Compartilhamento de inteligência contra ameaças
A arma secreta da cibersegurança
Quem está compartilhando a inteligência contra ameaças?
Existem muitas formas de obter valor com a inteligência contra ameaças, seja por meio de uma plataforma completa de inteligência contra ameaças, recebendo feeds de ameaças ou simplesmente utilizando recursos de inteligência contra ameaças encontrados em ferramentas de segurança comuns. Uma das formas menos adotadas de se beneficiar da inteligência contra ameaças é compartilhar essas informações com outros grupos, o que ajuda a reduzir o tempo de resposta a eventos e a adotar medidas preventivas.
Iniciativas voltadas para o setor e lideradas pelo governo levaram a um grande aumento do compartilhamento da inteligência contra ameaças entre governos, organizações privadas e setores. Alguns deles incluem:
Quais são os tipos de compartilhamento de inteligência contra ameaças?
Há dois tipos de compartilhamento, cada um definido por quem compartilha as informações.
Compartilhamento unidirecional de inteligência contra ameaças - Uma entidade produz e compartilha a inteligência contra ameaças que é consumida por outras pessoas, e aquelas que consomem a inteligência não contribuem de volta. Exemplos de compartilhamento unidirecional de inteligência contra ameaças incluem:
- A inteligência de código aberto, que pode envolver a obtenção de uma fonte aberta de feed de inteligência contra ameaças ou o download de um relatório disponível ao público sobre um ataque recente, que contém indicadores e métodos utilizados.
- Relatórios e feeds de fonte fechada
Compartilhamento bidirecional de inteligência contra ameaças - A inteligência é enviada para ser utilizada, mas também pode ser consumida por organizações membros. Embora o compartilhamento seja permitido e estimulado nesses programas, não há garantias de que as organizações compartilharão algo.
Preocupações com o compartilhamento da inteligência contra ameaças
Embora a inteligência contra ameaças seja inquestionavelmente valiosa, existem algumas preocupações comuns que impedem que as organizações se envolvam no compartilhamento:
- Preocupações com privacidade e responsabilidade – Elas podem ser superadas por meio do entendimento mais preciso de compartilhamento de inteligência, cláusulas de proteção em acordos legais, legislação recente ou cuidado com o que está sendo compartilhado.
- • Remover informações privadas ou corporativas confidenciais dos dados antes de compartilhá-las é uma boa ideia, independentemente do tipo de compartilhamento envolvido.
- A Lei de compartilhamento de informações de cibersegurança de 2015 (CISA) possui cláusulas que tratam das preocupações em relação à privacidade e à responsabilidade. Algumas dessas proteções dependem do cumprimento de determinadas condições. Como sempre, recomendamos uma assessoria jurídica adequada para entender como a CISA pode ser aplicada em situações específicas.
- "Não há nada de valor para contribuir" – Nenhuma organização vê todos os ataques. Compartilhar detalhes aparentemente irrelevantes pode ajudar na visibilidade e a produzir análises de inteligência mais completas.
- Falta de experiência – Mesmo que você não seja um profissional treinado, adicionar qualquer contexto, detalhes de ataque observados e, se possível, análises desenvolvidas por aqueles que estão na equipe ainda é benéfico para a comunidade.
- Medo de revelar que uma organização foi invadida – O medo de compartilhar os detalhes da violação com pessoas além das entidades estritamente necessárias é comum, mas pode ser remediado seguindo as melhores práticas de compartilhamento.
Etapas para iniciar o compartilhamento da inteligência contra ameaças
Se sua organização já compartilha informações ativamente ou se ainda não começou a fazê-lo, aqui estão algumas dicas de como começar ou formas de aprimorar o compartilhamento que já é feito:
- Ferramentas e comunidades – Escolha as ferramentas e comunidades apropriadas para compartilhar a inteligência contra ameaças. As possíveis opções são:
- E-mail, que é o ponto de partida mais fácil
- Ferramentas, como o Anomali STAXX, que é uma solução gratuita oferecida pela Anomali que suporta os indicadores de compartilhamento por meio de STIX e TAXII
- ISACs e outras organizações do setor, que normalmente possuem mecanismos de compartilhamento
- Compartilhamento ad hoc com entidades locais ou parceiros de outros setores
- Os usuários da Anomali ThreatStream já contam com uma solução muito robusta para compartilhar indicadores e outras inteligências com outras organizações ou criar suas próprias comunidades de compartilhamento
- Compartilhe e contribua – Compartilhar comportamentos observados nos adversários, contexto adicional, ataques vistos ou detalhes de respostas a incidentes é um ótimo começo. Não se preocupe se não houver muitas análises adicionadas sobre o que foi compartilhado inicialmente.
- Compartilhe fora do seu segmento – Procure oportunidades para compartilhar com organizações fora do seu segmento, incluindo entidades localizadas, como os Centros de Fusão. Como sempre, é essencial trabalhar em estreita colaboração com as equipes jurídicas/advogados para a elaboração de acordos apropriados que facilitem o compartilhamento entre as entidades.
- Compartilhe técnicas de busca e defesa – Quanto mais compartilhamos, mais difícil será para os criminosos. Considere compartilhar:
- Detalhes de busca de ameaças, como pesquisas, entradas de registro específicas etc.
- Técnicas ou regras de defesa bem-sucedidas, como regras YARA, assinaturas de snort, regras de Bro e scripts
- Compartilhe detalhes de violações – Divulgar rapidamente detalhes de violações pode fazer a diferença para alguém que está sendo violado, pois poderá ser capaz de impedi-lo rapidamente. Além disso, pode ser de grande ajuda em termos de inteligência adicional e respostas mais rápidas aos desafios de resposta a incidentes, graças aos recursos adicionais de outras organizações.
Compartilhar é cuidar.
Quer saber mais sobre o compartilhamento da inteligência contra ameaças?
Faça o download do whitepaper para saber mais sobre o compartilhamento fora dos setores da indústria, compartilhamento de informações direcionadas etc.
