Ameaças cibernéticas cercam empresas de todas as verticais e portes. Embasado em conversas que tenho com executivos, na participação de implantação de projetos de segurança e dos dados fornecidos pela consultoria global da Mandiant, concluí que a integração da inteligência de ameaças cibernéticas (CTI, sigla em inglês) deve abranger não apenas programas específicos, como práticas de risco operacional. Isso porque a CTI vai muito além dos dados brutos e de informações angariadas de várias fontes, sejam internas ou externas.
De acordo com o Gartner, a inteligência de ameaças cibernéticas é a capacidade de conhecimento baseado em evidências, o que inclui contexto, mecanismos, indicadores, implicações e aconselhamento sobre indícios existentes – ou emergentes – utilizados para sugestão de respostas aos incidentes quando estes acontecem.
Por isso, é importante entender que a CTI auxilia a reduzir proativamente o risco a partir da completa compreensão de um adversário e de suas capacidades. Mas o que significa ter um programa de segurança cibernética liderado por inteligência?
Com ele, as organizações estão aptas para antecipar, identificar e priorizar as ameaças ativas ou as iniciais para reduzir a exposição e adaptar as defesas; informar funções de risco organizacional, determinando a motivação, capacidade e intenção do adversário; contextualizar e comunicar ameaças cibernéticas em todas as operações de negócios, fornecendo vantagem de decisão à liderança organizacional, bem como às partes interessadas operacionais convencionais de segurança cibernética; alinhar recursos de segurança com base nas ameaças mais relevantes e impactantes que têm direcionado a empresa.
De que forma é possível mensurar todas essas etapas? – Ao responder as seguintes perguntas: com qual frequência a empresa respondeu a um incidente com uma compreensão limitada das motivações do ator de ameaça e suas táticas, técnicas e procedimentos (TTPs)?; A organização pode conectar um incidente a atores e campanhas de ameaças específicas?; As ameaças reais x as percebidas podem ser validadas e priorizadas com base no nível de risco que elas representam?; As questões de segurança podem ser traduzidas para uma linguagem de negócios que os executivos entendam e possam agir?; Os produtos CTI são usados para ajudar a alcançar níveis aceitáveis do asseio cibernético?; As alterações de arquitetura são feitas com base na correlação de dados de ameaças operacionais?; Existe uma base de conhecimento de inteligência com análise personalizada para ajudar a responder rapidamente a quem, o quê, por que, quando e como sobre as ameaças?; Quantos relatórios foram escritos que apoiaram uma decisão comercial?
Se uma organização não consegue responder a estes questionamentos de forma consistente e repetitivamente, pode ser indício de uma lacuna de inteligência ou de função subutilizada em sua estrutura, uma vez que a inteligência de ameaças confiável, acionável e rica em contexto informa os principais tomadores de decisão desta companhia, incluindo analistas de centro de operações de segurança, respondedores de incidentes e líderes executivos.
Para incorporar esta capacidade de inteligência, há três elementos-chave a serem considerados no programa:
Retrato da ameaça organizacional
Manter o perfil de ameaça de linha de base periodicamente atualizado é uma forma eficaz de ter o panorama consistente sobre as ameaças, vulnerabilidades e riscos enfrentados pela organização, além de deter informações essenciais sobre o ambiente e a operação. Compreender o perfil de ameaça da organização garantirá operações de segurança focadas com capacidades de inteligência de ameaças cibernéticas e outras funções de gerenciamento de riscos.
Análise das partes interessadas
Saber como os produtos e serviços da CTI podem ou serão consumidos, a fim de fornecer inteligência relevante e acionável, é fundamental. Para atender às demandas de negócios em constante mudança, esse processo deve ser revisado regularmente e incluir feedback para garantir que as necessidades das partes interessadas sejam consideradas. Por isso, deve-se seguir o subprocesso de análise que inclui as seguintes etapas: identificar as partes envolvidas; associar valor e função ao time de inteligência; definir as aplicações que serão utilizadas; determinar frequência, formato e conteúdo; estabelecer resultados de ações e feedback.
Requisitos de inteligência
Estes devem traçar uma necessidade específica, assim como serem explícitos para garantir que a ameaça seja compreendida e que as ações para combatê-la serão tomadas. Ao saber quem são os adversários que podem direta ou indiretamente sinalizar o negócio é fundamental para o desenvolvimento de requisitos de inteligência eficazes.
As capacidades de inteligência de ameaças eficazes transformam tecnologias, conhecimentos e processos de segurança existentes na redução da exposição e do risco às funções e serviços críticos dos negócios. Com a integração de pessoas, processos e tecnologias, o programa de segurança cibernética liderado por inteligência garante às organizações o consumo, interpretação e aplicação do CTI para proteger as informações e os sistemas do negócio.
* Leandro Roosevelt é diretor de vendas da FireEye Brasil