{"id":11863,"date":"2019-05-30T14:02:04","date_gmt":"2019-05-30T17:02:04","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11863"},"modified":"2020-05-19T17:46:20","modified_gmt":"2020-05-19T20:46:20","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/evaluating-threat-intelligence\/11863\/","title":{"rendered":"Como escolher uma estrat\u00e9gia de intelig\u00eancia de amea\u00e7as"},"content":{"rendered":"

\u00c0 medida que a superf\u00edcie de ataque se expande e, dada a crescente sofistica\u00e7\u00e3o das amea\u00e7as, apenas reagir a um incidente n\u00e3o \u00e9 mais suficiente. Ambientes cada vez mais complexos oferecem muitas oportunidades de ataque. Independemente do tipo de ind\u00fastria ou organiza\u00e7\u00e3o, todas t\u00eam informa\u00e7\u00f5es exclusivas que devem proteger e usar seus pr\u00f3prios conjuntos de aplicativos, tecnologias e outros, o que adiciona uma enorme quantidade de vari\u00e1veis \u200b\u200bnos poss\u00edveis m\u00e9todos de ataque, que se multiplicam todos os dias.<\/p>\n

Nos \u00faltimos anos, vimos como os limites que classificam os tipos e autores de amea\u00e7as est\u00e3o cada vez mais difusos. Os m\u00e9todos e as ferramentas que anteriormente representavam um risco para um pequeno n\u00famero de organiza\u00e7\u00f5es se espalharam para um mercado mais amplo. Um exemplo \u00e9 o grupo Shadow Brokers<\/a>, devido a dissemina\u00e7\u00e3o de seu c\u00f3digo, colocou exploits<\/a> sofisticados ao alcance de cibercriminosos que n\u00e3o teriam acesso a estrat\u00e9gias t\u00e3o avan\u00e7adas. Outro exemplo \u00e9 o surgimento de campanhas avan\u00e7adas de amea\u00e7as persistentes (APT<\/a>), que n\u00e3o est\u00e3o centradas em espionagem cibern\u00e9tica, mas no roubo de dinheiro utilizado para financiar outras atividades nas quais est\u00e3o envolvidos incidentes de APT. Infelizmente, a lista n\u00e3o tem fim.<\/p>\n

Precisamos de uma nova estrat\u00e9gia<\/strong><\/h3>\n

Mais e mais empresas est\u00e3o se tornando v\u00edtimas de ataques avan\u00e7ados e direcionados, ent\u00e3o a necessidade de novos m\u00e9todos de defesa \u00e9 evidente. Para se proteger, elas precisam de uma estrat\u00e9gia proativa em constante adapta\u00e7\u00e3o dos controles de seguran\u00e7a a esse ambiente de amea\u00e7as em evolu\u00e7\u00e3o. \u00c9 necess\u00e1rio projetar um programa eficaz de intelig\u00eancia contra amea\u00e7as<\/a>.<\/p>\n

A intelig\u00eancia de amea\u00e7as tornou-se uma parte crucial das opera\u00e7\u00f5es de seguran\u00e7a que foram estabelecidas por empresas de diversos portes e dos mais variados setores e regi\u00f5es. Por meio de formatos leg\u00edveis para humanos e m\u00e1quina, a intelig\u00eancia de amea\u00e7as pode oferecer suporte a equipes de seguran\u00e7a com informa\u00e7\u00f5es significativas durante o gerenciamento de incidentes e fornecer dados para o desenvolvimento da estrat\u00e9gia.<\/p>\n

No entanto, a crescente demanda por um servi\u00e7o externo de intelig\u00eancia contra amea\u00e7as gerou um aumento no n\u00famero de fornecedores com conjuntos de servi\u00e7os extremamente diversificados. O mercado \u00e9 amplo e competitivo com uma s\u00e9rie de op\u00e7\u00f5es complexas, por isso pode ser muito confuso e frustrante escolher a solu\u00e7\u00e3o certa.
\n
\nUma solu\u00e7\u00e3o de intelig\u00eancia de amea\u00e7as que n\u00e3o combina com o seu neg\u00f3cio pode agravar o problema. Em muitas empresas, analistas de seguran\u00e7a gastam mais da metade do tempo descartando falsos positivos, em vez de se envolver em detec\u00e7\u00e3o e preven\u00e7\u00e3o de resposta a amea\u00e7as, o que aumenta significativamente o tempo de detec\u00e7\u00e3o. A inser\u00e7\u00e3o de dados irrelevantes ou imprecisos aumenta os n\u00fameros relativos a falsos alertas, o que resulta no impacto grave e negativo sobre a capacidade de resposta e de seguran\u00e7a global da sua empresa.<\/p>\n

Qual a melhor op\u00e7\u00e3o?<\/strong><\/h3>\n

Ent\u00e3o, como voc\u00ea pode avaliar as numerosas fontes de intelig\u00eancia contra amea\u00e7as? Como saber qual \u00e9 a solu\u00e7\u00e3o certa para sua organiza\u00e7\u00e3o e como implement\u00e1-la com efici\u00eancia? Como lidar com as a\u00e7\u00f5es de venda em que cada fornecedor afirma que seus servi\u00e7os de intelig\u00eancia s\u00e3o os melhores?<\/p>\n

Antes de tudo, voc\u00ea deve se perguntar uma coisa. Muitas organiza\u00e7\u00f5es, atra\u00eddas por mensagens encantadoras e grandes promessas, acreditam que um fornecedor possui uma esp\u00e9cie de superpoder, como vis\u00e3o de raio-X, omitindo o fato de que a intelig\u00eancia mais valiosa se encontra dentro dos limites de sua pr\u00f3pria rede corporativa.<\/p>\n

Dados a partir dos sistemas de detec\u00e7\u00e3o e preven\u00e7\u00e3o de intrus\u00e3o, firewalls, logs de aplicativos e registros de outros sistemas de controles de seguran\u00e7a revelam muito sobre o que acontece em redes empresariais. Por exemplo, eles podem identificar padr\u00f5es de atividade maliciosa espec\u00edfica contra a organiza\u00e7\u00e3o, a diferen\u00e7a entre o comportamento dos usu\u00e1rios comuns e redes ajuda a dar seguimento \u00e0s atividades, possibilitando o acesso \u00e0s informa\u00e7\u00f5es e identificando vulnerabilidades de informa\u00e7\u00f5es potenciais que devem ser mitigadas, por exemplo. Tudo isso permite que as empresas implementem intelig\u00eancia de amea\u00e7as, relacionando-a com o que foi observado internamente. Caso contr\u00e1rio, o uso de fontes externas pode dificultar o processo. Na verdade, alguns fornecedores podem ter uma vis\u00e3o mais ampla de amea\u00e7as virtuais por causa de sua presen\u00e7a global e sua capacidade de coletar, processar e correlacionar dados de v\u00e1rias partes do mundo. Mas isso s\u00f3 \u00e9 \u00fatil quando o contexto interno \u00e9 analisado.
\n<\/p>\n

Pense como um cibercriminoso<\/strong><\/h3>\n

Para projetar um programa eficaz de intelig\u00eancia de amea\u00e7as, as empresas (incluindo aquelas com centros de opera\u00e7\u00f5es de seguran\u00e7a estabelecidos) devem pensar como e, portanto, identificar e proteger os pontos de ataque mais comuns. Para mensurar o valor real de um programa de intelig\u00eancia contra amea\u00e7as, \u00e9 necess\u00e1rio entender quais s\u00e3o os ativos cruciais, os conjuntos de dados e os processos da empresa necess\u00e1rios para atingir os objetivos organizacionais. A identifica\u00e7\u00e3o dessas \u201cjoias da coroa\u201d permite que as empresas estabele\u00e7am pontos de coleta de dados internamente para potencializar ainda mais as informa\u00e7\u00f5es coletadas com a ajuda de insumos externos sobre amea\u00e7as. Em vista dos recursos limitados comumente dispon\u00edveis para os departamentos de seguran\u00e7a, descrever uma organiza\u00e7\u00e3o como um todo \u00e9 um esfor\u00e7o formid\u00e1vel. A solu\u00e7\u00e3o \u00e9 adotar uma estrat\u00e9gia baseada em riscos, focando primeiramente nos objetivos mais suscet\u00edveis.<\/p>\n

Depois que as fontes de intelig\u00eancia de amea\u00e7as s\u00e3o definidas e implementadas, a empresa pode come\u00e7ar a pensar em adicionar informa\u00e7\u00f5es externas aos fluxos de trabalho existentes.
\n<\/p>\n

Quest\u00e3o de confian\u00e7a<\/strong><\/h3>\n

As fontes de intelig\u00eancia de amea\u00e7as variam de acordo com seus n\u00edveis de confian\u00e7a:<\/p>\n