“Elementar, meu caro Watson…” – Sherlock Holmes
Tal qual o detetive mais conhecido da literatura, você já deve ter balbuciado esta frase (ou algo parecido) em um momento de grande descoberta. Bom, na vida de um analista de segurança da informação isso acontece com certa frequência, independente da cor de chapéu* que esteja usando.
No caso de um analista de inteligência de ameaças cibernéticas (CTI), – aqui no papel de “investigador” ou “detetive” – essa empolgação e busca por decifrar enigmas e mistérios é uma constante, e por vezes, é a sensação que norteia parte de seus movimentos no dia-a-dia. Calma, não estou dizendo que um analista de CTI vive e sobrevive com base na sua intuição, a verdade é o contrário disso. O que pretendo lhe mostrar com esse artigo é que, um bom investigador possui certas habilidades que são indispensáveis ao seu sucesso profissional e que, com o passar do tempo, elas se tornam traços quase que totalmente absorvidos por sua personalidade.
Esse(a) profissional é analítico(a) e muito interessado(a) em chegar ao cerne da questão. Você dificilmente conhecerá um bom profissional de CTI que seja conformado com o muito comum “porque sim” ou “porque não”.
É, principalmente, curioso e esse aspecto o leva sempre ao próximo passo. Ter curiosidade é algo extremamente importante para se atuar >bem< em qualquer área de cibersegurança, pois um profissional curioso, que se interessa pelo que faz e o porque faz, sempre encontrará estímulos para seguir estudando, se aprimorando e impactando seu setor e colegas de trabalho. A área de cyber threat intelligence é um campo fértil para mentes curiosas.
O bom profissional investigador deve ainda ter e desenvolver (continuamente) o pensamento crítico**, que é a análise de uma informação, de forma apurada, sem vieses, para chegar a um julgamento racional.
Por último, mas não menos importante, um bom investigador de CTI é um bom comunicador. Além de fazer descobertas, analisá-las, entendê-las por completo, ele(a) saberá comunicar de forma eficiente o impacto daquela descoberta, quer seja para sua empresa, para os usuários ou ainda, em um contexto mais amplo, para um estado-nação.
Além desse fator ser extremamente positivo em um sentido micro, quando pensamos na figura maior, no macro, a curiosidade do analista o põe no mesmo páreo que um threat actor. Atores de ameaças são curiosos e, principalmente, persistentes em seus objetivos, por esse motivo é essencial que o analista de inteligência de ameaças seja tão capaz quanto um T.A. e que esteja em constante evolução, explorando sua curiosidade cada dia mais.
Antes de finalizar esse artigo, quero te desafiar a uma atividade prática, onde você mesmo poderá atestar se seu skillset está completo ou não. Faça uma relatório de inteligência*** sobre um grupo de ransomware, pesquisando sobre ele, seus TTPs, ataques conhecidos, área de atuação e países afetados. Vá atrás, pesquise com o que você tem a disposição e vá anotando, avaliando quais informações são relevantes e, caso sinta-se à vontade, compartilhe isso, colocando em prática sua habilidade de comunicação.
Acredite, essa é uma atividade diária de um analista de threat intelligence.
*Black hat, white hat & gray hat hackers – https://www.kaspersky.com/resource-center/definitions/hacker-hat-types
**Pensamento crítico: 7 ideias para estimular e desenvolver – https://www.crossknowledge.com/pt/blog/pensamento-critico/
***Lapsus cyberattacks: the latest news on the hacking group – https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates