Os feeds de inteligência contra ameaças são fluxos de dados externos que ajudam as equipes de segurança a identificar ameaças.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Um feed de inteligência contra ameaças é um fluxo de dados sobre possíveis ataques (conhecido como "inteligência contra ameaças" ) de uma fonte externa. As organizações podem usar feeds de inteligência contra ameaças para manter suas defesas de segurança atualizadas e prontas para enfrentar os ataques mais recentes.
Um feed de notícias em um site de jornalismo ou um feed em uma plataforma de mídia social mostram atualizações contínuas: novo conteúdo, novas notícias, alterações em histórias em desenvolvimento e assim por diante. Da mesma forma, um feed de inteligência contra ameaças é uma fonte de dados sobre ameaças atualizada de forma contínua: indicadores de comprometimento (IoC), domínios suspeitos , assinaturas conhecidas de malware e muito mais.
Os feeds de inteligência contra ameaças também podem ser comparados ao reconhecimento militar. Um exército pode usar informações sobre o que uma força inimiga está fazendo para tomar decisões sobre como montar suas defesas. Da mesma forma, os feeds de inteligência contra ameaças ajudam as equipes de segurança a se prepararem melhor para ataques cibernéticos atuais e futuros.
Alguns feeds de inteligência contra ameaças são legíveis por máquina; esses feeds podem ser consumidos diretamente por sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) e outras ferramentas de segurança. Outros são destinados ao consumo humano, permitindo que as equipes de segurança tomem medidas e decisões.
Muitos feeds de inteligência contra ameaças são gratuitos e de código aberto, a fim de promover a prevenção generalizada de ameaças. Alguns feeds de inteligência contra ameaças são proprietários e estão disponíveis apenas para clientes pagantes.
"Ameaça" pode ser definida como uma ação que pode resultar em roubo, perda, movimentação ou alteração de dados sem permissão. O termo pode se referir tanto a ações possíveis quanto a ações reais.
Se o Chuck roubou a senha de e-mail da Alice e assumiu o controle de sua caixa de entrada, mas ainda não fez isso com o Bob, o Chuck ainda representa uma ameaça para o Bob. A Alice pode querer informar ao Bob o que o Chuck fez, para que o Bob possa tomar medidas para se proteger contra o Chuck. A Alice deu ao Bob uma forma simples de inteligência contra ameaças: "Cuidado com o Chuck!"
Mas, para ser útil para as ferramentas e equipes de segurança, a inteligência contra ameaças precisa ser mais detalhada do que simplesmente "Cuidado com o Chuck." A inteligência contra possíveis ameaças externas pode assumir várias formas.
As informações em um feed de inteligência contra ameaças podem ser provenientes de várias fontes, inclusive:
Um fornecedor de feed de inteligência contra ameaças compila essas informações, adiciona-as ao seu feed e as distribui.
Informações atualizadas: os criminosos cibernéticos querem que seus ataques sejam bem-sucedidos. Por esse motivo, eles estão constantemente mudando e expandindo suas táticas para contornar as defesas. As organizações que estão preparadas para bloquear os ataques do ano passado podem ser comprometidas pelas táticas de ataque deste ano. Portanto, as equipes de segurança querem os dados mais recentes para informar suas defesas e garantir que possam impedir os ataques mais recentes.
Maior amplitude de informações: os feeds de inteligência contra ameaças oferecem uma ampla variedade de dados. Voltando ao nosso exemplo, o Bob pode ter impedido o Chuck de roubar sua caixa de entrada de e-mail no passado, mas se a Alice o informar sobre o último ataque do Chuck, então o Bob saberá como bloquear tanto o ataque que enfrentou antes quanto o ataque direcionado à Alice. Da mesma forma, a inteligência contra ameaças permite que as organizações mitiguem uma variedade maior de ameaças.
Melhor eficiência: a aquisição de inteligência contra ameaças de fontes externas permite que as equipes de segurança dediquem mais tempo ao bloqueio de ataques do que à coleta de dados. Os profissionais de segurança podem tomar decisões e implantar mitigações em vez de coletar as informações necessárias para tomar essas decisões. E ferramentas de segurança como WAFs podem aprender a reconhecer ataques antes de enfrentá-los de fato.
STIX e TAXII são dois padrões usados em conjunto para compartilhar inteligência contra ameaças. O STIX é uma sintaxe para formatar a inteligência contra ameaças, enquanto o TAXII é um protocolo padronizado para distribuir esses dados (como HTTP). Muitos feeds de inteligência contra ameaças usam STIX/TAXII para garantir que seus dados possam ser amplamente interpretados e utilizados por várias ferramentas de segurança.
A Cloudflare protege uma grande porcentagem dos sites do mundo (com 71 milhões de solicitações HTTP processadas por segundo), permitindo que a Cloudflare analise uma grande quantidade de dados sobre o tráfego de rede e os padrões de ataque. Esses dados são convertidos em inteligência contra ameaças finalizada e acionável, pronta para ser ingerida em ferramentas de segurança (via STIX/TAXII).
A Cloudflare oferece esse feed de inteligência contra ameaças por meio de seu serviço Cloudforce One. Liderado por uma equipe de pesquisa experiente, o Cloudforce One interrompe os invasores cibernéticos em todo o mundo. Saiba mais sobre o Cloudforce One.