Você sabe o que é Cyber Kill Chain?

[av_slideshow_full size=’entry_without_sidebar’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full id=’8491′][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=” font_color=” color=”]

Você sabe o que é Cyber Kill Chain?

Para entender o o que é Cyber Kill Chain, seu conceito e como aplicá-lo ao dia-a-dia da operação, é necessário entender como está o cenário de ameaças cibernéticas. Entendendo o cenário e fazendo a análise da ameaça, é possível remediar danos e em alguns casos, quando a ameaça é identificada em um firewall, por exemplo, impedir sua atuação.

Em 2016 de acordo com o FBI, a indústria do ransomware realizou mais de quatro mil ataques por dia, faturando – ou custando às empresas – mais de um bilhão de dólares. Até setembro de 2016, 18 milhões de novos malwares foram capturados.

Nesse artigo, vamos falar sobre o conceito de kill chain, e para explicarmos esse tema, o conceito de ransomware será muito abordado. Sendo assim, se você não está tão familiarizado com o conceito de ransomware e quer entender um pouco mais sobre essa ameaça, consulte nosso artigo clicando aqui.

Você deve estar se perguntando: como é possível que as ameaças continuem sendo tão bem-sucedidas em seus propósitos apesar de tantos investimentos em tecnologias de ponta e tanta preocupação dos líderes de TI em proteger seu ambiente?

Uma das principais razões para isso são as APT – ameaças persistentes avançadas. Essas ameaças exigem mais planejamento e investimento dos hackers para burlar as diversas camadas de segurança do alvo e por isso são tão avançadas e difíceis de serem percebidas e tratadas.

O outro motivo é que as defesas cibernéticas continuam focando seus esforços em prevenção e perímetro. E quando a defesa do ambiente está focada em perímetro, concentrando-se nos ativos mais vulneráveis, o atacante só precisa ser bem-sucedido uma única vez, pois uma vez que ele passou pela borda e conseguiu acesso à rede alvo, ele estará livre para realizar suas ações maliciosas movimentando-se lateralmente.

Estar prevenido contra ameaças é importante, mas com a mudança no cenário de ameaças e a evolução delas, a prevenção não pode mais ser tratada como única forma de defesa. A defesa precisa estar em todas as camadas da rede e do computador, não somente no perímetro.

E é exatamente por isso, que a abordagem de Cyber Kill Chain é um aliado nessa necessidade. Já que é um modelo de inteligência com foco em defesa para identificação e prevenção de ciberataques.

Entendendo melhor: cenário fictício

Em uma rede de computadores focada em prevenção e perímetro, uma ameaça ou APT conseguiu passar da prevenção e chegar até o computador do presidente da empresa, que tem informações valiosíssimas e confidenciais.

Esse caso foi percebido pelo analista de firewall, que estava olhando os logs brutos da ferramenta e percebeu uma comunicação suspeita originária do IP do computador do presidente.

Neste cenário, significa que o ataque foi realizado com sucesso?

Resposta: não necessariamente. Para saber se o ataque foi bem-sucedido, são necessárias mais informações e a compreensão do objetivo daquela ameaça. Afinal, se você não sabe a intenção da ameaça, ou seja, o que ela queria realizar com o ataque, nunca vai saber se ela concluiu os objetivos.

E, para entender o objetivo da ameaça, é preciso entender o que é Cyber Kill Chain.

O que é Cyber Kill Chain?

Em 2011, os analistas da empresa Lockheed Martin, fabricante de produtos aeroespaciais, criaram o Cyber Kill Chain ™ para ajudar o processo de tomada de decisão para melhor detecção e resposta a intrusões.

O nome Kill Chain se dá porque uma vez que um elo da corrente é quebrado, é possível que todo o ataque tenha sido interrompido.

Os estágios de um ataque:

1.      Reconnaissance (Reconhecimento):

Durante o estágio de reconhecimento, o ator da ameaça realiza pesquisas sobre o alvo. Esta pesquisa pode ser feita de várias maneiras, como visualização do alvo em sites públicos, seguindo funcionários da empresa, coletando informações técnicas como IP públicos e servidores web, por exemplo.

O LinkedIn e outros sites de redes sociais facilitam a reunião de informações sobre o alvo e colaboradores. Na maior parte das vezes, o foco fica naqueles que tem cargos que possuem maiores privilégios dentro do sistema da organização, como os analistas de TI de cargos mais altos.

2.      Weaponization (Armação)

Quando o alvo é identificado e estudado, os atacantes começam a desenvolver seus ataques e as ferramentas que serão utilizadas. Podem tanto ser ferramentas criadas e desenvolvidas por eles mesmo quanto ferramentas compradas na deep web.

Essas ferramentas podem explorar vulnerabilidades de sistemas que sejam publicamente conhecidas ou não.

3.      Deliver & Exploit & Install (Entrega & Exploração & Instalação)

A etapa de entrega é quando o atacante vai enviar o seu programa malicioso para o alvo. A forma mais utilizada costuma ser o spear-phishing, que é um vetor de ataque direcionado, ou seja, com alvos bem determinados.

A etapa de Exploit é quando o atacante explora alguma vulnerabilidade, seja ela já conhecida ou não. As vulnerabilidades que não são publicamente conhecidas são conhecidas como zero-day.

A etapa de Install é a instalação de um RAT (remote access trojan) ou backdoor no sistema alvo que permite ao atacante ter controle sobre o sistema infectado.

4.      Command & Control (Comando e Controle)

Para que uma ameaça seja considerada uma AT, ou seja, persistente e avançada, vai precisar existir uma comunicação entre a ameaça e o atacante que a enviou. Chamamos essa comunicação de Command & Control.

Logo, quando a ameaça não tem essa comunicação, ela não é considerada persistente, e portanto não é mais uma APT, mas ainda assim pode ser uma ameaça avançada, como por exemplo o famoso caso do Stuxnet, que foi considerado um APT, mas na verdade é apenas um AT (advanced threat). Entenda o caso a partir do artigo do SANS.

5.      Actions on Objectives (Ações no Objetivo)

Somente depois de passar por todas as etapas anteriores, o atacante poderá realizar seu objetivo, que pode ser roubo de informações confidenciais, criptografia de dados (com um ransomware, por exemplo), destruição do sistema ou somente entrar no sistema daquela vítima como mais uma etapa para se mover lateralmente pela rede para infectar outro sistema e concluir um objetivo maior.

A Matriz de Curso de Ação:

A matriz de curso de ação é uma matriz que mostra, de acordo com o estágio da Cyber Kill Chain, quais ferramentas podem ser usadas para superar as fases, em cima de objetivos.

Os objetivos são: detectar, negar, interromper, degradar, enganar e destruir, conforme mostrado na imagem abaixo:

Essa matriz é importante pois é uma inteligência em que os analistas podem se basear para alinhar com as capacidades defensivas já existentes na empresa. E isso também ajuda a planejar roteiros para investir em lacunas que a matriz acima possa deixar, como a falta de um filtro de e-mail, por exemplo.

É importante mencionar que essa matriz foi retirada de um documento da Lockheed Martin, feito em 2005, ou seja, há mais de 10 anos. Muitas das ferramentas mencionadas são utilizadas até hoje, porém a maioria já está trabalhando de forma diferente, agregando inteligência ao trabalho. Como o Antivírus (AV), mencionado na linha Installation, coluna Disrupt, que foi substituído pelo Next Generation Antivírus.

Inclusive, se você quiser mais informações a respeito de antivírus, a PROOF produziu uma série de conteúdos sobre a temática, basta clicar em alguns dos links abaixo:

Vamos explorar esse assunto (lacunas da matriz de curso de ação) um pouco mais a frente.  Agora, para entender melhor a Cyber Kill Chain e como quebrá-la, vamos estudar um caso real.

O Cenário Real

Em março de 2011, aproximadamente um mês depois de hospedar a maior conferência de segurança cibernética do mundo – a RSA Conference, a RSA (a divisão de segurança da EMC) anunciou publicamente que foi vítima de um ataque APT bem-sucedido.

De acordo com a própria RSA, que, inclusive, emitiu uma carta aberta para seus clientes,  um hacker enviou e-mails de phishing para alguns funcionários da RSA contendo um exploit zero day dentro de um arquivo Excel que explorava uma vulnerabilidade no Adobe Flash (CVE-02011-0609).

A empresa deu poucos detalhes técnicos sobre o ataque que sofreu, limitando-se a informar que a mensagem havia sido “forjada bem o suficiente para convencer um funcionário a retirá-la da pasta de spam e abrir o arquivo Excel anexado”. Um relatório técnico que foi publicado tempos depois mostra, no entanto, que o anexo do e-mail se chamava 2011 Recruitment Plan e que ele estava no formato Excel.

O ataque usou uma variante do malware chamado Poison Ivy, que na época era um trojan de acesso remoto (RAT) amplamente disponível e, além de ter capacidades de RAT (comunicar-se com um servidor de Comando & Controle para envio de informações e coleta de instruções), o Poison Ivy também conseguia evadir a detecção por ferramentas de Antivírus, na época.

O pesquisador Timo Hirvonen pode ter descoberto a mensagem que iniciou o ataque, de acordo com o título do e-mail, citado pelo executivo da RSA, entretanto a RSA não confirmou a autenticidade do e-mail.

A RSA assumiu que houve um vazamento de dados relacionado ao token SecurID, usado por fabricantes de armas e segurança para o exército norte-americano, como a Lockheed Martin, que fabrica os caças 22.

Pouco depois da violação da RSA, várias empresas de defesa, incluindo Lockheed Martin, revelaram que sofreram ataques cibernéticos em suas redes.

Meses depois, A Lockheed Martin, confirmou que o ataque sofrido pela empresa teve como ponto de partida a invasão sofrida pela companhia de segurança RSA.

Colocando o exemplo no Cyber Kill Chain

Colocando as etapas do ataque no Cyber Kill Chain, temos o seguinte cenário:

Relembrando a Matriz de Curso de Ações, mencionada anteriormente, será que alguma daquelas ferramentas poderia cessar/interromper o ataque?

Este incidente com a RSA mostra que, mesmo as empresas mais conscientes de segurança da informação podem ter fraquezas em sua postura de segurança. Podemos então usar a máxima de que não é mais SE um incidente de segurança vai acontecer, é QUANDO.

Porém, a RSA ainda está nos negócios até hoje e continua sendo uma referência em cibersegurança. Isso se deve a sua rápida identificação e resposta ao incidente mencionado, que foi decisivo para minimizar as consequências para os clientes.

Lição aprendida: “Estamos diante de um incêndio que se aproxima. Você não conseguirá impedir o fogo, mas terá a oportunidade de controlá-lo” Claudio Neiva, VP de Pesquisas do Gartner

Como realmente quebrar a corrente?

Resposta: aplicando a arquitetura de segurança adaptativa.

Arquitetura de Segurança Adaptativa Contínua (CARTA)

CARTA (Continuous Adaptative Risk and Trust Assessment) é uma estratégia que amplia a capacidade dos profissionais de diversas áreas de entenderem o que é risco.”  Claudio Neiva, VP de Pesquisas do Gartner

Se a questão agora é quando um incidente de segurança vai acontecer, a preocupação é como detectar e responder ao incidente. Por isso algumas abordagens já partem da premissa que os sistemas estão comprometidos e exigem monitoramento contínuo, com mecanismos de resposta automática e imediata, visando conter ameaças ativas e neutralizar potenciais vetores de ataque, como a CARTA.

A CARTA é composta por 4 pilares. São eles

Capacidade preventiva

Este é o conjunto de políticas, ferramentas e processos que visam prevenir a ocorrência de ataques bem-sucedidos. Como mencionado no início deste artigo, a prevenção ainda é importante, mas não será o foco único a partir de agora.

Capacidades de detecção

São os controles planejados para identificar ataques que obtiveram sucesso nas medidas preventivas. Atualmente, isso vai além do simples correlacionamento de eventos (dadas por ferramentas SIEM – Security Information and Event Management), que agora precisam incorporar algoritmos de Data Analytics, detecção de padrões de comportamentos, machine learning, capacidades cognitivas, etc .

Capacidades de resposta

A forma como a equipe vai responder àquela ameaça – seja ela automática ou não. Aqui é realizado o ciclo de resposta à incidentes que vai permitir investigar e remediar o incidente encontrado.

Capacidades preditivas

São as capacidades de prever ataques e analisar tendências. Como o panorama de ameaças é dinâmico e evolui de forma rápida, é fundamental uma combinação eficaz das técnicas de detecção avançadas apontadas acima com uma sofisticada rede de Inteligência de Ameaças Cibernéticas – que agregue inteligência específica do setor da economia, fornecidas por fabricantes, identificadas por provedores globais de serviços de monitoramento de segurança.

E quando falamos de Inteligência de Ameaças Cibernéticas, estamos falando de

CTI – Cyber Threat Intelligence

A inteligência de ameaça cibernética, ou CTI, é o que a informação de ameaça cibernética se torna, uma vez que foi coletada, avaliada no contexto de sua fonte e confiabilidade e analisada através de técnicas estruturadas.

A coleta, classificação e exploração do conhecimento sobre adversários é usada para reduzir a probabilidade de sucesso do adversário com cada tentativa subseqüente de intrusão. E utilizando essa inteligência dentro da Cyber Kill Chain, é possível analisar padrões e identificar quando um atacante que já tentou atacar anteriormente e está tentando de novo.
[/av_textblock]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]

[/av_one_third][av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_team_member name=’Natasha Cunha’ job=’Cyber Security Intelligence Analyst ‘ src=’http://www.proof.com.br/wp-content/uploads/2017/10/NATASHA2.png’ attachment=’9525′ attachment_size=’full’ description=” font_color=” custom_title=” custom_content=”]
[av_team_icon title=’Perfil no LinkedIn’ link=’https://www.linkedin.com/in/natasha-cunha-287186aa/’ link_target=’_blank’ icon=’ue8fd’ font=’entypo-fontello’]

[/av_team_member]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Qual a importância da conscientização de usuários para a Segurança da Informação?

[av_slideshow_full size=’no scaling’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full slide_type=’image’ id=’8389′ video=’http://’ mobile_image=” video_format=” video_ratio=’16:9′ title=” custom_title_size=” custom_content_size=” caption_pos=’caption_bottom’ link_apply=” link=’lightbox’ link_target=” button_label=’Click me’ button_color=’light’ link1=’manually,http://’ link_target1=” button_label2=’Click me’ button_color2=’light’ link2=’manually,http://’ link_target2=” font_color=” custom_title=” custom_content=” overlay_opacity=’0.5′ overlay_color=” overlay_pattern=” overlay_custom_pattern=”][/av_slide_full]
[/av_slideshow_full]

[av_textblock size=’14’ font_color=” color=”]

Qual a importância da conscientização de usuários para a Segurança da Informação?

O universo da Segurança da Informação vem passando por um momento de mudanças graduais, constantes e significativas devido ao avanço tecnológico e ao crescimento do cibercrime.

Inicialmente, os problemas de Segurança da Informação se baseavam em vírus e pichações nas páginas da Internet. Atualmente, entretanto, a introdução de tecnologias como IoT, por exemplo, apesar de terem trazido mais velocidade e eficiência para os negócios, também ampliaram a superfície de ataque, aumentando, consequentemente, o êxito dos ataques cibernéticos.

Uma estimativa da Cybersecurity Ventures – consultoria internacional na área de Segurança da Informação – demonstra que os crimes cometidos por invasores virtuais causaram um prejuízo de US$ 5 bilhões para as empresas em 2016. E, além disso, a entidade prevê que esse custo subirá para US$ 6 trilhões até 2021.

Isso porque os cibercriminosos estão cada vez mais sofisticados. Ao invés de se exporem atacando diretamente as redes das organizações, em que sabem que existem muitos mecanismos de proteção e detecção implementados, atacam o elo mais fraco da cadeia, o usuário.

Segundo o Gartner Group, 70% dos incidentes de segurança que realmente causam prejuízos financeiros para as empresas, envolvem insiders. No caso da Yahoo!, que perdeu milhões de dólares em negociações devido à um vazamento de dados, tudo começou com um e-mail phishing, um dos golpes que usa táticas de engenharia social para atingir seus objetivos.

Atualmente, muitas empresas estão sendo invadidas por ataques simples e nada sofisticados. Os cibercriminosos tem utilizado técnicas de engenharia social, por exemplo, para persuadir as pessoas e conseguirem acesso às redes ou às informações. Ataques que poderiam ser totalmente evitados caso os usuários tivessem sido conscientizados.

A conscientização em Segurança da Informação é capaz de gerar mudança no comportamento de todos e por isso é vista como uma ferramenta com grande potencial para beneficiar as organizações.

Por que investir em Campanhas de Conscientização de Segurança da Informação?

A grande repercussão dos casos de ciberataque, seguidos de vazamentos de informação corporativa, tem despertado a atenção do público em geral para a questão da Segurança da Informação.

Esse ainda é um assunto novo para muitos e o investimento em conscientização e treinamento para todos os níveis da organização, é, ainda hoje, uma das melhores e mais efetivas práticas de gestão de Segurança da Informação.

Todos os guias de boas práticas de gestão de SI apontam para a necessidade de envolver os usuários no processo de segurança. E, por isso, assim como Firewall, Antispam e Antivírus, a conscientização em Segurança é parte essencial em qualquer processo de Segurança da Informação.

Funcionários conscientes do quão importante são os dados e informações, com os quais trabalham, e de seu papel na proteção desses ativos, redobram seus níveis de atenção e proteção.

Isso faz com que seja diminuído o sucesso dos ataques que poderiam vazar dados da empresa, dos colaboradores e até mesmo dos clientes, debilitando a imagem da empresa.

Portanto, os membros da organização ficarão mais atentos a ataques e dispostos a participar de treinamentos à medida que forem se conscientizando da importância do papel que desempenham dentro da empresa. Podendo, inclusive, propor novas medidas de segurança, deixando de ser apenas um usuário conscientizado, e passando a ser um usuário participativo.

O que para as empresas é extremamente valioso, levando em consideração que, hoje em dia, os funcionários são vistos pelos intrusos como potenciais alvos. E, por isso as empresas devem enxergar seus membros como soldados, e usá-los como uma extensão dos mecanismos de detecção e resposta.

De acordo com uma pesquisa sobre cibercrime elaborada pela PwC em 2014, companhias que não investiram em conscientização para a Segurança da Informação, tiveram um prejuízo anual de US$ 683 mil como resultado de ataques cibernéticos, enquanto as companhias que investiram em conscientização e treinamentos desse tipo perderam, em média US$ 162 mil.

Tendo em mente o atual cenário e as estatísticas apresentadas, fica claro que investir em campanhas de conscientização não só protegem a sua empresa, mas também qualificam o seu time, aumentando o engajamento dos colaboradores e agregam valor ao seu negócio.

Agora a questão é: por onde começar?

Criando conscientização voltada à área de Segurança da Informação

O primeiro passo é definir um objetivo. Não só identificar e entender as necessidades do seu negócio, mas também enxergar valor na ideia de conscientizar a sua equipe.

Em seguida, é importante que seja desenvolvida uma Política de Segurança da Informação. A PSI é a grande diretriz da organização em matéria de segurança da informação.

Contudo, somente a criação de uma Política de Segurança da Informação não garante a segurança da empresa. Os colaboradores devem cumprir com a política estabelecida e é aqui que as campanhas de conscientização entram como recurso, garantindo que toda a empresa seja treinada, educada e conscientizada de acordo com as políticas e procedimentos da organização.

E para isso, é imprescindível que os usuários aprendam algumas boas práticas de comportamento e uso da Internet, evitando que as ameaças afetem os negócios da empresa. Sendo assim, listaremos abaixo algumas práticas simples, mas que garantem mais segurança não só para o usuário, mas principalmente para a organização.

1. Bloquear o computador ao se ausentar do posto de trabalho a fim de que ninguém tenha acesso aos seus dados.

Imagine que você está trabalhando em uma proposta para um projeto de milhões de reais para sua empresa. Em um dado momento você sentiu sede e se levantou para pegar um copo d’água se afastando de seu computador.

Você estava distraído e não se preocupou em bloquear sua máquina. Nesse mesmo momento, alguém com más intenções poderá se aproveitar dessa brecha para colher informações, danificar seu projeto ou alterar dados, o que terá um impacto muito negativo no seu trabalho e consequentemente, na sua empresa.

Uma medida tão simples e que evita problemas tão grandes. Afinal, é melhor prevenir do que remediar, certo?

 2. Nunca disponibilizar logins e senhas, mesmo que para colegas de trabalho.

Se você fornece seus dados pessoais para alguém você precisa ter em mente que esta pessoa poderá utilizar esses dados para quaisquer ações.

Sendo assim, caso ele(a) utilize-os a fim de roubar informações, danificar sistemas ou cometer infrações, você não terá como provar que não foi o infrator.

Além disso, nem todos trabalham com acesso às mesmas informações, o que quer dizer que talvez você possua informações que são confidencias e que não devem ser compartilhadas com outros membros da empresa.

3. Ter atenção ao falar sobre a empresa, clientes ou negócios em táxis, elevadores e metros, por exemplo.

Pense que você está no elevador de sua empresa com um colega de trabalho conversando sobre a nova proposta de negócio que a empresa de vocês recebeu da empresa XPTO. Nesse momento, o elevador para e duas pessoas entram.

Vocês continuam conversando sobre a proposta, mencionando o nome da empresa XPTO, no que consiste o projeto, preços, etc.

O que você não poderia prever é que as duas pessoas que dividiam a cabine de elevador com você e seu colega, eram nada mais nada menos do que funcionários de uma empresa concorrente, que utilizaram as informações fornecidas ingenuamente por vocês para fazer uma contraproposta para a empresa XPTO e ganharam o projeto que seria da sua empresa, resultando em um grande prejuízo financeiro.

Portanto, é de extrema importância tomar cuidado ao falar publicamente sobre as informações confidenciais e importantes da sua empresa.

4. Utilizar as redes sociais com segurança, não disponibilizando informações sigilosas ou fazendo contato com desconhecidos.

Hoje em dia, cibercriminosos utilizam as redes sociais para coletarem informações relevantes, como ocupação, endereço, amigos e gostos, sobre seus alvos a fim de usá-las em ataques de engenharia social.

Ou mesmo para distribuir malware pelas máquinas! Sim, é possível. Você não ficou sabendo do caso de ataque de worm no Facebook Messenger que distribuiu o malware?

5. Verificar atentamente os e-mails.

Ataques de phishing são cada vez mais frequentes, e inclusive existe uma outra vertente desse golpe chamada de spear phishing que visa alvos específicos, em geral funcionários de empresas visadas pelos atacantes.

Sendo assim, é fundamental que ao receber um e-mail de um remetente desconhecido, você preste atenção ao conteúdo e aos comandos desse e-mail.

É importante ter em mente, que ainda que você esteja sendo pressionado a tomar uma atitude, é sempre melhor se certificar de que se trata de um email legítimo, evitando prejuízos financeiros e de reputação.

Inclusive, de acordo com o último relatório da Norton Cyber Security Insights de 2016, 42 milhões de brasileiros foram afetados por ciberataques, resultando em uma perda de US$ 10,3 bilhões.

E o mais alarmante é que 44% não sabiam identificar um phishing ou garantir se um e-mail era legítimo ou não.

6. Nunca fotografar o ambiente de trabalho, principalmente telas de computador e documentos.

Suponha que você fotografou alguns documentos e gráficos da empresa para poder trabalhar de casa.  Mas, acontece que você não sabia que seu telefone celular estava infectado com um malware, que permitia que um grupo de ciberatacantes tivesse acesso a todos os dados do seu celular.

Sendo assim, à medida que você disponibilizou informações sobre a empresa no seu dispositivo, os cibercriminosos tiveram acesso a esses dados, expondo sua empresa, ou seja, deixando-a vulnerável apenas por um comportamento negligente seu.

7. Reportar à equipe de Segurança de sua empresa qualquer problema ou desconfiança em relação às atitudes suspeitas na Internet.

A equipe de segurança da sua empresa precisa ser vista como sua aliada. Dessa forma, é extremamente importante relatar todo e qualquer tipo de problema ou suspeitas para esse time, a fim de que os especialistas fiquem cientes do que está acontecendo e possam analisar e reagir aos incidentes, diminuindo as chances de sucesso de possíveis ataques.

8. Seguir as políticas e práticas de segurança da empresa, a fim de que exista uma gestão funcional de segurança.

Aqui por exemplo, a fim de exemplificar esse ponto, citaremos um episódio que ocorreu em 2010. O jornalista americano Mat Honan, teve sua conta iCloud invadida, depois que um funcionário da Apple, passou seus dados para alguém que se dizia ser o titular de sua conta, descumprindo as políticas internas da organização.

Tendo esse cenário como base, torna-se evidente que investir em campanhas de conscientização de segurança é algo imprescindível. Hoje, na Era da Informação, os dados são vistos como o novo recurso natural, ou como a nova moeda de troca e, por isso, segurança precisa ser vista como um caminho que precisa ser seguido para que negócios sejam feitos.

Qual o papel das campanhas de conscientização na criação de uma cultura de segurança nas empresas?

De acordo com o consultor Michael Santarcangelo, conscientização para a segurança é “a percepção individual das consequências de uma ação, aliada à habilidade de avaliar sua intenção e impacto”

Ou seja, para ele o objetivo dos programas de conscientização é munir as pessoas com informações e experiências, a fim de que elas construam uma consciência própria e saibam como agir ao identificar um ataque.

Segundo o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos, “a razão da conscientização é focar a atenção na segurança. Deve ajudar os indivíduos a reconhecer as preocupações da área de Segurança da Informação e responder corretamente” e é exatamente por isso, que as campanhas de conscientização para Segurança da Informação devem atingir todos os membros da empresa, mirando todos os níveis da organização, incluindo gerentes e profissionais de nível sênior.

Criar consciência para a questão da segurança é uma maneira de garantir que os membros da organização entendam seu papel na proteção dos dados sensíveis, e que compreendam a importância do constante preparo necessário para enfrentar novos desafios, dado que a criação de consciência para segurança é um ciclo.

Conclusão

As entidades que são referência na área de Segurança da Informação, apontam a conscientização do usuário, como um dos passos iniciais para que uma cultura de segurança seja criada dentro do ambiente empresarial.

Isso porque, as campanhas visam não só educar e conscientizar o colaborador, mas procura informá-lo sobre as reais ameaças as quais ele está exposto, ensinando como identificar e reagir aos diferentes ataques online.

Estar consciente não significa saber tudo sobre todos as possíveis formas de ataque às quais você pode ser submetido, mas sim, entender o grau de importância das informações com as quais você está lidando e redobrar sua atenção e cuidado a fim de proteger os dados mais sensíveis e os ativos essenciais da sua empresa.

Garantindo que esses ataques não sejam capazes de desestabilizar sua organização ou abalar sua reputação perante o mercado de atuação.

Sendo assim, tendo políticas e práticas de segurança bem definidas, aparatos tecnológicos capazes de identificar e impedir ataques e uma equipe conscientizada, educada e engajada com as suas causas, dificilmente você sofrerá com prejuízos causados por ciberataques.

E aí, curtiu o conteúdo e quer saber mais sobre como tirar suas políticas do papel? Visite a página da nossa oferta, a PSAP – PROOF Security Awareness Program, e fale com de nossos especialistas 😉


[/av_textblock]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,203′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/A5_-_7_dicas_contra_phishing_durante_o_período_de_IR.png’ attachment=’7049′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-phishing’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING IR

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-facts.png’ attachment=’7051′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/phishing-facts-infografico’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING FACTS

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/thumb_phishing-calendar.png’ attachment=’7050′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/phishing-calendar’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

PHISHING CALENDAR

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]

Qual a importância de investir em Inteligência de Ameaças Cibernéticas (CTI)?

[av_slideshow_full size=’no scaling’ min_height=’0px’ stretch=” animation=’slide’ autoplay=’false’ interval=’5′ control_layout=’av-control-default’ src=” attachment=” attachment_size=” position=’top left’ repeat=’no-repeat’ attach=’scroll’]
[av_slide_full id=’8361′][/av_slide_full]

[/av_slideshow_full]

[av_textblock size=’14’ font_color=” color=”]

Qual a importância de investir em Inteligência de Ameaças Cibernéticas (CTI)?

A inteligência de ameaça é um termo popular no setor de segurança, e se tornou uma frase atrativa para uma variedade de tecnologias. Este material ajudará a esclarecer o que é a inteligência de ameaças e porque ela é fundamental para organizações de todos os tamanhos para melhorar na detecção de ameaças e na tomada de decisões.

Uma tendência recente e importante no mercado de segurança é investir em serviços de inteligência de ameaças, devido à alguns motivos, e enxergamos o atual cenário de ameaças como o principal. De acordo com o Internet Security Threat Report de 2017 da Symantec, mais de 7 bilhões de dados foram expostos em vazamentos nos últimos 8 anos, além de mais de 1 milhão de novos malwares produzidos por dia.

Existem quatro aspectos que se relacionam no ambiente de Segurança da Informação que devem ser levados em consideração quando falamos sobre Inteligência de ameaças, que são:

O conceito de glocal

Pensamento global com atuação local, ou seja, pensar nas tendências que estão acontecendo a nível global modificando comportamentos e interesses e aplicar isso aos negócios. Porque globalização é uma tendência dos negócios, e por isso é necessário entender o que está acontecendo no mundo e aplicar à sua realidade.

Marcas

A marca é um conjunto de ideias que têm valor. E esse é o maior ativo das empresas, porque é a representação da reputação e da credibilidade delas. Entretanto, marca é um ativo intangível, e por isso não existe firewall que possa protegê-la.

Imagine agora, que você é um dos diretores da maior companhia brasileira de comunicação. Sua marca está intacta, seu nome está consolidado no mercado e sua credibilidade é inegável. Mas, devido à um incidente de segurança, um hacker é capaz de interromper a transmissão do seu principal telejornal e do seu portal de notícias online substituindo a programação original por conteúdo odioso, causando um caos. Você consegue calcular o grau de impacto que um episódio desse traria para a essa marca? Gigante né?

Pois é, inclusive algo muito próximo disso aconteceu com a TV5Monde, um dos principais canais de TV da França, que foi retirado do ar em abril de 2015 após um ataque com um malware direcionado. Inicialmente, o grupo Cyber Caliphate ligado ao Estado Islâmico assumiu a responsabilidade. Entretanto, agora, uma investigação sugere que o ataque foi realizado por um grupo de hackers russos.

O ataque usou um software malicioso personalizado para corromper e destruir o hardware conectado à Internet que controlava as operações da estação de tv, como os sistemas de codificação utilizados para transmitir programas.

Esse ataque poderia ter colocado fim a companhia, e de acordo com Yves Bigot, diretor geral da TV5Monde, eles só foram salvos da destruição total porque um dos técnicos encontrou a máquina infectada e a desconectou da Internet paralisando o ataque.

O que observamos nesse exemplo é que esse tipo de incidente, não é um incidente de TI e sim de marca, de reputação. E é aí que talvez more o maior valor e o maior problema desse tipo de ataque.

Quarta Revolução Industrial:

A quarta revolução industrial será marcada pela convergência de tecnologias digitais, físicas e biológicas.

A partir da aplicação de tecnologias como a Internet das Coisas, por exemplo, teremos dispositivos físicos conectados à sensores inteligentes através da Internet, permitindo um monitoramento e uma análise avançada das máquinas que são capazes de enviar dados em tempo real.

O que possibilita reunir e interpretar dados, a fim de utilizar essas informações para uma gestão mais eficiente. Por isso, essa fase é conhecida como revolução do conhecimento e da comunicação, ou Era da Informação.

Ripple Effect

Também conhecido como efeito cascata ou efeito dominó. A ideia por trás do ripple effect é de que um gatilho seja o ponto inicial de uma série de acontecimentos que se sucedem sem parar, criando um ciclo vicioso esbarrando em diversos âmbitos, incluindo os que não se relacionam diretamente.

Inclusive, esse foi um dos temas abordados na talk de abertura do CTO da RSA, Zulfikar Ramzan na RSA Conference de 2017. Confira abaixo.

Quando há aumento no preço do combustível, por exemplo, também há aumento nos preços dos produtos transportados, afetando o preço dos alimentos, dos salários e aumentando a circulação de dinheiro, que consequentemente aumentam os empréstimos e por aí vai.

Um caso real que exemplifica essa ideia foi o que aconteceu com a YAHOO! quando estava em processo de negociação com a Verizon em 2016. Nos EUA, as empresas são obrigadas por lei à reportarem incidentes de segurança, e com isso a YAHOO! precisou reportar um vazamento de dados sensíveis ocorrido em 2013. Sendo assim, de acordo com a Bloomberg Technology, no momento em que a YAHOO! reportou esse vazamento de dados, suas ações perderam 350 milhões de dólares em valor de mercado, comprometendo a negociação.

Mas o que esses quatro aspectos têm a ver com Inteligência de Ameaças Cibernéticas?

Bom, a resposta é simples. Essas quatro esferas estão conectadas. E sendo assim, a partir do momento em que você observa tendências e entende que ameaças podem se desdobrar de n formas, e inclusive afetar não só a sua organização, mas a indústria como um todo, você mensura os impactos que podem ser causados, e dessa forma consegue minimizá-los através da Inteligência de ameaças.

Relacionar uma ameaça que está acontecendo, não necessariamente no seu campo de atuação, ou no seu país, mas que pode se desenrolar (no curto, médio ou longo prazo) e afetar não só a sua estrutura de negócio, mas também outras entidades importantes na sociedade, criando impactos também dentro da sua indústria.

Um bom exemplo para ilustrar esse cenário, foi o que aconteceu com uma startup israelense de transação de criptomoeda, a CoinDash.  A empresa teve um prejuízo de 7 milhões de doláres devido a um ataque de defacement, ou seja, o site da empresa foi hackeado e nele colocado uma nota falsa indicando que o site havia sido invadido e que, a fim de minimizar danos, os investidores deveriam transferir seu dinheiro para uma nova conta. Conta esta dominada pelos criminosos.  O mais incrível foi que a janela entre a publicação da nota e a derrubada intencional do site durou 3 minutos.

O mundo interconectado têm seus ônus, e a sensibilidade é o maior deles. No tempo de comunicações analógicas, o tempo entre o acontecimento do evento e a percepção de seu impacto era suficiente para que até o agente mais despreparado tivesse intervalo para uma reação adequada, sendo assim 3 minutos não seriam suficientes nem para uma notícia chegar a próxima esquina, quiçá para causar algum impacto financeiro relevante para o mundo.

Já no mundo globalizado, com infinitos agentes interconectados em redes complexas de comunicação instantânea, o tempo de resposta a incidentes não é suficiente nem para que os agentes envolvidos possam conferir se trata de uma informação verdadeira, nesse caso, 3 minutos foram suficientes para que investidores ao redor do mundo reconsiderassem suas expectativas em relação a criptomoedas.

Tudo isso, marcas, países ou qualquer coisa intangível, se tornou sensível devido à globalização e consequentemente diluição de barreiras.  Sendo assim, sensibilidade, nesse caso, refere-se à capacidade de resistência e reação à estímulos externos. Sensibilidade é, por exemplo, concentrar toda a comunicação virtual de um país em uma única fonte.

Em 2011, a georgiana Hayastan Shakarian, de 75 anos, foi presa depois que supostamente cortou um cabo de fibra óptica que atravessava a Geórgia para a Armênia, enquanto cavava para achar cobre. O incidente deixou 90% dos internautas na Armênia sem conexão com a Internet por quase 12 horas.

Episódios como esse são um lembrete oportuno de que no mundo da tecnologia, basta a quebra de um elo para derrubar milhares de empresas.

Sendo assim, se o objetivo é diminuir a superfície de ataque para minimizar os riscos e ficar menos à mercê de fatores externos, as empresas precisam abrir mão do modelo de segurança endógeno, aquele que cresce para dentro da organização e se atentar para variáveis que vão além das estruturas controláveis, ou seja as variáveis externas.

Para fazer uma analogia, imagine que estamos em um jogo de futebol onde nossos ativos são gols e nossa segurança é o goleiro.

Nesse caso, o goleiro está virado para o gol – pensar segurança de maneira endógena é não olhar para os jogadores, e sim para o alvo, ou seja, para o ambiente interno. Tentar implementar defesa sem estratégia, ou seja, sem saber quais capacidades, motivações, intenções, armas dos inimigos, torna-se um esforço custoso, ineficaz e ineficiente.

O motivo é que o gol não para de crescer – o Gartner estima que 8.4 bilhões de dispositivos estarão conectados à Internet até o final de 2017 – e com eles, novos tipos de vulnerabilidades e formas de ataque.

Para resolver essa questão, seria necessário investir em uma abordagem mais eficiente, contando com três frentes, que são:

  • CTI – conhecer quais são as ameaças, suas motivações e seu comportamento, criando um plano de resposta adequado e diminuindo o tempo de remediação.
  • Defensive Engagement of the Threat – observar e explorar técnicas, ferramentas e procedimentos (TTP’s) das ameaças em ambientes forjados (de laboratório).
  • Comunicação – compartilhar conteúdo e consumi-lo de maneira estruturada. Se você descobre que está doente, você avisa para que os que estão a sua volta possam tomar a vacina ou até mesmo inventá-la.

Conceituando CTI

A tecnologia da informação aproxima as pessoas e conecta os pontos, mas cria um single point of failure. Ou seja, imagine uma tecnologia que é capaz de conectar pessoas e negócios. Caso alguém consiga comprometer determinada rede vinculada à essa tecnologia, essa pessoa poderá comprometer todas as outras coisas que estiverem ligadas à essa rede, resultando em grandes impactos. Criando uma externalidade negativa, efeito conhecido em redes.

Pense em uma rede muito bem aceita e bem fechada, que pode ser desmoronada à medida que se crie uma instabilidade nela. No caso de Tecnologia da Informação e Comunicação, essa rede não é bem fechada, ela está cheia de buracos, um bom exemplo é a Internet, que é a principal tecnologia dessa Era. Ela está cheia de buracos porque não foi pensada a partir do ponto de vista da segurança, o que significa dizer que agora é necessário aplicar correções na rede mundial de computadores, a fim de garantir a segurança do que foi construído em cima dessa plataforma, criando negócios mais seguros.

Outra coisa que precisa ser levada em consideração ao falar de CTI, é a ameaça. Nesse caso, entendemos ameaça como qualquer possibilidade de explorar alguma vulnerabilidade e colocar organizações em risco. No campo da tecnologia, os tempos de detecção e remediação são críticos, o que caracteriza uma janela perfeita para que ataques ocorram.

No episódio do WannaCry, por exemplo, a combinação se deu através de um cryptoransomware, para sequestro de dados usando a DoublePulsar para explorar uma vulnerabilidade que já era conhecida, somada a uma característica de worm, para aumentar o potencial de proliferação, explorando uma vulnerabilidade nova, a Eternal Blue.

Cada vez mais fala-se sobre a conexão entre sistemas, softwares e ativos da tecnologia da informação conectando os negócios, ou seja, a superfície de contato para um vetor é cada vez maior. Mas ainda tem um outro fator importante nessa já complexa equação, que é a motivação.

Nesse ecossistema existem n atores com motivações diferentes, desde os caras que são patrocinados por governos até cibercriminosos oportunistas que querem fazer dinheiro rápido explorando vulnerabilidades conhecidas. Sendo assim, ameaça é quando se tem uma técnica, com alguma motivação e com capacidade de explorá-la.

Além da ameaça, outro conceito que faz parte da inteligência de ameaças, é a ideia de contexto. Contexto, nesse caso é a combinação entre a visibilidade do episódio com os indicadores de risco como por exemplo a anatomia do malware, ou seja, entender seu comportamento.

O WannaCry começou na Espanha, por volta das 3 da manhã no horário de Brasília. O Brasil não foi o epicentro do ataque, entretanto, a medida que o episódio foi ganhando visibilidade somado com os indicadores de risco, empresas no mundo inteiro fizeram um movimento para minimizar/impedir danos e prejuízos. Caso os mercados ocidentais não tivessem se movido para prevenir que a ameaça explorasse e comprometesse seus sistemas, o efeito teria sido ainda mais devastador. Inteligência de ameaça serve para isso.

A conclusão é que não se pode prever o output de determinados fenômenos. E quando falamos de contexto cibernético, impactos para a marca, quarta revolução industrial, e todas essas coisas conectadas, estamos falando que a exploração de uma vulnerabilidade para um atacante, pode ter efeitos imprevisíveis, pode ser o caos para as organizações. E é, exatamente, por isso, que empresas devem monitorar o comportamento de possíveis ameaças, a fim de que possam se prevenir.

Entendendo a Inteligência de Ameaças

Tenha em mente o atual cenário, o mundo está cada vez mais conectado, o valor das empresas intangível, sistemas e redes mais integrados, e comprometer isso pode trazer impactos a nível mundial. Sendo assim, um incidente no mercado asiático pode afetar uma empresa brasileira ou um malware que foi desenvolvido para atacar um país x pode causar danos em outros países e empresas. No caso do WannaCry foi exatamente isso que aconteceu.

“Mas o que isso tem a ver com as empresas dos meus clientes ou com a minha própria empresa? ”

Nada, se formos míopes e não tivermos o entendimento de que essas técnicas e procedimentos alimentam o cenário de ameaças. À medida que cibercriminosos descobrem vulnerabilidades e tem acesso às ferramentas necessárias para explorá-las, o grau de risco ao qual as empresas estão submetidas, aumenta. E é aqui que a inteligência de ameaças entra em ação.

Vamos pensar em inteligência no contexto militar, usando  o criptoanalista e cientista da computação britânico Alan Turing como exemplo. O matemático ajudou os aliados a desvendar o segredo da ENIGMA, uma máquina desenvolvida pelos nazistas para a criptografia de mensagens, quebrando a criptografia alemã, decifrando as mensagens e antevendo as futuras movimentações dos alemães, e consequentemente ajudando a pôr fim na segunda guerra. A inteligência aplicada tanto ao conceito da guerra quanto ao ciberespaço ajuda na prevenção a partir da detecção.

Ou seja, a partir de um contexto é possível observar o comportamento do ator da ameaça, – detecção – classificando se ela é eminente, pouco ou muito provável de acontecer, e dessa maneira criar uma resposta específica para aquela ameaça impedindo que ela afete os negócios e empresas, porque será possível priorizar ações – melhor tomada de decisão – a partir da associação prévia entre informações e ameaças específicas.

Na Segunda Guerra Mundial, os ingleses, no entanto, ao decifrarem as informações dos alemães, ganharam uma vantagem competitiva, podendo ter uma tomada de decisão mais acertada. Isso foi possível porque eles já sabiam qual era o próximo passo dos nazistas, e com isso conseguiam se proteger contra o que estava por vir, e de certa forma até contra-atacá-los. Isso é inteligência no contexto militar.

O objetivo da inteligência de ameaça no contexto cibernético é extrair do inimigo o que é relevante e aplicar no seu próprio contexto. E é exatamente por isso, que muitas empresas fazem monitoramento de Deep Web e Dark Web, para interceptar a comunicação entre hackers ou grupos de cibercrime e se proteger contra os ataques que estão por vir.

Concluindo

Inteligência de ameaças é, portanto, um conjunto de informações que ajudam a tomar decisões melhores sobre o que priorizar frente às ameaças que se é mais suscetível, e não ficar à mercê das ameaças. É, portanto, uma arma essencial para detectar e prevenir ataques avançados de invasores bem fundados com objetivos e alvos específicos.

Além disso, em geral a inteligência de ameaça cibernética é muito mais útil porque oferece maior visibilidade, resposta mais rápida a ataques direcionados, melhor comunicação executiva, planejamento estratégico aprimorado e investimento para a organização de segurança.

Para isso é necessário ter capacidade de resposta à incidentes, saber quais são as técnicas de invasão, fazer gestão das vulnerabilidades para entender quais são as dificuldades do ambiente e ter uma biblioteca de ameaças, para entender e documentar comportamentos encontrados. Ou seja, monitorar as ameaças a fim de criar contexto e saber o que deve ser feito de acordo com as diferentes formas de ataque.

E por fim, é importante lembrar que não é possível se prevenir antes de detectar. É na parte de detecção que mora o investimento mais sábio, porque só será possível fazer a detecção através da análise de informações, ou seja, você só reconhece um ataque se tiver inteligência da informação sobre ele.

Inteligência essa, que, inclusive, pode vir de diferentes fontes como em ferramentas open source, redes sociais, feeds de setor, o governo, contatos privilegiados em grupos que monitoram ameaças, ferramentas pagas, entre outros. O mais interessante aqui é como essas informações vão ser utilizadas.

Fazendo uma analogia, podemos comparar as previsões no cenário cibernético com previsões de fenômenos naturais. Ou seja, se um grupo de especialistas prevê que um furacão está se aproximando da costa de um país x e que causará determinados impactos, a população tem tempo e informação para tomar decisões melhores. Nesse caso, o mesmo acontece na indústria cibernética quando uma ameaça é identificada, analisada e comunicada.

A partir do momento em que você tem a informação de que algo que pode te causar impacto está prestes a acontecer, você tem tempo e informações necessárias para realizar ações preventivas, e impedir ou diminuir os danos, à medida que tais informações forem aplicadas aos níveis operacional, estratégico e tático.
[/av_textblock]

[av_image src=’http://www.proof.com.br/wp-content/uploads/2017/09/quadro-1030×531.png’ attachment=’8350′ attachment_size=’large’ align=’center’ styling=” hover=” link=” target=” caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_textblock size=” font_color=” color=”]

Gostou do conteúdo? Que tal dar uma olhada no nosso blog? 😉

[/av_textblock]

[av_postslider link=’post_tag,162′ columns=’3′ items=’9′ offset=’0′ contents=’title’ preview_mode=’custom’ image_size=’entry_without_sidebar’ autoplay=’no’ interval=’5′]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_icon_box position=’top’ boxed=” icon=’ue8d2′ font=’entypo-fontello’ title=’PRODUÇÃO DE CONTEÚDO’ link=’manually,http://www.proof.com.br/material-rico/’ linktarget=” linkelement=’both’ font_color=” custom_title=” custom_content=” color=’custom’ custom_bg=’#1f211f’ custom_font=” custom_border=”]

PROOF está se posicionando no mercado como uma empresa referência em segurança e produção de conteúdo relevante. Nosso objetivo é disseminar e compartilhar conhecimento para contribuir ao máximo no amadurecimento do mercado de segurança no Brasil. Isso porque, nós da PROOF, como uma empresa atenta às inovações do mercado de cibersegurança, estamos sempre nos atualizando das principais tendências tecnológicas do mundo, além dos novos vetores de ataque por parte da indústria do cibercrime.

[/av_icon_box]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_one_third first min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/ransomware-saber.png’ attachment=’7032′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/info-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

INFOGRÁFICO RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Buyers-Guide-MSSP_vCapa-01.png’ attachment=’7013′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/buyers-guide-mssp’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

BUYER’S GUIDE

[/av_textblock]
[/av_one_third]

[av_one_third min_height=” vertical_alignment=” space=” custom_margin=” margin=’0px’ padding=’0px’ border=” border_color=” radius=’0px’ background_color=” src=” background_position=’top left’ background_repeat=’no-repeat’ animation=” mobile_display=”]
[av_image src=’http://www.proof.com.br/wp-content/uploads/2015/06/Tudo-que-você-precisa-saber-sobre-ransomware-MAT-RICO.jpg’ attachment=’6450′ attachment_size=’full’ align=’center’ styling=” hover=” link=’manually,http://insights.proof.com.br/ebook-ransomware’ target=’_blank’ caption=” font_size=” appearance=” overlay_opacity=’0.4′ overlay_color=’#000000′ overlay_text_color=’#ffffff’ animation=’no-animation’][/av_image]

[av_textblock size=” font_color=” color=”]

EBOOK RANSOMWARE

[/av_textblock]
[/av_one_third]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_social_share title=” style=” buttons=”]

[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color=” custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color=” icon=’ue808′ font=’entypo-fontello’]

[av_comments_list]