Denúncia de ameaças cibernéticas: como proceder?

De acordo com André Duarte, coordenador de Operações do Arcon Labs, com o STIX é possível denunciar e ajudar os interessados a se protegerem informando sobre ataques persistentes (campanhas) e indicações

Compartilhar:

Quando uma ameaça cibernética surge, que tipo de informações são importantes termos a respeito? Como gostaríamos que nos comunicassem? Respondendo à estas perguntas seria possível chegar a um padrão para denúncias de ameaças. Este padrão não só existe, como está sendo preparado para ser comunicado diretamente entre sistemas computacionais. Trata-se do Structured Threat Information Expression (STIX).

 

Com o STIX é possível denunciar ameaças e ajudar os interessados a se protegerem informando sobre ataques persistentes (campanhas) e indicações de ameaças. Por exemplo, pode-se avisar sobre um hacker ou grupo de hackers com motivação ideológica que usa dispositivos IoT para atacar empresas do setor energético, identificando origens e/ou destinos. Dessa forma, quando detectadas ameaças, podemos anunciá-las e/ou recebê-las entre sistemas de forma estruturada para tomada de ações. Mas como isso se traduz computacionalmente? A seguir, explicarei um pouco como esta comunicação foi padronizada.

 

Serialização

 

O formato de transmissão digital (serialização) é JSON por padrão, ou seja, é obrigatória sua implementação. Além deste formato pode-se dar opção de XML.

 

Objetos

 

Os objetos de domínio do STIX (STIX Domain Objects, ou ainda SDO) são: Attack Pattern; Campaign; Course of Action; Identity; Indicator; Intrusion Set; Malware; Observed Data; Report; Threat Actor; Tool e Vulnerability.

 

Existem também os objetos de relacionamento (SRO) que mostram como um SDO está ligado a outro. Por exemplo, um objeto do tipo Indicator pode definir um relacionamento dele mesmo com o tipo Malware, ou seja, seria um indicador de origem/destino de algum codigo malicioso.

 

Observables

 

Representações de objetos observáveis e suas propriedades para serem usados em um SDO. Um endereço IP é um exemplo de objeto observável.

 

Vocabulário

 

É um catálogo fixo e definido de termos (strings) para usar como valores possíveis em propriedades de objetos no STIX. Por exemplo, para descrever motivações de um ator para ataque cibernético (Atack Motivation) à uma empresa podemos usar os termos accidental, coercion ou ideology (acidente, coerção ou ideologia), dentre outros.

 

O vocabulário padrão evita que um anunciante escreva o valor “Energy” e outro “Energy Sector” para referenciar a mesma coisa. Embora deva-se seguir o vocabulário definido sempre que possível, o padrão permite que se criem novos termos em casos especiais.

 

Conclusão

 

No mundo cibernético, a comunicação é uma ótima aliada para minimizar os riscos de uma ameaça cibernética se propagar. Vemos isso se concretizar a cada dia com Threat Intelligence e a adoção da linguagem STIX. Quanto mais esta se proliferar, mais segura a internet será.

 

* André Duarte é coordenador de Operações do Arcon Labs

 

Conteúdos Relacionados

Security Report | Overview

NFL forma parceria para segurança de redes em jogos internacionais

Com a expansão da parceria com a Cisco, as crescentes operações internacionais da NFL vão aproveitar soluções em todo o...
Security Report | Overview

Cibersegurança nas eleições: O Brasil está pronto para uma onda de ataques DDoS?

Relatório da Akamai Technologies mostra como ataques DDoS crescem ao redor do mundo e colocam em risco instituições democráticas
Security Report | Overview

Quase duas mil instituições de ensino sofrem ataques cibernéticos por ano no Brasil

Relatório da Verizon aponta que o setor de Educação é muito visado por criminosos cibernéticos e especialista aponta o que...
Security Report | Overview

Laboratório detecta novas vulnerabilidades em sistemas WordPress, Cisco e Google

O relatório da consultoria Redbelt também revelou uma falha no ChatGPT para macOS, que pode ter permitido espionagem persistente. A...