Zpedia 

/ O que é inteligência sobre ameaças?

O que é inteligência sobre ameaças?

Inteligência sobre ameaças é a coleta, análise e disseminação de informações sobre ameaças cibernéticas suspeitas, emergentes e ativas, incluindo vulnerabilidades, táticas, técnicas e procedimentos (TTPs) dos criminosos e indicadores de comprometimento (IOCs). As equipes de segurança a utilizam para identificar e mitigar riscos, reforçar os controles de segurança e guiar a resposta proativa a incidentes.
Explore as informações sobre ameaças globais de internet da ThreatLabz
Proteção contra ameaças cibernéticas
  1. Por que é importante
  2. Tipos de inteligência
  3. Quem se beneficia
  4. Ciclo de vida de seis etapas
  5. Ferramentas disponíveis
  6. Casos de uso
  7. O papel da Zscaler
  8. Recursos sugeridos
  9. Tópicos relacionados

Por que a inteligência sobre ameaças é importante?

No atual cenário de ameaças crescente e em evolução, a inteligência sobre ameaças desempenha um papel fundamental na proteção dos usuários, dos dados e da reputação das organizações, ajudando-as a compreender e responder melhor a possíveis ameaças. Ao compreender os IOCs e TTPs associados a ameaças e vulnerabilidades emergentes, as organizações podem contextualizar os alertas de segurança, permitindo-lhes priorizar ameaças de alta gravidade e evitar ataques bem-sucedidos.

A inteligência sobre ameaças também ajuda as organizações a quantificar detalhadamente os riscos, oferecendo conformidade, avaliação e relatórios em linha com o RGPD, HIPAA, regras da SECe outros regulamentos. Além disso, ela é uma ferramenta poderosa para as autoridades policiais e outros caçadores de ameaças que trabalham para neutralizar ataques ou localizar os seus autores, contribuindo para um ambiente digital mais seguro para todos.

A inteligência sobre ameaças pode vir de muitos tipos de dados (telemetria de rede, logs de terminais, assinaturas e amostras de malware, etc.) e fontes de dados: dados brutos das próprias organizações, feeds de dados de ameaças, equipes de inteligência humana, fóruns da dark web e mais.

O que a inteligência sobre ameaças faz?

Com as ferramentas e o conhecimento certos para agregar, analisar e correlacionar esses dados, as organizações obtêm informações baseadas em dados que podem ajudá-las a:

  • Identificar ameaças e vulnerabilidades novas e conhecidas que possam colocar usuários, dados ou infraestrutura em risco
  • Priorizar os riscos com base na sua gravidade e relevância para a organização
  • Refinar as medidas de segurança para enfatizar a defesa proativa com base em sinais de alerta de ameaças emergentes
  • Acelerar a resposta, a correção e a recuperação de incidentes para reduzir o impacto de uma violação
  • Atribuir padrões de comportamento e outros contextos de IOC para ajudar a identificar invasores e seus motivos
  • Apoiar a conformidade regulatória para proteger as organizações contra multas e consequências jurídicas

Quais são os tipos de inteligência sobre ameaças?

Diferentes tipos de inteligência sobre ameaças ajudam as equipes a tomar diferentes tipos de decisões de segurança. Em termos gerais, você pode categorizá-las pela forma como são usadas:

  • A inteligência estratégica sobre ameaças oferece uma visão de alto nível do cenário de ameaças e dos motivos e habilidades dos invasores para auxiliar na tomada de decisões de longo prazo em torno de um programa de segurança e gastos. Por exemplo: dados sobre agentes de estados-nações que visam o seu setor.
  • A inteligência tática sobre ameaçasfornece informações sobre vetores de ataque específicos, IOCs, TTPs e mais para ajudar as equipes de resposta a incidentes e de segurança a identificar e mitigar ameaças atuais e ataques em andamento. Por exemplo: um hash de arquivo de uma nova variante de malware que se espalha via phishing.
  • A inteligência operacional sobre ameaças ajuda o centro de operações de segurança (SOC) a compreender os riscos do dia a dia (ameaças ativas, vulnerabilidades e ataques em andamento) para oferecer suporte à detecção e resposta em tempo real. Por exemplo: endereços IP envolvidos em um ataque DDoS à sua organização.
  • A inteligência técnica sobre ameaças constitui informações sobre ameaças granulares para ajudar as equipes de segurança a refinar suas políticas de segurança e outras contramedidas para obter uma proteção mais eficaz. Por exemplo: CVE e dados de correções para uma vulnerabilidade de software específica.

Ou você pode categorizá-la de acordo com sua origem:

  • A inteligência de fontes abertas vem de fontes públicas, como feeds de ameaças, blogs, fóruns e repositórios. A inteligência de fontes abertas é muitas vezes a “primeira a chegar”, mas é importante validar que ela venha de uma fonte confiável.
  • A inteligência de fontes fechadas provém de fontes privadas ou confidenciais (geralmente parceiros ou prestadores de serviços) e pode ser mais detalhada do que a de fontes abertas, mas muitas vezes é um produto pago.
  • A inteligência humana  é reunida de fontes humanas através de entrevistas, interrogatórios ou até mesmo vigilância e espionagem. Dessa forma, ela muitas vezes inclui os detalhes internos mais diretos, mas pode ser difícil de obter.

Quais são os indicadores de comprometimento comuns?

Coletados de inúmeras fontes de inteligência, os indicadores de comprometimento (IOCs) são evidências que ajudam a identificar e responder a possíveis violações, fornecendo aos analistas pistas sobre a origem de um ataque cibernético, seu comportamento ou impacto. Os IOCs comuns incluem:

  • Endereços IP e nomes de domínio associados a criminosos conhecidos
  • URLs associados à distribuição de phishing ou malware
  • Assinaturas de malware e hashes de arquivos de código malicioso
  • Endereços de e-mail vinculados a phishing
  • Chaves de registro adicionadas para armazenamento e persistência
  • Nomes de arquivos e diretórios associados a atividades maliciosas
  • Tentativas de login/acesso anômalas ou não autorizadas
  • Padrões e picos incomuns de tráfego de rede
  • Desvios do comportamento típico do usuário ou sistema
  • Sinais de exfiltração de dados ou transferências de dados incomuns
  • Desempenho lento (por exemplo, utilização de CPU e atividade de disco inesperadas)
  • Processos ou serviços em execução incomuns

Quem se beneficia com a inteligência sobre ameaças?

A inteligência sobre ameaças beneficia praticamente qualquer pessoa que tenha interesse na proteção de ativos digitais, dados sigilosos ou continuidade de operações, proporcionando-lhes um contexto inestimável para reforçar as medidas de segurança em:

  • Organizações de todos os tamanhos e setores: a inteligência sobre ameaças fornece às equipes de segurança informações práticas sobre como desenvolver defesas mais fortes. Executivos, membros do conselho e outros tomadores de decisão podem usá-la para ajudar a embasar decisões sobre investimentos em segurança, gerenciamento de riscos e conformidade.
  • Governos e agências de segurança: a inteligência sobre ameaças é vital para ajudar as organizações do setor público a responder e deter de forma mais eficiente as ameaças às infraestruturas críticas, à segurança pública e à segurança nacional.
  • O setor e a comunidade de segurança cibernética: os fornecedores e profissionais de segurança cibernética (pesquisadores, analistas, hackers éticos e assim por diante) podem usar a inteligência sobre ameaças para criar soluções de segurança mais eficazes, estudar tendências, refinar contramedidas e mais, criando um ciclo de feedback que fortalece todo o ecossistema digital.

Qual é o ciclo de vida da inteligência sobre ameaças cibernéticas?

O ciclo de vida da inteligência sobre ameaças é o epítome do ciclo de feedback mencionado acima: uma série de etapas pelas quais as organizações devem passar para fazer uso eficaz da inteligência sobre ameaças e, principalmente, para usá-la de forma mais eficaz no futuro. As seis etapas são:

  1. Direção: as partes interessadas definem os objetivos, as prioridades, as alocações de recursos e o escopo geral do seu programa de inteligência sobre ameaças.
  2. Coleta de dados: a organização coleta dados de feeds de inteligência de fontes abertas, registros internos, analistas humanos, parceiros, etc.
  3. Processamento: analistas e ferramentas automatizadas limpam e normalizam os dados coletados, verificam as fontes e confirmam sua confiabilidade para prepará-los para análise.
  4. Análise: analistas e ferramentas identificam padrões, anomalias e possíveis ameaças nos dados e, em seguida, correlacionam os dados para gerar informações práticas que ajudam a priorizar e mitigar riscos críticos.
  5. Disseminação: as equipes de segurança se reportam às partes interessadas para compartilhar descobertas, alertas e recomendações. As equipes incorporam a inteligência sobre ameaças em suas ferramentas e processos para melhorar a detecção, prevenção e resposta a ameaças em tempo real.
  6. Feedback: as organizações devem avaliar e refinar continuamente o seu programa de inteligência, utilizando o feedback das equipes de resposta a incidentes. As revisões periódicas ajudam a manter os objetivos e prioridades alinhados com as mudanças no cenário de ameaças e na própria organização.

Quais são as ferramentas de inteligência sobre ameaças disponíveis?

Existem muitas ferramentas no mercado projetadas para ajudar as organizações a coletar, correlacionar, analisar e agir com base na inteligência sobre ameaças.

Coleta e agregação

  • Os agregadores de feeds de ameaças coletam e consolidam dados de fontes abertas e/ou fechadas
  • As tecnologias de deception (por exemplo, honeypots) atraem ataques e coletam dados sobre como eles se comportam
  • As plataformas de inteligência sobre ameaças (TIPs) coletam, organizam e disseminam dados de inteligência sobre ameaças de diversas fontes para gerar informações práticas

Correlação

  • Os feeds de inteligência sobre ameaças fornecem inteligência pré-correlacionada para consumo rápido
  • Os sistemas de informações de segurança e gerenciamento de eventos (SIEM) correlacionam dados sobre ameaças com eventos de rede
  • As plataformas de detecção e resposta estendidas (XDR) correlacionam dados de fontes distintas (por exemplo: telemetria de rede, eventos de terminais, IAM, e-mail, conjuntos de produtividade)
  • As plataformas de orquestração de segurança, automação e resposta (SOAR) automatizam ações de resposta com base na inteligência correlacionada

Análise

  • As ferramentas de análise de ameaças, baseadas em IA e ML, analisam dados para identificar padrões e tendências
  • As plataformas de compartilhamento de inteligência sobre ameaças facilitam a análise colaborativa entre organizações
  • As sandboxes analisam e executam arquivos e URLs suspeitos em ambientes isolados

Execução

  • Os sistemas de detecção e prevenção contra intrusões (IDS/IPS) bloqueiam ou alertam sobre atividades maliciosas com base em dados de ameaças
  • As ferramentas de gerenciamento de políticas atualizam políticas em firewalls, proxies e mais com base em endereços IP, domínios, assinaturas, etc.
  • As soluções de detecção e resposta de terminais (EDR) colocam em quarentena ou corrigem terminais comprometidos
  • Ferramentas de caça a ameaças são compatíveis com a caça a ameaças proativa com base na inteligência coletada

Como o aprendizado de máquina melhora a inteligência sobre ameaças?

Na maior parte, o aprendizado de máquina (ML) melhora a inteligência sobre ameaças da mesma forma que melhora qualquer outra coisa: operando em uma velocidade, escala e nível de disponibilidade de 24 horas por dia, 7 dias por semana, que os operadores humanos não conseguem igualar. Os modelos avançados de ML atuais são treinados em enormes conjuntos de dados que os tornam ferramentas excepcionais para encontrar padrões, anomalias comportamentais, correlações e outras complexidades com uma taxa muito baixa de falsos positivos.

Como as ferramentas de ML assumem prontamente o trabalho mais pesado e tedioso da inteligência sobre ameaças, elas deixam os analistas humanos mais livres para assumir projetos que exigem pensamento criativo e compreensão de comportamento, contexto e motivação humanos. No final das contas, eles trabalham melhor juntos

Casos de uso da inteligência sobre ameaças

A inteligência sobre ameaças é uma das ferramentas mais poderosas e versáteis na caixa de ferramentas de uma equipe de segurança, capaz de oferecer melhor proteção, resposta e postura geral de segurança.

Detecção, prevenção e resposta a ameaças

A inteligência sobre ameaças ajuda as equipes de segurança a identificar e mitigar ameaças de forma proativa, usando IOCs para detectar atividades maliciosas, refinar políticas e reforçar as defesas. Ela também fortalece a resposta a incidentes, fornecendo às equipes de investigação e caça a ameaças dados atuais e precisos para ajudar a identificar sinais de comprometimento, movimentação lateral e ameaças ocultas.

Gestão de vulnerabilidades e avaliação de riscos

A inteligência sobre ameaças pode ajudar as organizações a priorizar a correção de vulnerabilidades com base no risco, além de oferecer informações sobre sua postura geral de risco cibernético para avaliar o impacto potencial de ameaças emergentes. Ela também é inestimável na avaliação e monitoramento da postura de segurança de fornecedores terceirizados para compreender e mitigar os riscos de segurança na cadeia de suprimentos.

Compartilhamento de inteligência sobre ameaças e tomada de decisões

A colaboração entre setores e governos é fundamental para nos mantermos à frente das ameaças cibernéticas. Compartilhar inteligência sobre ameaças, táticas e vulnerabilidades emergentes fortalece nossas defesas coletivas e ajuda as partes interessadas a tomarem as decisões estratégicas corretas tanto para a segurança quanto para os objetivos de suas organizações.

 

O papel da Zscaler na inteligência sobre ameaças

A equipe de inteligência sobre ameaças e pesquisa de segurança da Zscaler ThreatLabz analisa 500 trilhões de pontos de dados da maior nuvem de segurança do mundo e bloqueia 9 bilhões de ameaças por dia. A equipe rastreia os criminosos mais avançados de estados-nações e crimes cibernéticos e seus TTPs para discernir ataques e tendências emergentes.

Os pesquisadores da ThreatLabz descobriram dezenas de vulnerabilidades de dia zero em aplicativos populares e trabalharam com os fornecedores para resolver os problemas subjacentes. A ThreatLabz também desenvolveu uma plataforma proprietária de automação de malware, integrada à nuvem da Zscaler, que pode identificar e extrair indicadores de inteligência sobre ameaças para proteger nossos clientes em grande escala.

Obtenha informações sobre ameaças atualizadas a cada minuto, as pesquisas mais recentes e informações práticas sobre ameaças da Zscaler ThreatLabz.

Recursos sugeridos

Relatório de ransomware Zscaler ThreatLabz 2023
Veja o relatório completo
Relatório de phishing Zscaler ThreatLabz 2024
Veja o relatório completo
Blog de pesquisa de segurança da Zscaler ThreatLabz
Veja as últimas publicações
Zscaler ThreatLabz no X (Twitter)
Veja as últimas publicações
GitHub da Zscaler ThreatLabz
Veja os IOCs, notas sobre ransomware e ferramentas mais recentes
Painel de atividades na nuvem da Zscaler ThreatLabz
Veja atualizações ao vivo

01 / 04