Com dizia o filósofo chinês: “Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas.” No último sábado (24), ocorreu mais uma edição do Roadsec, dessa vez, na cidade de Belo Horizonte (MG). Dentre os diversos assuntos abordados, um deles vem tomando cada vez mais importância nos últimos anos, Threat Intelligence.

Na palestra “Threat Intelligence: Benefício e metodologia”, Joel Fabiani, analista de Threat Intelligence da Morphus, abordou o tema de forma bastante elucidativa. Baseando-se em diversos casos, o desenvolvimento da palestra começou desde o propósito do uso de Threat Intelligence, passando pela evolução histórica e chegando em sugestões práticas de implementação.

Neste post, vamos revisitar a palestra e conferir o que foi apresentado sobre o tema.

Ameaça – “means, motive and opportunity”

Não tem como entender Threat Intelligence (“Inteligência de Ameça”, em tradução livre) sem saber definir e identificar uma ameaça. Baseado no adágio da língua inglesa “means, motive and opportunidade” (“meios, motivação e oportunidade”, tradução livre) que balisam a busca na comprovação de autoria de atos criminais em países como os Estados Unidos, Threat Intelligence reune aspectos dessas naturezas, porém em um viés cibernético, a fim de identificar uma ameaça.

No contexto de cibersegurança, uma ameaça deve cumprir os requisitos de intenção (hostil), capacidade e oportunidade. Se falta uma dessas características, a ameaça não irá se concretizar em um incidente para a corporação.

Surgem diariamente diversas novas ameaças, portanto, o quanto antes elas chegarem ao conhecimento das pessoas e empresas, melhor será o preparo para combatê-las.

Por que Threat Intelligence?

O objetivo final das equipes responsáveis pela segurança das empresas é evitar que ameaças consigam comprometer seus ativos. Porém, como já sabemos, essa não é uma tarefa trivial (vide casos como o da XP ou UOL/Folha) e, por isso, é importante buscar alternativas novas e eficazes para ajudar a combater as ameaças.

Tradicionalmente, as empresas controlam e monitoram seus ativos computacionais internos, buscando por comportamentos notadamente maliciosos, para então poder agir. Essa é uma abordagem válida, no entanto, sucede a ação do agente malicioso (ou adversário).

E se fosse possível conhecer o adversário antes dele agir? Essa é a pergunta que Threat Intelligence busca responder. Através de informações compartilhadas sobre incidentes ocorridos em outros ambientes, a ideia é antecipar as capacidades defensivas contra esses ataques. Como bem disse Fabiani, “Threat Intel[ligence] é a gente olhar para fora da empresa”.

Como colocar isso em prática na empresa?

“Threat Intel[ligence] é, sobretudo, você saber o que está acontecendo”. Em uma metáfora com a série Game of Thrones, foi citado o personagem Tyrion Lannister, que resolve conflitos a partir do que é de seu conhecimento.

Para isso, é fundamental “fazer agrupamentos constantes de feeds”. Os feeds carregam informações como IoC (indicadores de comprometimento) e artefatos que podem ser aproveitados por ferramentas de defesa para fazer bloqueios, além de, dependendo do incidente recebido, colocar a equipe de resposta a incidentes em alerta.

Por ser bastante volumosa a massa de dados compartilhada nos feeds, as principais atividades para por Threat Intelligence em prática são coleta e normalização das informações. A fim de facilitar essas tarefas, em setembro de 2012, o MITRE lançou o primeiro release público do STIX.

Diversos recursos estão disponíveis para aqueles que estão interessados em conhecer mais a respeito e implementar Threat Intelligence em seus ambientes.

Ciberespaço mais seguro

O compartilhamento de informações a respeito das ameaças cibernéticas é essencial para responder de maneira adequada a elas. Nesse sentido, Threat Intelligence tem muito a contribuir.

Ao final de sua palestra, Fabiani apontou algumas condutas que profissionais e empresas da área de segurança da informação (SI) devem seguir:

  • Comprometimento com SI: seguir as melhores práticas de segurança – principalmente para os profissionais, “seja paranóico”!
  • “Uma ameaça para seus clientes é uma ameaça para a sua empresa. Uma ameaça para a sua empresa é uma ameaça para os seus clientes”: prezar pela segurança de sua empresa, como conduta para com seus clientes, e pelo que ocorre com seus clientes.
  • Conscientização: a corporação é composta de profissionais das mais diversas áreas. Como profissional de SI, é importante levar o conhecimento sobre as ameaças para outros setores, “porque se houver um problema, será para toda a empresa”.

Se você se interessou sobre o tema e quiser mais informações, a palestra está disponível na live da página do Roadsec (a partir de 44m). Vale a pena conferir!