Facilitando a Convergência de Segurança Física e Segurança Cibernética com Inteligência de Código Aberto

Início » Cibersegurança » Facilitando a Convergência de Segurança Física e Segurança Cibernética com Inteligência de Código Aberto

Read Time:4 Minute, 37 Second

O desejo de mesclar aspectos da segurança física e cibernética não é novidade, especialmente em empresas em maturação que estão ampliando proativamente suas capacidades de segurança. Como muitos aspectos da segurança física estão conectados à internet, as empresas começaram a construir centros de fusão que combinam disciplinas. Ao fazer isso, eles são capazes de convergir a segurança cibernética e física, preencher lacunas na cobertura e dimensionar a segurança para proteger instalações e centenas de milhares de funcionários. A chave para essa convergência está na inteligência de código aberto e como ela pode enriquecer muitos aspectos de um programa de segurança física.

Ampliando a Definição de Inteligência de Código Aberto

Muitos aspectos da inteligência de código aberto são semelhantes ou equivalentes às metodologias tradicionais de inteligência de todas as fontes vistas no ciclo de inteligência. Duas categorias principais de conjuntos de dados para mapear são inteligência de código aberto tradicional e inteligência de código aberto não tradicional. Os conjuntos de dados tradicionais de inteligência de código aberto abrangem a coleta e análise qualitativa e quantitativa de fontes públicas e não classificadas que fornecem contexto, como arquivos, registros de negócios, sites de namoro e dark web. Conjuntos de dados de inteligência de código aberto não tradicionais incluem os equivalentes de inteligência humana, de sinais e imagens no OSINT – com base em qualquer coisa, desde o envolvimento do ator de ameaças nas mídias sociais até a telemetria externa (netflow, DNS passivo, cookies) até fotos de mídia social usadas para identificar locais.

Definindo os Principais Recursos de um Programa de Inteligência de Ameaças Cibernéticas

Antes de investigarmos como a inteligência contra ameaças cibernéticas beneficia um programa de segurança física, vamos identificar uma lista de alguns dos serviços, produtos e análises que um programa CTI pode abordar. Os seguintes serviços têm uma sobreposição significativa com programas de segurança física:

● Análise da infraestrutura do adversário

● Análise de atribuição

● Rastreamento da Dark Web

● Caça interna a ameaças

● Pesquisa de ameaças para identificação e correlação de atores maliciosos e conjuntos de dados externos

● Produção de relatórios de inteligência

● Compartilhamento de inteligência (externo à organização)

● Rastreando as intenções e capacidades dos atores de ameaças

Outros serviços de CTI geralmente não se sobrepõem à segurança física e permanecem de responsabilidade das equipes de segurança cibernética. Esses serviços incluem análise de malware e engenharia reversa, pesquisa de vulnerabilidades e análise de indicadores (enriquecimento, articulação e correlação com relatórios históricos).

Definindo Sobreposição com Programas de CTI e Segurança Física

As equipes de segurança agora estão aproveitando a inteligência de código aberto e a inteligência contra ameaças cibernéticas para fornecer informações críticas aos profissionais de segurança física. Os programas de segurança física e corporativa dessas equipes geralmente consistem nas seguintes disciplinas, com casos de uso que estão no centro da convergência das disciplinas de segurança cibernética e física:

● Proteção Executiva e Proteção de Ativos Físicos

○ Monitoramento OSINT e dark web para identificar contas falsas de mídia social deturpando ou visando executivos, funcionários, sentimentos negativos, protestos e ataques planejados contra ativos físicos.

○ Rastreando as intenções e capacidades dos atores de ameaças tentando degradar a marca de uma empresa

○ Infraestrutura de adversário e análise de atribuição de identificação de spearphishing contra executivos, propriedade intelectual, instalações ou funcionários.

○ Compartilhamento de inteligência com parceiros federais ou do setor para interromper ameaças e atores de ameaças

○ Monitoramento de fóruns de código aberto ou fechado para identificar o conluio de atores de ameaças internas e externas

○ Mapas de calor para identificar taxas de criminalidade e riscos potenciais para locais físicos estrangeiros ou locais futuros

● Segurança de Viagem

○ Monitoramento de geolocalização OSINT e de mídia social para determinar distúrbios, sentimentos negativos ou hostilidades que possam atrasar ou interromper os planos de viagem

○ Rastreamento de padrões de viagem de pessoal que podem representar risco para executivos ou instalações

○ Compartilhamento de inteligência com parceiros federais ou do setor se um executivo ou funcionário estiver em perigo e precisar ser removido

● Risco Regulatório/ambiental Específico para Negócios

○ Monitoramento OSINT e dark web para identificar fornecedores que fazem negócios com cidadãos estrangeiros de alto risco ou estados-nação

○ Análise de atribuição para identificar indivíduos que apresentam um risco regulatório ou ambiental para o negócio

○ Imprensa estrangeira e análise da mídia do risco regulatório e ambiental para o negócio

● Risco Geopolítico

○ Análise da imprensa estrangeira e da mídia das tensões em curso entre os estados-nação que afetam os negócios

○ Análise de infraestrutura de adversários de ameaças de desinformação em plataformas de governos hostis visando civis inocentes que são funcionários de uma empresa

○ Pesquisa de ameaças para encontrar e correlacionar atores maliciosos com conjuntos de dados externos

● Investigações Globais

○ Colaboração entre investigadores, conselheiro geral e recursos humanos para informar a aplicação e as políticas que reduzem o risco.

○ Interrupção da rede de ameaças por meio de ações legais

○ Identificação de atores por meio de divulgação pública, atribuição, compartilhamento com a aplicação da lei e formuladores de políticas

○ Informar as empresas e pesquisadores da indústria e alertar as vítimas

É cada vez mais claro que as disciplinas de segurança física e de informação têm grandes sobreposições. O uso do OSINT para revisar lacunas de cobertura e identificar problemas não é um projeto pequeno e pode levar até 18 meses para ser concluído, de acordo com o GSOC e os profissionais de inteligência contra ameaças cibernéticas. No entanto, quando executada corretamente, a inteligência de código aberto não é apenas um facilitador crítico no cenário atual de gerenciamento de riscos, mas também uma ferramenta fundamental de decisão e colaboração para as partes interessadas da unidade de negócios.

FONTE: SECURITYWEEK

POSTS RELACIONADOS

Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

O recente ataque ao Sistema Integrado de Administração Financeira (Siafi) do governo federal em abril de 2024 serviu como um

Ler mais

29/04/2024

O ciclo de vida de um arquivo digital

Por Kushalveer Singh Bachchas No mundo digital, todo documento, imagem, vídeo ou programa que criamos deixa um rastro. Compreender o

Ler mais

26/04/2024

O impacto nocivo da deepfake para as empresas e como se defender

Nos últimos anos, a tecnologia de deepfake tem despertado preocupações significativas em várias esferas da sociedade, e o mundo empresarial

Facilitando a Convergência de Segurança Física e Segurança Cibernética com Inteligência de Código Aberto

POSTS RELACIONADOS

Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

O ciclo de vida de um arquivo digital

O impacto nocivo da deepfake para as empresas e como se defender

Categorias

Posts Recentes

Como o Governo pode reforçar a segurança do Siafi após o ataque de 2024

O ciclo de vida de um arquivo digital

O impacto nocivo da deepfake para as empresas e como se defender

Lições das empresas de video games: a automação libera uma monitoração e observabilidade robustas

O papel dos controles de acesso na prevenção de ameaças internas

A importância de reduzir o tempo de resposta a incidentes de cibersegurança na equipe de TI

Feito por VP DIGITAL