Introdução à inteligência contra ameaças
A inteligência contra ameaças cibernéticas é um subconjunto da inteligência focada na segurança da informação. Essas informações selecionadas destinam-se a ajudá-lo a tomar melhores decisões sobre como se defender e proteger sua empresa contra ameaças cibernéticas. Algumas das perguntas que a inteligência contra ameaças pode responder incluem:
- Quem são meus adversários e como eles podem me atacar?
- Como os vetores de ataque afetam a segurança da minha empresa?
- Com o quê minhas equipes de operações de segurança devem ficar atentas?
- Como posso reduzir o risco de um ataque cibernético contra minha empresa?
A inteligência contra ameaças é um conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos úteis, sobre uma ameaça ou perigo existente ou emergente a ativos, que pode ser usado para informar decisões sobre a resposta do sujeito a essa ameaça ou perigo.
Geralmente, há três "níveis" de inteligência contra ameaças cibernéticas: estratégica, operacional e tática.
A coleta de cada tipo de inteligência é importante, pois desempenham funções diferentes. Os analistas que utilizam o total conhecimento desses três tipos de inteligência estão mais aptos a determinar quais soluções de segurança usar, como devem ser aproveitadas e como responder de forma proativa e reativa às ameaças.
Usaremos o APT29 e o setor educacional para ilustrar as diferenças entre esses três tipos de inteligência.
Tipo | Tagline | Meia vida útil (para mocinhos e bandidos) | Foco | Baseado na análise de | Tipos de dados de saída |
---|---|---|---|---|---|
Estratégica | Quem? Por quê? | Longo (vários anos) | Não técnico | Grandes campanhas, grupos, invasões de múltiplas vítimas (e informações operacionais) | Escrita longa sobre: vitimologia, metodologia YoY, mapeamento de invasões e campanhas de conflitos, eventos e pressões geopolíticas |
Operacional | Como? Onde? | Médio (mais um ano) | Misto (ambos reais) | Famílias inteiras de malware, grupos de ameaças, análise do comportamento humano (e inteligência tática) | Escrita curta, listas com marcadores, sobre: técnicas de persistência e comunicação, vítimas, perfis de grupo, perfis de família, descrições de TTP, gatilhos, padrões e regras de metodologia |
Tática | O quê? | Curto (meses) | Técnico | Eventos de segurança, amostras de malware individuais, e-mails de phishing, infraestrutura de invasores | Indicadores atômicos e legíveis por máquina, como IPs, domínios, IOCs e "assinaturas" |
Levels of threat intelligence
Inteligência tática contra ameaças
A inteligência tática contra ameaças é a forma mais básica. Esses são seus indicadores comuns de comprometimento (IOCs). A inteligência tática é frequentemente usada para a detecção de ameaças de máquina para máquina e para os responsáveis pela resposta a incidentes procurarem artefatos específicos nas redes corporativas.
Usando a inteligência tática contra ameaças
A inteligência tática contra ameaças e IOCs são destinados a documentar historicamente os ataques cibernéticos, servindo tanto como um conjunto de evidências (para cumprimento e aplicação da lei, investigações, fins legais etc.) e também como material de referência para os analistas interpretarem e extraírem contexto para uso em operações defensivas.
Os IOCs são fornecidos aos analistas para servir como exemplos de uma determinada ameaça, como uma amostra de malware, família de malware, campanha de invasão, ou agente da ameaça. Os analistas podem complementar os alertas das soluções de segurança com inteligência tática contra ameaças para fornecer mais contexto e determinar quais ameaças valem a pena se preocupar e quais podem ser ignoradas com segurança.
Inteligência tática contra ameaças para APT29
- 628d4f33bd604203d25dbc6a5bb35b90
- 2aabd78ef11926d7b562fd0d91e68ad3
- 3d3363598f87c78826c859077606e514
- meek-reflect.appspot.com
- portal.sbn.co.th
- 202.28.231.44
- hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
- googleService.exe
- GoogleUpdate.exe
- acrotray.exe
- PCI\VEN_80EE&DEV_CAF
Inteligência tática contra ameaças para o setor educacional
- d9b7b0eda8bd28e8934c5929834e5006
- support@securitygrade[.]org
- 46.244.4.37
Inteligência operacional contra ameaças
A inteligência operacional contra ameaças fornece informações sobre as metodologias do agente e expõe riscos potenciais. Ela fornece detecções, respostas a incidentes e programas de busca mais significativos. Enquanto que a inteligência tática contra ameaças fornece aos analistas contexto sobre ameaças já conhecidas, a inteligência operacional aproxima as investigações para descobrir ameaças completamente novas.
Esse tipo de inteligência é usado com mais frequência por investigadores forenses e responsáveis por incidentes, e geralmente inclui os seguintes tipos de itens:
- Ferramentas para grupos de ameaças particulares (utilitários, famílias de backdoor, infraestrutura comum)
- Táticas, técnicas e procedimentos (TTPs) para grupos de ameaças específicos (diretórios de preparação, convenções de nomenclatura de arquivos, portas, protocolos, tipos de arquivos favoritos)
- TTPs emergentes (novos métodos de persistência, explorações, esquemas de phishing)
Da perspectiva da resposta a um incidente, considere o seguinte: se você estiver respondendo a um evento de invasão, poderá se perguntar como um determinado agente executa a elevação de privilégios, o movimento lateral ou o roubo de dados. Se você está procurando atividades maliciosas não descobertas, pode querer começar sua busca procurando um comportamento específico do agente. Qualquer que seja o cenário, você precisa responder à pergunta "Como procurar esse agente em seu ambiente?"
Usando a inteligência operacional contra ameaças
Inteligência operacional contra ameaças é o conhecimento adquirido ao examinar detalhes de ataques conhecidos. Um analista pode construir uma imagem sólida da metodologia do agente ao unir indicadores e artefatos táticos, resultando em inteligência operacional. Isso pode ajudar a atingir uma série de metas defensivas, como aprimorar os planos de resposta a incidentes e técnicas de atenuação para futuros ataques e incidentes.
Os analistas também podem implementar e reforçar um programa proativo de descoberta ("programa de busca") para identificar arquivos e atividades suspeitos que tenham ignorado as tecnologias tradicionais de segurança. A partir daí, é possível desenvolver metodologias de detecção que não dependem de IOCs, garantindo uma cobertura mais ampla das ameaças de forma mais oportuna.
Exemplos de inteligência operacional contra ameaças
Exemplo de inteligência operacional contra ameaças para APT29
- Vetor de infecção preferido: spear phishing com RAR autoextraível
- Famílias de malware de primeiro estágio: COZYCAR, SWIFTKICK e TADPOLE
- Famílias de malware de segundo estágio: SEADADDY, MINIDIONIS e SPIKERUSH
- Técnicas de persistência
- Tarefas agendadas para a maioria das backdoors
- WMI por instalação manual para backdoors que não possuem persistência interna
- Substituição legítima do arquivo de Relatório de erros do Windows (wermgr.exe)
- Uso de TOR para C2
- Uso do Google Docs para C2
- Uso do Google Cloud Apps para encaminhamento C2 (como um proxy)
- Uso de solicitações HTTP POST acima da 443 para C2
- Uso de backdoors configuradas para portas 1, 80, 443, 3389 para C2
- Uso de scripts PowerShell
- Uso do Py2Exe para modificar e recompilar backdoors com variação nos protocolos e na infraestrutura C2
Exemplo de inteligência operacional contra ameaças para o setor educacional
- Os vetores de ataque comuns são spear phishing, watering holes e injeção de SQL
- Professores universitários de spear phishing especializados na incorporação de novas tecnologias nas salas de aula
- Spear phishing para recrutadores e pessoas envolvidas em processos de contratação
- Ataques comuns são spear phishing e injeção de SQL (SQLi)
- Famílias de malware comuns: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT e NETWIRE
- Famílias de testes comuns de penetração: Meterpreter, PowerShell Empire e Metasploit Framework
- Uso do Dropbox para C2
- Uso de HTTPS e protocolos TCP personalizados para C2
- Uso de TLDs .ru, .su para domínios C2
- Uso de yandex.ru e bk.ru para endereços de e-mail
- Roubo de bancos de dados contendo nomes de alunos, credenciais administrativas, informações financeiras, números de previdência social e outras informações pessoais identificáveis.
Inteligência estratégica contra ameaças
A inteligência estratégica contra ameaças oferece uma visão geral de como as ameaças e os ataques estão mudando ao longo do tempo. A inteligência estratégica contra ameaças pode ser capaz de identificar tendências, motivações ou atribuições históricas sobre quem está por trás de um ataque. Saber quem e o porquê de seus adversários também fornece pistas para suas operações e táticas futuras. Isso torna a inteligência estratégica um ponto de partida sólido para decidir quais medidas defensivas serão mais eficazes.
A inteligência estratégica contra ameaças pode incluir informações sobre os seguintes tópicos:
- Atribuição de invasões e violações de dados
- Tendências do grupo do agente
- Direcionamento de tendências para setores da indústria e regiões
- Mapeamento de ataques cibernéticos a conflitos e eventos geopolíticos (Mar da China Meridional, Primavera Árabe, Rússia-Ucrânia)
- Estatísticas globais sobre violações, malware e roubo de informações
- O TTP do invasor principal muda com o tempo
Usando a inteligência estratégica contra ameaças
A inteligência estratégica contra ameaças baseia-se em um enorme conjunto de conhecimentos e inclui opiniões e informações de especialistas baseados na captação de inteligência operacional e tática contra ameaças cibernéticas conhecidas. Essa inteligência é particularmente útil para pessoas em funções de liderança, como CISOs e liderança executiva, que precisam justificar orçamentos e tomar decisões de investimento mais bem informadas. Alguns usos da inteligência estratégica contra ameaças incluem:
- Informar sua liderança executiva sobre os agentes de alto risco, cenários de risco relevantes e exposição a ameaças na esfera tecnológica voltada para o público e no submundo do crime.
- Realizar uma análise completa de riscos e uma revisão de toda a cadeia de fornecimento de tecnologia.
- Saber quais empreendimentos comerciais, fornecedores, empresas parceiras e produtos tecnológicos são mais propensos a aumentar ou diminuir o risco para o ambiente da sua empresa.
Exemplos de inteligência estratégica contra ameaças
Inteligência estratégica contra ameaças para APT29
- O APT29 é um agente localizado na Rússia que geralmente se envolve em espionagem cibernética com o objetivo de roubar dados.
- As vítimas do APT29 são muitas organizações globais governamentais, educacionais, de alta tecnologia, financeiras, sem fins lucrativos, farmacêuticas e da Base Industrial de Defesa.
- O APT29 é um grupo versátil e sofisticado com a capacidade de desenvolver ferramentas de ataque personalizadas, infraestrutura de comando e controle convoluto, e diferente dos comportamentos antecedentes dos agentes pelo estado russo, esse grupo teve a capacidade de continuar operando por muito tempo depois de ter sido detectado.
- O APT29 tem sido historicamente responsável por operações envolvendo questões de política externa do governo, especialmente as que envolvem o conflito Rússia-Ucrânia. Além disso, o grupo tem como alvo diversas agências governamentais nacionais ocidentais, empresas de defesa e governo, e instituições acadêmicas.
Inteligência estratégica contra ameaças para o setor educacional
- A infraestrutura educacional de TI tem uma base de usuários diversificada e, portanto, é tipicamente composta por uma infinidade de sistemas operacionais, tipos de computadores, softwares e toneladas de servidores e sites que são acessíveis ao público a partir da Internet. Isso faz das universidades e das instalações de pesquisa acadêmica os principais alvos dos invasores, como locais para roubar dados valiosos e também como pontos de partida para outras operações de invasão.
- O setor da educação continuará vendo atividades de espionagem cibernética em um futuro próximo. Acreditamos que os agentes de ameaças da China, Rússia, Irã e outros países conduzam operações de espionagem de roubo de dados, informações comerciais, inteligência econômica e monitoramento do deslocamento.
- Vários grupos foram observados realizando operações de invasão que afetaram instituições acadêmicas, incluindo universidades e centros de pesquisa:
- APT10, também conhecido como "Grupo MenuPass"
- APT22, também conhecido como "Equipe Barista"
- APT29, também conhecido como "The Dukes" (Os Duques)
Inteligência contra ameaças e objetivos de negócios
A inteligência contra ameaças sempre tem um objetivo: informar a tomada de decisões e orientar a ação. No entanto, não é raro que as empresas resistam quando se trata de determinar o valor de sua equipe, processos e ferramentas de inteligência contra ameaças. A terminologia da inteligência contra ameaças geralmente não é compatível com o léxico comercial, levando a mal-entendidos sobre sua finalidade e valor.
As empresas podem ajudar a extrair valor de seus programas de inteligência, alinhando-os a um conjunto genérico de prioridades em nível macro, como pode ser visto abaixo (nem tudo foi incluído):
- Aumentar a receita
- Diminuir despesas
- Reduzir e mitigar riscos
- Satisfação e retenção do cliente
- Satisfação e retenção dos funcionários
- Regulamento de conformidade
Depois que a equipe de inteligência contra ameaças entende os objetivos de negócios, é possível alinhar suas operações e esforços para dar suporte aos negócios. Nem todas as prioridades de negócios se alinham perfeitamente aos recursos de inteligência contra ameaças, e tudo bem. Você pode desenvolver a granularidade e os detalhes à medida que estabelece suas necessidades. Estes são alguns objetivos iniciais para qualquer equipe de inteligência contra ameaças:
- Reduzir as despesas relacionadas a fraudes e crimes cibernéticos
- Colabore com a equipe de fraude para determinar de 3 a 5 dos principais tipos de fraude e pergunte: "Quais informações ajudarão a detectar/impedir isso no futuro?"
- Prevenir a perda de dados
- O que a análise dos chamados de incidentes revela sobre a natureza e o tipo de dados direcionados em eventos anteriores de violação de dados?
- Quais vulnerabilidades foram exploradas e por quais meios?
- Proteger informações pessoais identificáveis
- Quais sistemas armazenam informações pessoais identificáveis e como as vulnerabilidades desses sistemas se alinham a vetores de exploração conhecidos?
- Reduzir o risco comercial
- A inteligência contra ameaças pode se concentrar na redução do risco devido à perda de dados e ameaças externas, identificando agentes e obtendo informações de inteligência contra ameaças externas direcionadas ao seu setor, garantindo que técnicas e mecanismos de detecção estejam em vigor e possam capturar essas ameaças.
Evolução da inteligência contra ameaças
A inteligência contra ameaças continuará a evoluir e será uma função de segurança importante. A integração da inteligência tática, operacional e estratégica contra ameaças fornecerá informações valiosas sobre as metodologias de IOCs e agentes de ameaças. Isso tornará os ambientes mais seguros, onde será possível identificar seus adversários. Um número cada vez maior de organizações do setor público e privado está usando inteligência contra ameaças cibernéticas. Uma pesquisa recente publicada pelo Instituto Ponemon revelou que 80% das organizações a utilizam e que um percentual ainda maior a considera essencial.
As organizações que usam inteligência contra ameaças cibernéticas estão enfrentando diversos desafios de segurança. Elas detectam e respondem a ameaças avançadas. Elas impedem violações de dados e protegem informações confidenciais. Elas estão reduzindo os custos de crime cibernético e fraude. E, o mais importante, elas estão reduzindo o risco geral dos negócios.
As informações desta página devem fornecer uma sólida compreensão do que é a inteligência contra ameaças cibernéticas e o valor que ela oferece. No entanto, esse é apenas um ponto de partida. Além dessas informações, a Anomali fornece inúmeros recursos que podem ajudá-lo a tomar uma decisão inteligente sobre o porquê você deve acrescentar os recursos de inteligência contra ameaças cibernéticas à sua pilha de segurança e como integrá-los com o mínimo de problemas.