Nos últimos 5 anos* o mercado se deparou com a necessidade de profissionais de segurança cibernética para obterem negócios protegidos e prosperarem em suas empreitadas.
Um setor de atuação que cresceu enormemente junto a esta necessidade foi a Cyber Threat Intelligence. Neste artigo, especialmente, vamos focar no impacto positivo que a inteligência estratégica pode provocar em uma organização ou negócio.
O que é Cyber Threat Intelligence?
Cyber Threat Intelligence se traduz para Inteligência de Ameaças Cibernéticas, e surge a partir da união de conceitos de inteligência militar, psicologia e defesa cibernética.
A grosso modo, o objetivo principal dessa metodologia é o conhecimento avançado sobre ameaças, atores, seus comportamentos (TTPs) e motivações para ataques cibernéticos, visando aprimorar controles, políticas e alertas defensivos de uma organização.
Para se chegar à esse objetivo, a inteligência de ameaças se apoia no ciclo de vida de inteligência, que consiste em 4 (alguns dizem 5) fases:
- Planejamento e direção;
- Coleta e processamento;
- Análise e produção;
- Disseminação e feedback.
Definido o tipo de trabalho que o time ou setor de Inteligência de Ameaças irá realizar, é possível entender os dados a serem coletados, qual será o produto gerado após a análise e, por fim, qual será a entrega ao final de todo o ciclo de vida, quer seja um relatório, um dashboard ou até mesmo um evento.
Os tipos de inteligência
Segundo a teoria acadêmica, é possível produzir 4 (alguns dizem apenas 3) tipos de inteligência:
Inteligência estratégica: geralmente direcionado ao nível executivo, alto nível e CISOs de uma organização. É a inteligência produzida após análises de risco, negócio e mercado. Busca apoiar os tomadores de decisões que podem afetar todo o negócio.
Inteligência tática: geralmente direcionada aos administradores de TI e SOC. É produzida a partir de análises aprofundadas de artefatos (malwares, por exemplo) e de seus IOCs, permitindo a identificação de comportamentos de atores e suas capacidades.
Inteligência técnica: direcionada aos times de SOC, é desenvolvida a partir da análise de alertas e IOCs específicos.
Inteligência operacional: usa a coleta de dados e informações para responder a uma ameaça ou ataque enquanto está em andamento. Ele deve ser usado imediatamente e fornece alertas em tempo real que podem ajudar sua equipe de segurança a entender o escopo de um ataque e se defender contra ele.
Inteligência Estratégica na Prática + Casos de uso
Como você pode ter visto no tópico anterior, com a IE busca-se, principalmente, munir os tomadores de decisões com dados e informações relevantes e específicas para o todo tipo de assunto de importância para a organização e seu posicionamento. O profissional que se responsabiliza pela célula de IE deverá coletar dados que digam respeito aos assuntos:
- Administração de empresas;
- Mercado e setor em que a organização está inserida;
- Geopolítica e os efeitos de movimentos políticos no setor de atuação;
- Impactos financeiros de ataques cibernéticos;
- Novas tendências quanto ao cenário cibernético.
A visão que esta célula de inteligência pode fornecer para executivos e seu board é ampla e totalmente estratégica em diversos sentidos, mas os habilita principalmente a gerir seu negócio levando em consideração todo o cenário cibernético e de ameaças emergentes.
Algumas aplicações práticas da inteligência estratégica:
Investimento em recursos tecnológicos ou compra de soluções de segurança: Pense no cenário em que você como analista de inteligência está alocado em uma empresa do setor de infraestruturas críticas e através de sua coleta e análises de dados, percebeu o crescente número de ataques de ransomware contra empresas do mesmo setor. Você então constrói um relatório de inteligência estratégica que informa, com uma visão de risco e focada em possíveis perdas financeiras, que o investimento em certas soluções de defesa é necessário para aumentar a maturidade de segurança de sua organização e evitar que esta seja a próxima vítima desse tipo de ataque.
Proteção de marca e posicionamento de mercado: A reputação de uma companhia é um dos seus principais e mais importantes ativos. Contudo, quando não bem desenvolvida e protegida, pode ser facilmente vulnerável. Uma marca pode ter sua reputação atingida de diversas formas, como por exemplo, campanhas de phishing, domínios falsos ou sequestrados, contas falsas em redes sociais etc. Desta forma, o analista de inteligência deve estar atento ao monitoramento de domínios, campanhas de phishing direcionadas a colaboradores e clientes, além de ter, casos possível, uma boa solução de monitoramento e proteção de marca (brand protection).
Conclusão
Uma organização que busca maturidade em segurança, redução de perdas financeiras, boa distribuição e utilização de recursos tecnológicos, além de lucratividade, deve investir em profissionais de inteligência de ameaças tanto quanto em boas soluções de TI.
A visão estratégica que o profissional de CTI possibilita ao negócio produz benefícios que vão além do setor executivo de uma organização e que se estendem até sua base, provocando mudanças significativas.
Referências:
*Estudo sobre o crescimento e o mercado de Threat Intelligence realizado pela Mordor Intelligence: https://www.mordorintelligence.com/pt/industry-reports/threat-intelligence-market
SOC Radar Blog – “What is strategic cyber intelligence and how to use it?”: https://socradar.io/what-is-strategic-cyber-intelligence-and-how-to-use-it/
Livro “The Threat Intelligence Handbook” e Ebook “Security Intelligence Handbook”.