Denúncia de ameaças cibernéticas: como proceder?

De acordo com André Duarte, coordenador de Operações do Arcon Labs, com o STIX é possível denunciar e ajudar os interessados a se protegerem informando sobre ataques persistentes (campanhas) e indicações

Compartilhar:

Quando uma ameaça cibernética surge, que tipo de informações são importantes termos a respeito? Como gostaríamos que nos comunicassem? Respondendo à estas perguntas seria possível chegar a um padrão para denúncias de ameaças. Este padrão não só existe, como está sendo preparado para ser comunicado diretamente entre sistemas computacionais. Trata-se do Structured Threat Information Expression (STIX).

 

Com o STIX é possível denunciar ameaças e ajudar os interessados a se protegerem informando sobre ataques persistentes (campanhas) e indicações de ameaças. Por exemplo, pode-se avisar sobre um hacker ou grupo de hackers com motivação ideológica que usa dispositivos IoT para atacar empresas do setor energético, identificando origens e/ou destinos. Dessa forma, quando detectadas ameaças, podemos anunciá-las e/ou recebê-las entre sistemas de forma estruturada para tomada de ações. Mas como isso se traduz computacionalmente? A seguir, explicarei um pouco como esta comunicação foi padronizada.

 

Serialização

 

O formato de transmissão digital (serialização) é JSON por padrão, ou seja, é obrigatória sua implementação. Além deste formato pode-se dar opção de XML.

 

Objetos

 

Os objetos de domínio do STIX (STIX Domain Objects, ou ainda SDO) são: Attack Pattern; Campaign; Course of Action; Identity; Indicator; Intrusion Set; Malware; Observed Data; Report; Threat Actor; Tool e Vulnerability.

 

Existem também os objetos de relacionamento (SRO) que mostram como um SDO está ligado a outro. Por exemplo, um objeto do tipo Indicator pode definir um relacionamento dele mesmo com o tipo Malware, ou seja, seria um indicador de origem/destino de algum codigo malicioso.

 

Observables

 

Representações de objetos observáveis e suas propriedades para serem usados em um SDO. Um endereço IP é um exemplo de objeto observável.

 

Vocabulário

 

É um catálogo fixo e definido de termos (strings) para usar como valores possíveis em propriedades de objetos no STIX. Por exemplo, para descrever motivações de um ator para ataque cibernético (Atack Motivation) à uma empresa podemos usar os termos accidental, coercion ou ideology (acidente, coerção ou ideologia), dentre outros.

 

O vocabulário padrão evita que um anunciante escreva o valor “Energy” e outro “Energy Sector” para referenciar a mesma coisa. Embora deva-se seguir o vocabulário definido sempre que possível, o padrão permite que se criem novos termos em casos especiais.

 

Conclusão

 

No mundo cibernético, a comunicação é uma ótima aliada para minimizar os riscos de uma ameaça cibernética se propagar. Vemos isso se concretizar a cada dia com Threat Intelligence e a adoção da linguagem STIX. Quanto mais esta se proliferar, mais segura a internet será.

 

* André Duarte é coordenador de Operações do Arcon Labs

 

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...