Threat Intelligence: como ela neutraliza ataques cibernéticos

Introdução a Threat Intelligence sobre ameaças cibernéticas e tópicos relacionados, como padrões e estruturas relevantes.

Diante de um cenário de constantes ataques cibernéticos, o Threat Intelligence surge como um conceito aliado na investigação, auxiliando no entendimento de quem são os possíveis inimigos e como eles agem nos seus ataques.

Em um cenário em que ataques cibernéticos se tornam cada vez mais sofisticados, usamos ferramentas igualmente sofisticadas, são ferramentas poderosas, utilizadas para proteger os dados e o conjunto desses dados, uma vez que proteger a Informação é o ativo mais importante do negócio da empresa.

Usando o threat intell é possível avaliar os riscos, sendo o caminho mais assertivo para os analistas e gestores de Segurança da Informação se anteciparem a possíveis ataques ou mitigarem os impactos.

O principal objetivo da Threat Intelligence é mostrar às empresas os diversos riscos que elas enfrentam no que se refere às ameaças externas, como explorações de Zero Day e ameaças persistentes avançadas (APTs).

A inteligência de ameaças e ataques cibernéticos inclui informações detalhadas e o contexto sobre ameaças específicas, como, por exemplo, informações sobre quem está atacando, seus recursos, motivações e os indicadores de comprometimento (IOCs).

Com base nessas informações precisas, as empresas podem tomar decisões sobre como se defender contra os ataques mais prejudiciais.

Ademais, normalmente utilizamos “dados”, “informações” e “inteligência” de forma intercambiável.

A seguir, vamos descrever cada um deles, para entender melhor como a atividade de inteligência de ameaças atua:

 

Todas as empresas que têm a Segurança da Informação na estratégia e na operação de rotina, e desenvolve uma inteligência de ameaças, certamente terão diversos benefícios, como, por exemplo, riscos reduzidos, evitando violações de dados, e, consequentemente, reduzindo custos.

A empresa também consegue conhecer exatamente qual a ameaça que pode ser enfrentada, e, diante disso, desenvolver medidas efetivas de precauções.

Além do mais, é possível estruturar maneiras de responder melhor a incidentes e ataques cibernéticos em tempo real, como uma forma de proteger a empresa e seus dados.

Dados: Indicadores discretos associados a um adversário, como endereços IP, URLs ou hashes.
Informação: Uma combinação de vários pontos de dados que respondem a perguntas, como, por exemplo fazer a pergunta: “Quantas vezes o funcionário acessou meudominio.com dentro do mês?”
Inteligência: É a correlação dos dados e informações para extrair padrões de ações, com base no contexto analisado.

O principal objetivo do threat intelligence é entender a relação entre seu ambiente operacional e seu adversário, bem como defender seu ambiente contra quaisquer ataques.

Você busca esse objetivo desenvolvendo seu contexto de ameaça cibernética, tentando responder as seguintes perguntas:

• Quem está atacando?
• Quais são as suas motivações?
• Quais são as suas capacidades de ataque?
• Quais artefatos e indicadores de comprometimento (IOCs) você deve observar?

Com essas perguntas, a inteligência de ameaças e ataques cibernéticos fará coletada de diferentes fontes, nas seguintes categorias:

• Fontes Internas:

  • Verificar eventos de segurança corporativa, como avaliações de vulnerabilidade e relatórios de resposta a incidentes;
  •  Ler e entender relatórios de treinamento de conscientização cibernética; e
  • Analisar logs e eventos do sistema e servidores.

• Fontes em Comunidades:

  • Ter acesso a fóruns da web;
  • Participar de comunidades da Dark Web para cibercriminosos.

•  Fontes Externas

  • Ter acesso a feeds de informações sobre ameaças (pagos ou gratuitos);
  • Coletar informações de mercados online;
  • Analisar fontes públicas que incluem dados do governo, publicações, mídias sociais, avaliações financeiras e industriais.

Inteligência de ameaças e ataques cibernéticos

Sabendo o que é, as principais características e funções da Threat Intelligence (inteligência de ameaças), vamos conhecer como se aplica esse conceito dentro da empresa.

Existem quatro maneiras de analisar os Threat Intelligence, sendo elas:

• Inteligência estratégica:

Nessa forma, são realizadas análises detalhadas dos riscos e das tendências, objetivando a criação de um panorama sobre os possíveis efeitos de ataques cibernéticos, pode-se afirmar que refere-se a uma visão macro de todo ambiente.

As informações são, em geral, menos técnicas, feitas em briefings ou relatórios, e esclarecem sobre algumas linhas de ações a serem tomadas por criminosos e os padrões das estratégias que eles usam.

Algumas fontes de estudos são usadas nessa forma de estratégia, como, por exemplo:

• Leituras de notícias de mídias locais e nacionais e publicações da área;
• Coleta de documentações de organizações governamentais ou de unidades federativas e entidades políticas, e até mesmo empresarial;
• Descritivos de pesquisa e materiais elaborados por empresas de segurança.

Uma questão relevante nesse contexto é: “Diante da atual realidade, o que pode ocorre de pior?”.

Uma unidade de inteligência de ameaças ou threat intelligence realizada de forma estratégica, requer uma análise aprofundada, que aproveita um grande volume de dados coletados, até mesmo em idiomas diferentes, se for necessário.

O uso de ferramentas apropriadas facilita a coleta, o processamento e a análise de todos esses dados.

• Inteligência Técnica:

Analisa as evidências e artefatos de ataques cibernéticos usados por um adversário, nesse caso, os especialistas focam mais nos sinais técnicos que indicam alguma ameaça à segurança digital.

As equipes de resposta a incidentes podem usar essas informações para criar uma superfície de ataque de linha de base, para analisar e desenvolver mecanismos de defesa.

E-mails de phishing ou URLs fraudulentos, são maneiras valiosas de análises de invasões de engenharia social.

• Inteligência Tática: 

Nesse modelo de Forma Tática, os detalhes das técnicas, como bem dizem, táticas, técnicas e procedimentos (TTPs-Táticas, Técnicas e Procedimentos) das ameaças, são escritos com detalhes mais específicos.

Esta forma de inteligência é baseada em métodos de ataques cibernéticos mais atuais, aqueles ataques que os criminosos estão aplicando com mais recorrência.

Neste caso, a equipe de prevenção compreende melhor como o sistema digital pode ser atacado, assim sendo, os profissionais buscam evidências em URLs, endereços IP, registros de logs de sistema.

Na maioria das vezes, o Threat Intelligence na forma tática, envolve contexto histórico, sendo aplicada por profissionais que participam diretamente da proteção de uma empresa: arquitetos de sistema, time de segurança, administradores etc.

Os relatórios gerados por fornecedores da área de segurança da informação, são os caminhos mais eficientes para obter dados de Inteligência de Ameaças na forma tática.

Estes relatórios oferecem informações importantes, como as ferramentas e a infraestrutura usadas pelos cibercriminosos, com detalhes a respeito de vulnerabilidades do negócio, exploradas por eles e como esses agentes de ataques estão conseguindo evitar a detecção das ferramentas de segurança.

E esse método tático pode ser usado para informar melhorias nos processos e nos controles de segurança, bem como para agilizar as respostas a incidentes, informar toda a equipe de SI e os gestores ligados ao negócio estratégico da empresa.

•  Inteligência Operacional: 

Nesta forma de abordagem, as informações são coletadas de várias fontes, incluindo salas de chats, redes sociais, logs de antivírus e registros de eventos passados. É usado também para antecipar a natureza e o momento de ataques futuros, se houver.

A Inteligência Artificial costuma ser utilizada para automatizar o processamento de centenas de milhares de pontos de dados, inclusive, em vários idiomas.

As equipes de segurança e resposta a incidentes usam inteligência operacional para alterar a configuração de determinados controles, como regras de firewall, regras de detecção de eventos e controles de acesso.

Também pode melhorar o tempo dispensado à resposta, pois as informações fornecem uma ideia mais clara do que procurar.

c) Como podemos utilizar o threat intelligence?

• Na prevenção e detecção:

1. Contra fraudes;
2. SOC: Detecção de intrusos via alertas; e
3. SOC: Detecção de intrusos via enriquecimento de dados.

• Na respostas a incidentes

1. Sobre incidentes em andamentos, novas descobertas;
2. Troca de informações; e
3. Análise de indicadores e enriquecimento de informações.

• No Gerenciamento de Riscos e Tomadas de Decisões Estratégicas

1. Para o negócio; e
2. Para priorização de recursos.

Fontes de inteligência

Na minha opinião, o grande valor de um serviço de Threat Intel é, muitas vezes, estar evidenciado em diversas fontes de informações, antes de tomar uma ação, seja na prevenção do incidente ou até mesmo na resposta a uma ameaça eminente, ou seja, ataques cibernéticos.

Existem métodos digitais de coleta de informações de inteligência e inteligência de ameaças que são divididos em algumas categorias, sendo que estavam antes apenas divididas em OSINT, HUMINT, SOCMINT e FININT, e agora estão:

• HUMINT: Coleta de inteligência feita por contato interpessoal;
• SIGINT: Coleta de inteligência por meio da interceptação de sinais;
• OSINT: Coleta de inteligência a partir de informações disponíveis publicamente (open source);
• Internal Intel: Geração de inteligência interna em uma organização. Pode-se basear em incidentes, adversários conhecidos e seus modos de operação, tentativas de ataques baseadas nos ativos etc.;
• Edge Intel: Coleta de inteligência, análise e uso de informação sobre hosts, fora da rede da organização;
• Closed Source Intel: Inteligência provida por fontes não públicas, desde grupos de trabalhos até fontes pagas;
• SOCMINT: Informações adquiridas por meio de redes sociais; e
• FININT: Informações adquiridas por meio de transações financeiras e comportamento econômico.

Ciclo para Threat Intelligence

Existem diferentes etapas envolvidas no processo de ciclo de inteligência de ameaças, no entendimento a seguir, seguiremos com o ciclo básico e mais usual, que são METAS E OBJETIVOS, COLETA DE DADOS, primeiramente.

Na sequência, vamos apresentar PROCESSAMENTO DE DADOS, depois a ANÁLISE DE DADOS, e, por fim, o RELATÓRIO DESSAS DESCOBERTAS.

Vamos descrever, um pouco, a função de cada uma delas e, posteriormente, mencionar alguns outros detalhes, em conformidade com a imagem abaixo:

Metas e objetivos:

Para selecionar as fontes e ferramentas corretas de inteligência de ameaças, deve ser decidido o que se espera atingir ao adicionar recursos de soluções de estratégia de segurança.

O objetivo alcançado será apoiar as equipes de segurança da informação a interromper potenciais ameaças de ataques cibernéticos, identificadas durante um exercício de modelagem de ameaças.

Alertas atualizados sobre ameaças consideradas de alto risco e impacto, somente será possível com obtenção de dados de inteligência e ferramentas de apoio.

Temos que garantir que a inteligência de ameaças seja coletada e fornecida ao CEO e ao Gestor, para que estejam cientes das mudanças no cenário de vulnerabilidades da empresa.

Coleta de dados:

Os logs de sistemas internos que podem ser coletados de servidores, firewalls, SIEM, por exemplo, controles de segurança e serviços em nuvem, formam a base do programa de inteligência de ameaças de uma empresa.

No entanto, para obter informações sobre os TTPs (Táticas, Técnicas e Procedimentos) mais recentes e a inteligência específica do setor, é comum que as empresas contratem serviços de terceiros, para coletar dados de feeds de ameaças de terceiros

Essas fontes incluem informações vindas de sites de mídia social, fóruns de cibercriminosos, endereços de IP maliciosos, telemetria de antivírus e relatórios de pesquisa de ameaças, até mesmo varreduras de informações na DeepWeb, com informações fraudulentas.

Processamento de dados:

As plataformas ou aplicativos de inteligência de ameaças a ataques cibernéticos, usam máquinas para automatizar a coleta e o processamento de dados, para que possam fornecer continuamente informações sobre as atividades dos agentes de ameaças.

Analisar dados:

Essa etapa envolve encontrar respostas a partir dos dados processados, para realizar perguntas como as que seguem abaixo, que efetivamente colaborem no momento de avaliar se teremos a chance em realizar um bom processamento e inclusive uma boa análise:

1. A fonte de informações é confiável?
2. Ela pode ser validada de alguma forma?
3. A informação coletada afeta a organização de alguma forma?
4. Há contexto na informação?
5. Como ela é relacionada à organização e como podemos nos aproveitar desta?

Um cenário que podemos, por exemplo, propor um questionamento “por que” e “como” ocorreu um evento suspeito.

No exemplo, essa etapa responderia a perguntas sobre quando aconteceu um incidente de phishing, o que o cibercriminoso estava procurando, como os e-mails de phishing e um domínio malicioso foram vinculados e como estão sendo usados.

Relatar descobertas:

Os relatórios devem ser personalizados de acordo com o público que ele será apresentado, para que fique claro como as ameaças descobertas afetam suas áreas de responsabilidade.

Os relatórios devem ser compartilhados com todos os envolvidos ou compartilhado, quando possível, para outras ferramentas de publicações de caso de uso, a fim de melhorar as operações gerais de segurança.

Naturalmente, novas conclusões podem ser obtidas e que exigem que todo o ciclo seja reiniciado.

Sobre Fontes de Threat Intelligence

O nome dado aos locais em que se encontram e de onde são extraídos os conteúdos necessários para alimentar as ferramentas de threat intelligence é amplamente conhecido como “Feed”.

Não existe um padrão para escolha desses locais para alimentar as ferramentas (Feed). Algumas fontes usuais no contexto de threat intell podem parecer incomuns na visão de outras ferramentas, as quais também extraem informações de fontes de dados, como blogs, sites vinculados à Darknet e fóruns.

Para explicar melhor sobre Feeds, ressaltamos que ele é separado em duas categorias: privado e aberto.

Empresas como a Symantec, McAfee, Apura e etc, vendem soluções para threat intelligence e possuem autoria e objetivos distintos.

Feeds abertos, existem os relatórios de pesquisadores de segurança, blogs de fornecedores com soluções de segurança, listas de bloqueios e reputação de URLs e Ips, todos disponíveis publicamente.

Algumas empresas fornecem esses Feeds gratuitos como a Anomali (https://www.anomali.com/pt), Alienvault (https://otx.alienvault.com/).

Existem outras formas de pesquisa que os dados são gerados por infraestrutura computacionais e são fontes de dados que são utilizados por threat intelligence.  Neste caso, são coletados internamente por estes ambientes.

Tenho apresso em mencionar a Organização MITRE, que foi a autora de uma iniciativa que, de forma aberta e colaborativa, concedeu uma estrutura baseada em ontologias, visando o registro e compartilhamento de eventos relacionados à segurança da informação.

A estrutura utilizada no padrão Structured Threat Unformation eXpression (STIX) e criado por iniciativa da MITRE, como uma linguagem para a especificação, captura, caracterização e comunicação padronizada de eventos.

O STIX fornece mecanismo comuns para lidar com informações estruturadas threat intelligence, com a finalidade em melhorar a eficiência, interoperabilidade e o conhecimento no contexto geral do cenário.

Algumas ferramentas pagas a serem pesquisadas, com objetivo de se adequarem ao cenário particular do profissional de segurança da informação, temos a Luminar da empresa Verint, bem como a Threat Intelligence Exchange da empresa McAfee.

Em relação as ferramentas gratuitas, podemos citar a solução STAXX da empresa Anomali. Essa ferramenta tem capacidade de coletar dados, armazená-los e fornece um mecanismo que possibilita ser manipulado por usuário, bem como que os dados apresentados sejam examinados.

Temos uma outra ferramenta interessante, que é a MISP – Malware Information Sharing Plataform, esta ferramenta permite coletar, armazenar e explorar os dados armazenados e seus compartilhamentos.

No entanto, este compartilhamento que fora proposto, necessita de melhorias, por exemplo, não é possível filtrar dados para requisição específica e por usuário.

Até o momento do decorrer da dissertação desse documento, essa melhoria ainda não foi aplicada ao ambiente.

Por fim, o compartilhamento de informações sobre ameaças, pode ser utilizado de forma eficiente, estratégica e eficaz contra ameaças emergentes (A. Mohaisem, O. Al-Ibrahim, C. Kamhoua, K. Kwiat, and L. Njilla, 2017).

Abaixo, conforme mencionado, a ferramenta MISP é fundamental para compartilhar IOC – Indicadores de comprometimento e tem o objetivo de enriquecer a base de inteligência para obtenção de proteção.

A MITRE fornece 14 estágios, digamos, “vivos” e uma lista cada vez maior de técnicas e sub técnicas.

Fornecendo uma excelente maneira de categorizar de forma granular, os ataques que estão ativos e aqueles que podem ocorrer.

Essas categorizações também fornecem descrições detalhadas de técnicas, para que os profissionais de segurança tenham um léxico de ideias para desenvolver.

Com uma riqueza de exemplos, uma wiki de conselhos corretivos, seria perdoável pensar que isso espelhava o diário secreto de um invasor e que era a única maneira de medir a cobertura e a integridade da capacidade de segurança.

 

Abaixo apresento algumas ferramentas comentadas acima e algumas outras serão informadas como referência de formatação e apresentação de Relatórios Threat Intell, como modelos e conhecimentos de ameaças.

Estas ferramentas são importantes e são utilizadas dentro de um Csirt.

• Minemeld – https://www.paloaltonetworks.com/products/secure-the-network/subscriptions/minemeld
• Misp – https://www.misp-project.org/
• Aura – Boitatá – https://apura.com.br/
• Alien Vault – https://otx.alienvault.com/
• Talos Intelligence – https://www.talosintelligence.com/

Conclusão

O conteúdo foi passado de forma mais usual, passado em pontos teóricos e fundamentais para um completo entendimento de Threat Intell e como pode melhorar o nível de segurança corporativa.

É uma solução preventiva, que proporciona maior proteção contra os cibercriminosos, por mais recursos sofisticados que eles usem.

É mais um recurso para auxiliar os profissionais da área, os quais necessitam ter um bom conhecimento e senso de responsabilidade para atuar.

Sendo importante que o profissional possua os seguintes requisitos: gostar de pesquisar, investigar, ter senso investigativo, saber analisar dados, entre outros pontos, as formas de ataques mais usadas pelos hackers e os pontos fracos do sistema.

Pois, conhecendo os pontos falhos, é possível investir em ferramentas que corrigem referidas falhas e fortalecem esses pontos!

---

Sobre o autor do artigo:

• Nome: Abílio Césas Cirelli (Linkedin)
• Minibiografia: Analista de Segurança da Informação certificado no Security+ da Comptia e na Microsoft AZ-500, SC-300. Campo de atuação em Computação Forense e Resposta a Incidente de Segurança, profissional com experiência em análise forense seguindo a ISO 27037. Estudantes de Pós-Graduação em Defesa Cibernética.
• Treinamentos concluídos na AFD:
  • Fundamentos de Forense Digital
  • Computação Forense
  • Documentoscopia e Grafoscopia
  • Forense em Dispositivos Móveis
  • Forense em Memória
  • Perito Forense Digital
  • Threat Intelligence
  • Perícia Judicial e Assistência Técnica Judicial
  • Cyber Security Essencials
  • Autopsy Forensics do Zero ao Avançado
  • Avilla Forensics – Treinamento Oficial
  • Graduação em Gestão da Segurança da Informação
  • Perícia Judicial na Prática
  • Pós-graduando em Defesa Cibernética
  • Pós-graduando em MBA em Gestão de Segurança da Informação