O aumento da frequência e da complexidade dos ciberataques tem levado a uma evolução constante dos modelos de defesa adotados por empresas. Com isso, as estratégias de segurança, que há cerca de dez anos eram baseadas em firewalls e antivírus, tem buscado cada vez mais formas efetivas de ampliar sua capacidade de resposta e, por que não, de predição de eventuais ataques.
“Nos últimos anos, passamos a olhar um pouco para o lado de resposta, mas isso exige pessoal para responder uma ameaça e passamos a utilizar soluções de EDR que nos trazem um pouco de capacidade automatizada para responder uma ameaça”, lembra o gerente geral da Kaspersky no Brasil, Roberto Rebouças. O passo seguinte do mercado são as chamadas soluções XDR, que passa a abranger não apenas os endpoints, mas também rede, firewalls e todo o ambiente de segurança da empresa.
Rebouças acredita que XDR, ao dar visibilidade ao que acontece na rede e nos e-mails, por exemplo, traz um pouco mais de proatividade ao combate às ameaças, evitando algumas vezes que eventuais incidentes ocorram. É aqui que entra a Inteligência de Ameaças, já que tudo isso implica em conhecimento sobre o que passa pela rede. A ideia trazer inteligência externa para dentro do ambiente da empresa: algo que já aconteceu em outros ambientes e pode ser nocivo para o ambiente da empresa. “No momento em que meu ambiente detectar aquilo, posso me precaver, bloquear certas coisas e inibir acessos, evitando o problema. Saímos da modalidade reativa para a proativa”, explica.
O head de Presales da Kaspersky, Rafael Souza, explica que a Inteligência de Ameaças, ao invés de identificar cibercriminosos, identifica as características das ações criminosas e seus padrões, tornando mais fácil identificar as pessoas por trás delas. “A inteligência de ameaças identifica os chamados índices de comprometimento, que mostram como os ataques costumam acontecer”, diz.
Como criar o melhor programa de Inteligência de Ameaças
O fato é que, com o aumento da sofisticação das ameaças, as empresas precisam adotar uma abordagem proativa, adaptando constantemente seus controles de segurança ao ambiente de ameaça em constante mudança e a única forma de acompanhar estas mudanças é criar um
programa de Inteligência de Ameaças eficaz. Rebouças reforça que a Inteligência de Ameaças já se tornou um componente essencial das operações de segurança implementadas por empresas de várias dimensões em todos os setores e regiões.
“Disponível em formatos de leitura tanto por máquinas como por humanos, a inteligência de
ameaças pode auxiliar as equipes de segurança com informações relevantes durante o ciclo de gestão do incidente e fornecer informações para a tomada de decisões estratégica”, explica. No entanto, a procura crescente por este tipo de solução originou uma abundância de fornecedores, cada um oferecendo um conjunto de serviços diferentes. Um mercado vasto e competitivo com muitas opções pode tornar a escolha da solução certa confusa.
Souza reforça que atualmente, em muitas empresas, os analistas de segurança passam
mais de metade do seu tempo classificando falsos positivos ao invés da busca e resposta a ameaças proativas, o que aumenta os tempos de detecção. “É preciso cuidado, porque alimentar as operações de segurança com inteligência irrelevante ou imprecisa vai aumentar
ainda mais a quantidade de alertas falsos e ter um impacto negativo grave na capacidade de resposta e na segurança global da empresa”, alerta.
Por isso, para criar um programa de Inteligência de Ameaças eficaz, as empresas, mesmo as que têm Centros de Operações de Segurança, devem pensar como um invasor, identificando e protegendo os alvos mais prováveis. Para obter valor real, é necessário saber muito bem quais são os principais ativos e quais conjuntos de dados e processos de negócios são essenciais para alcançar os objetivos da organização.
Identificar estas “joias da coroa” é que vai permitir o estabelecimento de pontos de coleta de dados ao seu redor para mapear ainda mais os dados coletados com informações sobre ameaças disponíveis externamente. Considerando os recursos limitados que os departamentos de segurança da informação normalmente têm, criar o perfil de uma organização inteira é uma tarefa enorme. Rebouças lembra que a solução é adotar uma abordagem baseada no risco, centrando-se primeiro nos alvos mais suscetíveis. “Assim que as fontes internas de inteligência de ameaças estiverem definidas e operacionalizadas, a empresa pode começar a pensar em
adicionar informações externas aos fluxos de trabalho existentes”, diz, lembrando haver alguns tipos de fontes de Inteligência de ameaças:
O gerente geral da Kaspersky reforça que o princípio orientador para escolher fontes de inteligência de ameaças externas deve ser a qualidade e não a quantidade. “Algumas organizações podem pensar que quanto mais fontes de inteligência de ameaças conseguirem integrar, melhor será a visibilidade obtida. Isso pode ser verdade em alguns casos, como quando se trata de fontes altamente confiáveis, incluindo as comerciais, que fornecem inteligência de ameaças adaptada ao perfil de ameaças específico da organização. Caso contrário, existe o risco significativo de sobrecarregar suas operações de segurança com informação irrelevante”, compara.
A verdade é que a sobreposição de informação fornecidas por fornecedores especializados de inteligência de ameaças pode ser muito pequena. Como suas fontes de inteligência e métodos de coleta variam, os insights que eles fornecem serão únicos em alguns aspectos. Por exemplo, um fornecedor, por ter uma presença significativa numa região específica, fornece mais detalhes sobre ameaças provenientes dessa região, enquanto outro fornece mais detalhes sobre tipos de ameaças específicos.
“Por isso, ter acesso a ambas as fontes pode ser vantajoso. Quando utilizadas em conjunto, podem ajudar a revelar um contexto geral e a orientar missões de busca de ameaças e resposta a incidentes mais eficazes”, reforça, lembrando que esses tipos de fontes fidedignas também necessitam de uma avaliação prévia cuidadosa para assegurar que a inteligência fornecida é adequada às necessidades e casos de uso específicos da organização, como
operações de segurança, resposta a incidentes, gerenciamento de risco, gerenciamento de vulnerabilidades, Red Teaming etc.
20 anos de dados
Citando o exemplo da Kaspersky, Rebouças lembra que a companhia vem se concentrando na pesquisa de ameaças há mais de duas décadas. “Esse tempo nos trouxe uma base com petabytes de dados avançados de ameaças para explorar, tecnologias avançadas de machine learning e um grupo exclusivo de especialistas globais”, revela. É partir desta base que a Kaspersky trabalha hoje de três maneiras diferentes: pode oferecer a inteligência crua, que vai ser lida por humanos ou máquinas e a empresa vai consumir isso como achar melhor; pode oferecer a solução como serviço gerenciado; ou pode disponibilizar a tecnologia para empresas que ofereçam serviços gerenciados ao mercado.
Ele reforça que o modo de consumir a Inteligência de Ameaças vai depender da maturidade da empresa. “Se você der uma olhada no mercado, vai ver dois tipos: empresas onde a segurança é importante, com CISO no mesmo nível do CIO, e as empresas em que a segurança é apenas um departamento”, diz.
No primeiro tipo, já há a preocupação com a proatividade e uma equipe multidisciplinar tratando segurança. O segundo tipo, de maneira geral não tem maturidade suficiente para consumir esse tipo de informação. Na maior parte das vezes elas trabalham com provedores de serviços gerenciados, que vão ajudar no gerenciamento da segurança e terão acesso a esse tipo de inteligência.
“O certo é que, não importa o tamanho da empresa, a implementação de uma estratégia de Inteligência de Ameaças tem se tornado indispensável para reduzir os riscos a que todos estão expostos. Cada vez mais, a proatividade é essencial para a prevenção de amaças”, conclui.
