Compartilhamento de inteligência contra ameaças | Anomali

Compartilhamento de inteligência contra ameaças

Arma secreta de segurança cibernética

Quem está compartilhando?

Há muitas formas de obter valor com a inteligência contra ameaças, seja por meio de uma plataforma completa de inteligência contra ameaças, da ingestão de feeds de ameaças, ou simplesmente utilizando recursos de inteligência contra ameaças encontrados em ferramentas de segurança comuns. Uma das formas menos usadas de se beneficiar com a inteligência contra ameaças é compartilhar essas informações com outros grupos. Isso ajuda a reduzir o tempo de resposta a eventos e a adotar medidas preventivas.

Iniciativas voltadas para o setor e lideradas pelo governo levaram a um grande aumento do compartilhamento de inteligência contra ameaças entre governos, organizações privadas e setores. Algumas incluem:

Organizações de compartilhamento

Que tipos de compartilhamento existem?

Há dois tipos de compartilhamento, definidos com base em quem compartilha a informação.

Compartilhamento unidirecional de inteligência contra ameaças – Uma entidade produz e compartilha inteligência contra ameaças que é consumida por outras pessoas, e aqueles que a consomem não contribuem de volta. Exemplos de compartilhamento unilateral de inteligência contra ameaças:

  • Inteligência aberta, que pode envolver a obtenção de um feed de inteligência aberta ou o download de um relatório disponível publicamente sobre um ataque recente, que contém os indicadores e métodos usados.
  • Feeds e relatórios fechados

Compartilhamento bidirecional de inteligência contra ameaças – A inteligência é enviada para ser consumida, mas também pode ser ingerida a partir das organizações membros. Embora o compartilhamento seja permitido e estimulado nesses programas, não há garantiras de que todas as organizações compartilharão algo.

Compartilhamento com analistas

Preocupações sobre o compartilhamento

Embora a inteligência contra ameaças seja inquestionavelmente valiosa, algumas preocupações comuns evitam que as empresas se envolvam no compartilhamento:

  • Preocupações de privacidade e responsabilidade – Essas preocupações podem ser resolvidas com um entendimento mais preciso sobre a inteligência de compartilhamento, as cláusulas de proteção de acordos legais, a legislação recente ou o cuidado com o que está sendo compartilhado.
    • Depurar dados de informações privadas ou informações corporativas confidenciais antes de compartilhá-las é uma boa ideia, independente do tipo de compartilhamento envolvido.
    • A Lei de compartilhamento de informações de segurança cibernética de 2015 (CISA) conta com disposições sobre preocupações relativas à privacidade e à responsabilidade. Algumas dessas proteções dependem do cumprimento de determinadas condições. Como sempre, recomenda-se obter orientação legal para entender como a CISA pode ser aplicada em situações específicas.
  • "Não há nada de valor com o que contribuir" – Nenhuma organização vê todos os ataques. Compartilhar detalhes que parecem irrelevantes pode ajudar na visibilidade e a produzir análises de inteligência com um número maior de fontes.
  • Falta de experiência – Mesmo que você não seja um profissional treinado, acrescentar qualquer contexto, detalhes de ataque observados e, se possível, análises desenvolvidas pelos membros da equipe é benéfico para a comunidade.
  • Medo de contar que uma empresa foi hackeada – O medo de compartilhar detalhes de violação com pessoas além das entidades estritamente necessárias é comum, mas pode ser remediado seguindo as melhores práticas de compartilhamento.

Como começar ou expandir o compartilhamento de inteligência

Caso sua empresa já compartilhe inteligência ativamente ou ainda não tenha começado a fazer isso, apresentamos algumas dicas de como começar ou formas de aprimorar o compartilhamento que já é feito:

  • Ferramentas e comunidades – Escolha as ferramentas e comunidades adequadas para compartilhar a inteligência contra ameaças. As opções possíveis são:
    • E-mail, que representa o ponto inicial mais fácil
    • Ferramentas como o Anomali STAXX, uma solução gratuita da Anomali que suporta os indicadores de compartilhamento por meio de STIX e TAXII
    • ISACs e outras organizações do setor, que costumam contar com mecanismos de compartilhamento
    • Compartilhamento ad hoc com entidades locais ou parceiros de outros setores
    • Os usuários do Anomali ThreatStream já contam com uma solução muito robusta para compartilhar indicadores e outro tipo de inteligência com outras organizações ou criar suas próprias comunidades de compartilhamento
  • Compartilhe e contribua – Compartilhar comportamentos observados dos inimigos, contexto adicional, ataques observados ou detalhes de respostas a incidentes é um ótimo começo. Não se preocupe se não houver muitas análises sobre o que foi compartilhado inicialmente.
  • Compartilhe fora do seu segmento – Busque oportunidades de compartilhar com empresas de outro setor, inclusive entidades localizadas, como centros de fusão. Como sempre, é essencial trabalhar em estreita colaboração com equipes jurídicas/advogados para redigir os acordos adequados para facilitar o compartilhamento entre as entidades.
  • Compartilhe técnicas de busca e defesa – Quanto mais compartilharmos, mais difícil será para os criminosos. Pense em compartilhar:
    • Detalhes de buscas de ameaças como pesquisas, registros específicos, etc.
    • Técnicas de defesa bem-sucedidas ou regras como YARA, assinaturas de snort, regras de Bro e scripts
  • Compartilhe detalhes sobre a violação – Divulgar detalhes sobre a violação com rapidez pode fazer a diferença para alguém que está sofrendo um ataque, pois poderá impedi-lo. Além disso, pode ser de grande ajuda em termos de inteligência adicional e respostas mais rápidas para os desafios de respostas a incidentes, graças aos recursos adicionais de outras empresas.

Compartilhamento é cuidado.

O guia definitivo para compartilhar inteligência contra ameaças

Deseja mais informações?

Faça download do whitepaper para saber mais sobre como compartilhar fora dos setores da indústria, como compartilhar informações direcionadas, etc.

Ler agora