[av_slideshow_full size=’no scaling’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full id=’8361′][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=’14’ font_color=” color=”]

Qual a importância de investir em Inteligência de Ameaças Cibernéticas (CTI)?

A inteligência de ameaça é um termo popular no setor de segurança, e se tornou uma frase atrativa para uma variedade de tecnologias. Este material ajudará a esclarecer o que é a inteligência de ameaças e porque ela é fundamental para organizações de todos os tamanhos para melhorar na detecção de ameaças e na tomada de decisões.

Uma tendência recente e importante no mercado de segurança é investir em serviços de inteligência de ameaças, devido à alguns motivos, e enxergamos o atual cenário de ameaças como o principal. De acordo com o Internet Security Threat Report de 2017 da Symantec, mais de 7 bilhões de dados foram expostos em vazamentos nos últimos 8 anos, além de mais de 1 milhão de novos malwares produzidos por dia.

Existem quatro aspectos que se relacionam no ambiente de Segurança da Informação que devem ser levados em consideração quando falamos sobre Inteligência de ameaças, que são:

O conceito de glocal

Pensamento global com atuação local, ou seja, pensar nas tendências que estão acontecendo a nível global modificando comportamentos e interesses e aplicar isso aos negócios. Porque globalização é uma tendência dos negócios, e por isso é necessário entender o que está acontecendo no mundo e aplicar à sua realidade.

Marcas

A marca é um conjunto de ideias que têm valor. E esse é o maior ativo das empresas, porque é a representação da reputação e da credibilidade delas. Entretanto, marca é um ativo intangível, e por isso não existe firewall que possa protegê-la.

Imagine agora, que você é um dos diretores da maior companhia brasileira de comunicação. Sua marca está intacta, seu nome está consolidado no mercado e sua credibilidade é inegável. Mas, devido à um incidente de segurança, um hacker é capaz de interromper a transmissão do seu principal telejornal e do seu portal de notícias online substituindo a programação original por conteúdo odioso, causando um caos. Você consegue calcular o grau de impacto que um episódio desse traria para a essa marca? Gigante né?

Pois é, inclusive algo muito próximo disso aconteceu com a TV5Monde, um dos principais canais de TV da França, que foi retirado do ar em abril de 2015 após um ataque com um malware direcionado. Inicialmente, o grupo Cyber Caliphate ligado ao Estado Islâmico assumiu a responsabilidade. Entretanto, agora, uma investigação sugere que o ataque foi realizado por um grupo de hackers russos.

O ataque usou um software malicioso personalizado para corromper e destruir o hardware conectado à Internet que controlava as operações da estação de tv, como os sistemas de codificação utilizados para transmitir programas.

Esse ataque poderia ter colocado fim a companhia, e de acordo com Yves Bigot, diretor geral da TV5Monde, eles só foram salvos da destruição total porque um dos técnicos encontrou a máquina infectada e a desconectou da Internet paralisando o ataque.

O que observamos nesse exemplo é que esse tipo de incidente, não é um incidente de TI e sim de marca, de reputação. E é aí que talvez more o maior valor e o maior problema desse tipo de ataque.

Quarta Revolução Industrial:

A quarta revolução industrial será marcada pela convergência de tecnologias digitais, físicas e biológicas.

A partir da aplicação de tecnologias como a Internet das Coisas, por exemplo, teremos dispositivos físicos conectados à sensores inteligentes através da Internet, permitindo um monitoramento e uma análise avançada das máquinas que são capazes de enviar dados em tempo real.

O que possibilita reunir e interpretar dados, a fim de utilizar essas informações para uma gestão mais eficiente. Por isso, essa fase é conhecida como revolução do conhecimento e da comunicação, ou Era da Informação.

Ripple Effect

Também conhecido como efeito cascata ou efeito dominó. A ideia por trás do ripple effect é de que um gatilho seja o ponto inicial de uma série de acontecimentos que se sucedem sem parar, criando um ciclo vicioso esbarrando em diversos âmbitos, incluindo os que não se relacionam diretamente.

Inclusive, esse foi um dos temas abordados na talk de abertura do CTO da RSA, Zulfikar Ramzan na RSA Conference de 2017. Confira abaixo.

Quando há aumento no preço do combustível, por exemplo, também há aumento nos preços dos produtos transportados, afetando o preço dos alimentos, dos salários e aumentando a circulação de dinheiro, que consequentemente aumentam os empréstimos e por aí vai.

Um caso real que exemplifica essa ideia foi o que aconteceu com a YAHOO! quando estava em processo de negociação com a Verizon em 2016. Nos EUA, as empresas são obrigadas por lei à reportarem incidentes de segurança, e com isso a YAHOO! precisou reportar um vazamento de dados sensíveis ocorrido em 2013. Sendo assim, de acordo com a Bloomberg Technology, no momento em que a YAHOO! reportou esse vazamento de dados, suas ações perderam 350 milhões de dólares em valor de mercado, comprometendo a negociação.

Mas o que esses quatro aspectos têm a ver com Inteligência de Ameaças Cibernéticas?

Bom, a resposta é simples. Essas quatro esferas estão conectadas. E sendo assim, a partir do momento em que você observa tendências e entende que ameaças podem se desdobrar de n formas, e inclusive afetar não só a sua organização, mas a indústria como um todo, você mensura os impactos que podem ser causados, e dessa forma consegue minimizá-los através da Inteligência de ameaças.

Relacionar uma ameaça que está acontecendo, não necessariamente no seu campo de atuação, ou no seu país, mas que pode se desenrolar (no curto, médio ou longo prazo) e afetar não só a sua estrutura de negócio, mas também outras entidades importantes na sociedade, criando impactos também dentro da sua indústria.

Um bom exemplo para ilustrar esse cenário, foi o que aconteceu com uma startup israelense de transação de criptomoeda, a CoinDash.  A empresa teve um prejuízo de 7 milhões de doláres devido a um ataque de defacement, ou seja, o site da empresa foi hackeado e nele colocado uma nota falsa indicando que o site havia sido invadido e que, a fim de minimizar danos, os investidores deveriam transferir seu dinheiro para uma nova conta. Conta esta dominada pelos criminosos.  O mais incrível foi que a janela entre a publicação da nota e a derrubada intencional do site durou 3 minutos.

O mundo interconectado têm seus ônus, e a sensibilidade é o maior deles. No tempo de comunicações analógicas, o tempo entre o acontecimento do evento e a percepção de seu impacto era suficiente para que até o agente mais despreparado tivesse intervalo para uma reação adequada, sendo assim 3 minutos não seriam suficientes nem para uma notícia chegar a próxima esquina, quiçá para causar algum impacto financeiro relevante para o mundo.

Já no mundo globalizado, com infinitos agentes interconectados em redes complexas de comunicação instantânea, o tempo de resposta a incidentes não é suficiente nem para que os agentes envolvidos possam conferir se trata de uma informação verdadeira, nesse caso, 3 minutos foram suficientes para que investidores ao redor do mundo reconsiderassem suas expectativas em relação a criptomoedas.

Tudo isso, marcas, países ou qualquer coisa intangível, se tornou sensível devido à globalização e consequentemente diluição de barreiras.  Sendo assim, sensibilidade, nesse caso, refere-se à capacidade de resistência e reação à estímulos externos. Sensibilidade é, por exemplo, concentrar toda a comunicação virtual de um país em uma única fonte.

Em 2011, a georgiana Hayastan Shakarian, de 75 anos, foi presa depois que supostamente cortou um cabo de fibra óptica que atravessava a Geórgia para a Armênia, enquanto cavava para achar cobre. O incidente deixou 90% dos internautas na Armênia sem conexão com a Internet por quase 12 horas.

Episódios como esse são um lembrete oportuno de que no mundo da tecnologia, basta a quebra de um elo para derrubar milhares de empresas.

Sendo assim, se o objetivo é diminuir a superfície de ataque para minimizar os riscos e ficar menos à mercê de fatores externos, as empresas precisam abrir mão do modelo de segurança endógeno, aquele que cresce para dentro da organização e se atentar para variáveis que vão além das estruturas controláveis, ou seja as variáveis externas.

Para fazer uma analogia, imagine que estamos em um jogo de futebol onde nossos ativos são gols e nossa segurança é o goleiro.

Nesse caso, o goleiro está virado para o gol – pensar segurança de maneira endógena é não olhar para os jogadores, e sim para o alvo, ou seja, para o ambiente interno. Tentar implementar defesa sem estratégia, ou seja, sem saber quais capacidades, motivações, intenções, armas dos inimigos, torna-se um esforço custoso, ineficaz e ineficiente.

O motivo é que o gol não para de crescer – o Gartner estima que 8.4 bilhões de dispositivos estarão conectados à Internet até o final de 2017 – e com eles, novos tipos de vulnerabilidades e formas de ataque.

Para resolver essa questão, seria necessário investir em uma abordagem mais eficiente, contando com três frentes, que são:

  • CTI – conhecer quais são as ameaças, suas motivações e seu comportamento, criando um plano de resposta adequado e diminuindo o tempo de remediação.
  • Defensive Engagement of the Threat – observar e explorar técnicas, ferramentas e procedimentos (TTP’s) das ameaças em ambientes forjados (de laboratório).
  • Comunicação – compartilhar conteúdo e consumi-lo de maneira estruturada. Se você descobre que está doente, você avisa para que os que estão a sua volta possam tomar a vacina ou até mesmo inventá-la.

Conceituando CTI

A tecnologia da informação aproxima as pessoas e conecta os pontos, mas cria um single point of failure. Ou seja, imagine uma tecnologia que é capaz de conectar pessoas e negócios. Caso alguém consiga comprometer determinada rede vinculada à essa tecnologia, essa pessoa poderá comprometer todas as outras coisas que estiverem ligadas à essa rede, resultando em grandes impactos. Criando uma externalidade negativa, efeito conhecido em redes.

Pense em uma rede muito bem aceita e bem fechada, que pode ser desmoronada à medida que se crie uma instabilidade nela. No caso de Tecnologia da Informação e Comunicação, essa rede não é bem fechada, ela está cheia de buracos, um bom exemplo é a Internet, que é a principal tecnologia dessa Era. Ela está cheia de buracos porque não foi pensada a partir do ponto de vista da segurança, o que significa dizer que agora é necessário aplicar correções na rede mundial de computadores, a fim de garantir a segurança do que foi construído em cima dessa plataforma, criando negócios mais seguros.

Outra coisa que precisa ser levada em consideração ao falar de CTI, é a ameaça. Nesse caso, entendemos ameaça como qualquer possibilidade de explorar alguma vulnerabilidade e colocar organizações em risco. No campo da tecnologia, os tempos de detecção e remediação são críticos, o que caracteriza uma janela perfeita para que ataques ocorram.

No episódio do WannaCry, por exemplo, a combinação se deu através de um cryptoransomware, para sequestro de dados usando a DoublePulsar para explorar uma vulnerabilidade que já era conhecida, somada a uma característica de worm, para aumentar o potencial de proliferação, explorando uma vulnerabilidade nova, a Eternal Blue.

Cada vez mais fala-se sobre a conexão entre sistemas, softwares e ativos da tecnologia da informação conectando os negócios, ou seja, a superfície de contato para um vetor é cada vez maior. Mas ainda tem um outro fator importante nessa já complexa equação, que é a motivação.

Nesse ecossistema existem n atores com motivações diferentes, desde os caras que são patrocinados por governos até cibercriminosos oportunistas que querem fazer dinheiro rápido explorando vulnerabilidades conhecidas. Sendo assim, ameaça é quando se tem uma técnica, com alguma motivação e com capacidade de explorá-la.

Além da ameaça, outro conceito que faz parte da inteligência de ameaças, é a ideia de contexto. Contexto, nesse caso é a combinação entre a visibilidade do episódio com os indicadores de risco como por exemplo a anatomia do malware, ou seja, entender seu comportamento.

O WannaCry começou na Espanha, por volta das 3 da manhã no horário de Brasília. O Brasil não foi o epicentro do ataque, entretanto, a medida que o episódio foi ganhando visibilidade somado com os indicadores de risco, empresas no mundo inteiro fizeram um movimento para minimizar/impedir danos e prejuízos. Caso os mercados ocidentais não tivessem se movido para prevenir que a ameaça explorasse e comprometesse seus sistemas, o efeito teria sido ainda mais devastador. Inteligência de ameaça serve para isso.

A conclusão é que não se pode prever o output de determinados fenômenos. E quando falamos de contexto cibernético, impactos para a marca, quarta revolução industrial, e todas essas coisas conectadas, estamos falando que a exploração de uma vulnerabilidade para um atacante, pode ter efeitos imprevisíveis, pode ser o caos para as organizações. E é, exatamente, por isso, que empresas devem monitorar o comportamento de possíveis ameaças, a fim de que possam se prevenir.

Entendendo a Inteligência de Ameaças

Tenha em mente o atual cenário, o mundo está cada vez mais conectado, o valor das empresas intangível, sistemas e redes mais integrados, e comprometer isso pode trazer impactos a nível mundial. Sendo assim, um incidente no mercado asiático pode afetar uma empresa brasileira ou um malware que foi desenvolvido para atacar um país x pode causar danos em outros países e empresas. No caso do WannaCry foi exatamente isso que aconteceu.

“Mas o que isso tem a ver com as empresas dos meus clientes ou com a minha própria empresa? ”

Nada, se formos míopes e não tivermos o entendimento de que essas técnicas e procedimentos alimentam o cenário de ameaças. À medida que cibercriminosos descobrem vulnerabilidades e tem acesso às ferramentas necessárias para explorá-las, o grau de risco ao qual as empresas estão submetidas, aumenta. E é aqui que a inteligência de ameaças entra em ação.

Vamos pensar em inteligência no contexto militar, usando  o criptoanalista e cientista da computação britânico Alan Turing como exemplo. O matemático ajudou os aliados a desvendar o segredo da ENIGMA, uma máquina desenvolvida pelos nazistas para a criptografia de mensagens, quebrando a criptografia alemã, decifrando as mensagens e antevendo as futuras movimentações dos alemães, e consequentemente ajudando a pôr fim na segunda guerra. A inteligência aplicada tanto ao conceito da guerra quanto ao ciberespaço ajuda na prevenção a partir da detecção.

Ou seja, a partir de um contexto é possível observar o comportamento do ator da ameaça, – detecção – classificando se ela é eminente, pouco ou muito provável de acontecer, e dessa maneira criar uma resposta específica para aquela ameaça impedindo que ela afete os negócios e empresas, porque será possível priorizar ações – melhor tomada de decisão – a partir da associação prévia entre informações e ameaças específicas.

Na Segunda Guerra Mundial, os ingleses, no entanto, ao decifrarem as informações dos alemães, ganharam uma vantagem competitiva, podendo ter uma tomada de decisão mais acertada. Isso foi possível porque eles já sabiam qual era o próximo passo dos nazistas, e com isso conseguiam se proteger contra o que estava por vir, e de certa forma até contra-atacá-los. Isso é inteligência no contexto militar.

O objetivo da inteligência de ameaça no contexto cibernético é extrair do inimigo o que é relevante e aplicar no seu próprio contexto. E é exatamente por isso, que muitas empresas fazem monitoramento de Deep Web e Dark Web, para interceptar a comunicação entre hackers ou grupos de cibercrime e se proteger contra os ataques que estão por vir.

Concluindo

Inteligência de ameaças é, portanto, um conjunto de informações que ajudam a tomar decisões melhores sobre o que priorizar frente às ameaças que se é mais suscetível, e não ficar à mercê das ameaças. É, portanto, uma arma essencial para detectar e prevenir ataques avançados de invasores bem fundados com objetivos e alvos específicos.

Além disso, em geral a inteligência de ameaça cibernética é muito mais útil porque oferece maior visibilidade, resposta mais rápida a ataques direcionados, melhor comunicação executiva, planejamento estratégico aprimorado e investimento para a organização de segurança.

Para isso é necessário ter capacidade de resposta à incidentes, saber quais são as técnicas de invasão, fazer gestão das vulnerabilidades para entender quais são as dificuldades do ambiente e ter uma biblioteca de ameaças, para entender e documentar comportamentos encontrados. Ou seja, monitorar as ameaças a fim de criar contexto e saber o que deve ser feito de acordo com as diferentes formas de ataque.

E por fim, é importante lembrar que não é possível se prevenir antes de detectar. É na parte de detecção que mora o investimento mais sábio, porque só será possível fazer a detecção através da análise de informações, ou seja, você só reconhece um ataque se tiver inteligência da informação sobre ele.

Inteligência essa, que, inclusive, pode vir de diferentes fontes como em ferramentas open source, redes sociais, feeds de setor, o governo, contatos privilegiados em grupos que monitoram ameaças, ferramentas pagas, entre outros. O mais interessante aqui é como essas informações vão ser utilizadas.

Fazendo uma analogia, podemos comparar as previsões no cenário cibernético com previsões de fenômenos naturais. Ou seja, se um grupo de especialistas prevê que um furacão está se aproximando da costa de um país x e que causará determinados impactos, a população tem tempo e informação para tomar decisões melhores. Nesse caso, o mesmo acontece na indústria cibernética quando uma ameaça é identificada, analisada e comunicada.

A partir do momento em que você tem a informação de que algo que pode te causar impacto está prestes a acontecer, você tem tempo e informações necessárias para realizar ações preventivas, e impedir ou diminuir os danos, à medida que tais informações forem aplicadas aos níveis operacional, estratégico e tático.
[/av_textblock]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2017/09/quadro-1030×531.png’ attachment=’8350′ attachment_size=’large’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]