0
0
Em qualquer confronto, seja militar, empresarial, esportivo ou de segurança da informação, é essencial identificar os oponentes e seus objetivos, e avaliar seus métodos, pontos fortes e fracos. A mesma regra se aplica a profissionais de segurança cibernética, que precisam detectar agentes mal-intencionados, compreender suas técnicas e prever eventos adversos.
Com Attac digitalCom o aumento do tamanho e da complexidade das superfícies k , é mais importante do que nunca que as equipes de segurança direcionem seus esforços e recursos para os problemas que têm o maior impacto em sua postura de segurança. Usando inteligência de ameaças bem selecionada, as equipes de segurança podem tomar medidas proativas para reduzir o número de incidentes de segurança que ocorrem e obter uma melhor compreensão das ameaças emergentes e das tendências de risco cibernético.
Como novas ameaças e brechas de segurança surgem continuamente ao longo do tempo, o processo de criação de inteligência de ameaças acionável é um ciclo de vida contínuo, consistindo em seis estágios descritos abaixo.
1 direção
O ciclo de vida da inteligência de ameaças começa com o estabelecimento e priorização de quais ativos e processos de negócios precisam ser protegidos e a compreensão das consequências de seu comprometimento. Durante esse estágio, que geralmente é orientado pelo CISO (Chief Information Security Officer), as equipes de segurança também devem determinar quais informações precisam para atingir seus objetivos e enfrentar os desafios específicos que enfrentam.
Para fazer isso de forma eficaz, as perguntas certas precisam ser feitas:
- A quais tipos de ataques a organização e seus pares do setor são mais vulneráveis?
- Quais atores mal-intencionados estão iniciando esses ataques e por quê?
- Quem ingerirá a inteligência de ameaças depois de coletada – ou seja, um analista cibernético ou um membro não técnico do conselho?
- Como o programa de inteligência cibernética apoiará os objetivos de negócios das partes interessadas?
2. Coleção
Uma vez que os ativos críticos que requerem proteção tenham sido estabelecidos, os tipos de dados e fontes de informações sobre o que representa uma ameaça a esses ativos devem ser identificados. Além das formas comumente coletadas de dados de ameaças, ou seja, IPs e domínios maliciosos, dados de vulnerabilidade como informações de identificação pessoal (PII) e informações de fontes de notícias e mídia social podem ser considerados.
Os dados brutos necessários para atender aos requisitos descritos no estágio um podem ser obtidos de uma variedade de fontes internas e externas:
- Registros de eventos de rede e firewall
- Feeds de dados de ameaças da indústria
- Fornecedores de cibersegurança
- Análise de malware interna e externa
- Notícias e blogs
- Comunidades de compartilhamento de informações
- Relatório de especialista no assunto
- Fóruns da web escura
3. Processamento
Após a coleta, os dados brutos de ameaças precisam ser organizados e limpos para eliminar falsos positivos e redundâncias e traduzidos em um formato utilizável. O processamento de dados também pode incluir descriptografia, classificação por precisão e relevância e tradução de idiomas estrangeiros.
Mesmo as organizações com pegadas digitais menores coletam muitos dados – centenas de milhares de indicadores diariamente – para serem processados manualmente por humanos, tornando a automação particularmente importante para essa fase demorada do ciclo de vida da inteligência.
4. Análise
O principal objetivo deste estágio é identificar possíveis problemas de segurança e desenvolver percepções acionáveis com base nas necessidades delineadas na fase de direção . Os dados são agrupados em relatórios e avaliações para serem consumidos pelos tomadores de decisão. Muitas vezes assumindo a forma de apresentações em PowerPoint, memorandos, listas de ameaças ou feeds ativos, a inteligência de ameaças é organizada para informar decisões como examinar ou não uma ameaça potencial, reforçar os controles de segurança ou ajustar a distribuição de recursos. A análise é onde, por meio da contextualização, a informação se torna inteligência .
5. Disseminação
A maioria das organizações possui várias equipes que contam com inteligência de ameaças cibernéticas para gerenciar riscos corporativos . As necessidades operacionais específicas e o nível de conhecimento de cada equipe precisam ser considerados ao determinar os meios mais compreensíveis e acionáveis de transmitir inteligência. Enquanto as equipes de segurança tendem a se preocupar mais com as informações técnicas, como descobertas de malware e endereços IP de alto risco, as equipes executivas desejam entender como as ameaças cibernéticas afetam os riscos, as responsabilidades e os lucros dos negócios.
Ferramentas como plataformas de classificação de segurança fornecem informações em um formato e em uma linha do tempo que se adequa a vários usuários finais. As equipes técnicas podem acessar feeds de dados atualizados para ajudar a realizar suas tarefas diárias, enquanto os líderes de segurança podem extrair relatórios resumidos de alto nível da diretoria em momentos de reuniões periódicas com a diretoria.
6. Feedback
Esta fase está intimamente relacionada à fase inicial de direção , pois dá aos usuários finais a oportunidade de orientar o ciclo de inteligência seguinte. O feedback contínuo de todas as equipes garante que suas necessidades de inteligência sejam atendidas e permite que os líderes de segurança façam ajustes em resposta às mudanças de prioridades. Pesquisas periódicas da equipe devem ser complementadas com um canal contínuo de comunicação por meio de plataformas de colaboração interna. O objetivo é refinar constantemente o processo de coleta de inteligência, de forma que informações relevantes e precisas possam ser entregues a quem delas precisa o mais rápido possível.
Como o SecurityScorecard pode ajudar
O SecurityScorecard oferece às organizações acesso à fonte mais abrangente de dados de segurança cibernética do mundo . Nosso mecanismo de busca proprietário reúne e analisa de forma não intrusiva uma ampla gama de sinais de ameaça de uma bateria de honeypots e sumidouros, bem como mais de 1,3 milhão de empresas e milhões de ativos voltados ao público. Com algoritmos avançados de aprendizado de máquina, podemos prever o risco de forma confiável por meio de pesos fatoriais ajustados de forma otimizada que permitem que você saiba quais vulnerabilidades são mais críticas, atribuem com precisão nossas descobertas e calculam uma classificação de segurança de AF significativa e universalmente compreendida.
FONTE: SECURITY SCORECARD