O que é uma plataforma de inteligência contra ameaças (TIP)?
Colete, gerencie e compartilhe a inteligência contra ameaças
Objetivo de uma plataforma de inteligência contra ameaças
O cenário atual da cibersegurança é marcado por algumas questões comuns: grandes volumes de dados, falta de analistas e ataques adversos cada vez mais complexos. As infraestruturas de segurança atuais oferecem muitas ferramentas para gerenciar essas informações, mas pouca integração entre elas. Isso se converte em um esforço frustrante de engenharia para gerenciar sistemas e um inevitável desperdício de recursos e tempo já limitados.
Para combater essas questões, muitas empresas estão optando por implementar uma plataforma de inteligência contra ameaças (TIP). As plataformas de inteligência contra ameaças podem ser implantadas como uma solução SaaS ou local para facilitar o gerenciamento da inteligência contra ameaças cibernéticas e entidades associadas, como agentes, campanhas, incidentes, assinaturas, boletins e TTPs. Elas são definidas por sua capacidade de realizar quatro funções principais:
- Agregação de inteligência de várias fontes
- Curadoria, normalização, aprimoramento e pontuação de risco de dados
- Integrações com sistemas de segurança existentes
- Análise e compartilhamento da inteligência contra ameaças
AFIRMAM QUE A INTELIGÊNCIA CONTRA AMEAÇAS É FUNDAMENTAL PARA ALCANÇAR UMA SÓLIDA POSTURA DE SEGURANÇA
DAS ORGANIZAÇÕES AFIRMAM QUE ESTÃO SOBRECARREGADAS COM DADOS DE AMEAÇAS CIBERNÉTICAS
TIP definida
Ameaça
O potencial de qualquer outra parte de acessar ou interferir nas operações normais planejadas de uma rede de informações. Atualmente, as ameaças comuns incluem:
Inteligência
Conhecimento de uma ameaça adquirida por analistas humanos ou identificada por eventos dentro do sistema. Inteligência é um termo amplo, mas uma TIP oferece aos analistas tipos específicos de inteligência que podem ser automatizados, incluindo:
- Conhecimento técnico de ataques, incluindo indicadores
- Inteligência final - o resultado de seres humanos que buscam as informações disponíveis e chegam a conclusões sobre a consciência situacional, prevendo potenciais resultados ou futuros ataques, ou estimando as capacidades do adversário
- Inteligência humana - qualquer inteligência adquirida por humanos, como participar de fóruns para verificar se há atividade suspeita
Plataforma
Um pacote de produtos que se integra com ferramentas e produtos existentes, apresentando um sistema de gerenciamento de inteligência contra ameaças que automatiza e simplifica grande parte do trabalho que os analistas fazem tradicionalmente.
Quem usa uma TIP?
Equipes da Central de Operações de Segurança (SOC, Security Operations Center)
Essas equipes se concentram em tarefas operacionais diárias e em responder ameaças à medida que elas ocorrem. Uma TIP fornece automação para atividades rotineiras, como integrações, aprimoramentos e pontuações.
Equipes de inteligência contra ameaças
Essas equipes buscam fazer previsões baseadas em associações e informações contextuais entre agentes, campanhas etc. Uma TIP fornece a elas uma "biblioteca" de informações que simplifica e agiliza esse processo.
Equipes executivas e de gerenciamento
Uma TIP oferece aos gerentes uma plataforma única com a qual é possível visualizar relatórios nos níveis técnico e de gerenciamento. Isso permite que elas compartilhem e analisem efetivamente dados à medida que os incidentes acontecem.
Agregação de dados
Uma plataforma de inteligência contra ameaças coleta e reúne automaticamente dados de várias fontes e formatos. Receber informação de diversas fontes é um componente fundamental para uma sólida infraestrutura de segurança. As fontes e os formatos suportados incluem:
Fontes:
- Código aberto
- Pagas por terceiros
- Governamentais
- Comunidades de compartilhamento confiável (ISACs, Trusted Sharing Communities)
- Interno
Formatos:
- STIX/TAXII
- JSON e XML
- .csv, .txt, PDF e documento do Word
Normalização e enriquecimento de dados
A coleta de dados em uma grande variedade de feeds gera milhões de indicadores para serem classificados por dia, tornando vital o processamento eficiente dos dados. O processamento inclui várias etapas, mas é composto por três elementos principais: normalização, deduplicação e enriquecimento de dados.
A abordagem desses elementos é cara em relação ao esforço computacional, tempo do analista e dinheiro. Uma plataforma de inteligência contra ameaças automatiza esses processos, possibilitando que os analistas analisem em vez de gerenciar os dados coletados.
- Normalização - Consolidação de dados em diferentes formatos de fontes
- Deduplicação - Remoção de informações duplicadas
- Enriquecimento - Remoção de falsos positivos, pontuação de indicadores e adição de contexto
Integrações
Os dados que foram normalizados, examinados e enriquecidos devem, então, ser entregues a sistemas que possam utilizá-los para execução e monitoramento automatizados. O objetivo é fornecer a essas tecnologias o que é essencialmente uma "lista de zonas cibernéticas interditadas", parecida com uma lista de voos cancelados que você encontraria em um aeroporto. Com base no conhecimento prévio, determinados IPs, domínios e muito mais não devem ser acessados ou permitidos na rede.
Uma plataforma de inteligência contra ameaças trabalha com os fornecedores de SIEM e de sistemas de gerenciamento de registros nos bastidores, reduzindo indicadores para acessar as soluções de segurança na infraestrutura de rede do cliente. O esforço de estabelecer e manter essas integrações é, portanto, retirado dos analistas e transferido para os fornecedores de SIEM e TIP.
Possíveis integrações de produtos de segurança incluem:
- SIEM
- Endpoint
- Firewall
- IPS
- API
Análises e respostas
Uma plataforma de inteligência contra ameaças fornece recursos que auxiliam na análise de potenciais ameaças e na mitigação correspondente. Mais especificamente, esses recursos ajudam os analistas a:
- Explorar as ameaças
- Fornecer fluxos de trabalho de investigação
- Compreender o contexto mais amplo e as implicações das ameaças
- Compartilhar informações
Uma TIP coletará todos os dados possíveis, aprimoramentos e outros contextos disponíveis e exibirá essas informações de forma a oferecer valor, como em painéis, réguas, alertas e observações.
Uma plataforma de inteligência contra ameaças também ajuda os analistas ao automatizar os processos de pesquisa e coleta, reduzindo significativamente o tempo de resposta. Algumas funcionalidades específicas da parte de análise de uma plataforma de inteligência contra ameaças incluem:
- Suporte para expansão e pesquisa de indicadores
- Escalação de incidentes e processos de resposta
- Processos de fluxo de trabalho do analista
- Produção de produtos de inteligência e seu compartilhamento com as partes interessadas
