a detecção, os tipos de dados que estão sendo roubados ou malware implementado e como um ataque se comunica com seu controlador. Por fim, a inteligência de ameaças precisa ser utilizada para responder a um ataque, seja para fornecer análise de investigações para uma recuperação completa ou para atribuir e processar os invasores.

Tipos de inteligência de ameaça

Para usar este tipo de inteligência, as organizações devem acessar várias fontes de inteligência de ameaças, que incluem:

1. Inteligência viabilizada compartilhada pelos fabricantes: Este é o tipo mais comum de inteligência de ameaças, na maioria das vezes obtida nas atualizações de segurança periódicas dos fabricantes, geralmente na forma de assinatura que pode detectar uma ameaça conhecida. Por exemplo, o Fortinet FortiGuard fornece análise e detecção de inteligência de ameaças para ficar à frente do cenário de ataque em rápida expansão.

2. Inteligência coletada de dispositivos e sistemas locais: Estabelecer uma linha básica do que seria o comportamento normal da rede permite determinar se alguma parte da rede está se comportando de maneira inadequada. Picos de dados, um dispositivo tentando entrar em contato com dispositivos com os quais não se comunica normalmente, aplicativos desconhecidos ou não reconhecidos em execução na rede ou dados coletados e armazenados em um local improvável são formas de inteligência local que podem ser usadas para identificar um ataque e quais dispositivos foram afetados.

3. Inteligência coletada de dispositivos e sistemas distribuídos: Esse tipo de inteligência pode ser coletado de outras partes da rede. Com a expansão das redes, novas oportunidades são criadas para a infiltração de ameaças na rede. Porém, como ambientes de rede diferentes, como redes virtuais ou ambientes de nuvem pública, geralmente executam ferramentas de segurança e rede separadas e geralmente isoladas, é essencial configurar um processo para a coleta centralizada e a correlação desses diferentes segmentos de inteligência.

4. Inteligência coletada de feeds de ameaças: A assinatura de feeds de ameaças públicos ou comerciais permite que as organizações aprimorem os dados coletados de seu próprio ambiente com informações em tempo real recebidas de uma atividade regional ou global. Muitos desses feeds podem fornecer inteligência específica desenvolvida para uma infraestrutura de segurança em particular. O Threat Intelligence Service (TIS) da Fortinet, por exemplo, adiciona informações de segurança personalizadas no Security Fabric, que fornece informações sobre o atual cenário global de ameaças e conecta essa inteligência ao ambiente de segurança específico de uma organização para determinar melhor como priorizar os recursos de segurança para enfrentar essas ameaças.

5. Inteligência compartilhada entre organizações do setor: Existem vários grupos que compartilham inteligência de ameaças, incluindo os ISACs (Centros de Compartilhamento e Análise de Informações) e os ISAOs (Organizações de Compartilhamento e Análise de Informações), que compartilham inteligência de ameaças entre organizações do mesmo setor, mercado vertical ou região geográfica. Essa inteligência é muito útil para analisar tendências e ameaças que afetam organizações do mesmo setor e que podem afetar a sua organização também.

6. Transferência de inteligência: Para que a inteligência de segurança seja eficaz, as organizações precisam de ferramentas que operem com os protocolos STIX e TAXII, que são a parte central do fornecimento desses feeds. O protocolo STIX pode ser usado com feeds brutos e personalizados e o protocolo TAXII atua como a camada de transporte.

7. Inteligência compartilhada entre fornecedores de soluções de segurança: O público nunca vê os compartilhamentos mais importantes de inteligência de ameaças. Como membro fundador da Cyber Threat Alliance (CTA), a Fortinet e outras organizações compartilham sua inteligência, seu conhecimento humano e suas estratégias para aumentar o nível de segurança. Embora não pareça intuitivo, esse esforço cooperativo é um testemunho da importância de compartilhar inteligência de ameaças. Essas organizações entendem que a oportunidade de reduzir o número de ameaças que colocam todos em risco é mais valiosa do que qualquer vantagem de manter esses dados somente para uso próprio.

A adoção de um processo eficaz de coleta e compartilhamento de inteligência de ameaças é um componente essencial de uma estratégia de cibersegurança; é tão importante quanto o firewall que você instalou na borda da rede ou a solução de segurança de dispositivos de usuários que você instalou nos computadores da sua empresa. Embora a inteligência seja importante, assim como o compartilhamento de ameaças, o acesso à inteligência viabilizada em tempo real ainda é essencial, aumentando o nível da inteligência de ameaças dessa maneira e compreendendo as ameaças tanto da sua rede distribuída quanto das fontes e pontos de vista de inteligência global. Porque compartilhar sua própria inteligência de ameaças com os outros aumenta a segurança de todos.