O que é um feed de inteligência contra ameaças?

Os feeds de inteligência contra ameaças são fluxos de dados externos que ajudam as equipes de segurança a identificar ameaças.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Descrever o tipo de informação contida em um feed de inteligência contra ameaças
  • Discutir as vantagens de usar um feed de inteligência contra ameaças
  • Compreender as fontes de inteligência contra ameaças

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é um feed de inteligência contra ameaças?

Um feed de inteligência contra ameaças é um fluxo de dados sobre possíveis ataques (conhecido como "inteligência contra ameaças" ) de uma fonte externa. As organizações podem usar feeds de inteligência contra ameaças para manter suas defesas de segurança atualizadas e prontas para enfrentar os ataques mais recentes.

Um feed de notícias em um site de jornalismo ou um feed em uma plataforma de mídia social mostram atualizações contínuas: novo conteúdo, novas notícias, alterações em histórias em desenvolvimento e assim por diante. Da mesma forma, um feed de inteligência contra ameaças é uma fonte de dados sobre ameaças atualizada de forma contínua: indicadores de comprometimento (IoC), domínios suspeitos , assinaturas conhecidas de malware e muito mais.

Os feeds de inteligência contra ameaças também podem ser comparados ao reconhecimento militar. Um exército pode usar informações sobre o que uma força inimiga está fazendo para tomar decisões sobre como montar suas defesas. Da mesma forma, os feeds de inteligência contra ameaças ajudam as equipes de segurança a se prepararem melhor para ataques cibernéticos atuais e futuros.

Alguns feeds de inteligência contra ameaças são legíveis por máquina; esses feeds podem ser consumidos diretamente por sistemas de Gerenciamento de Informações e Eventos de Segurança (SIEM) e outras ferramentas de segurança. Outros são destinados ao consumo humano, permitindo que as equipes de segurança tomem medidas e decisões.

Muitos feeds de inteligência contra ameaças são gratuitos e de código aberto, a fim de promover a prevenção generalizada de ameaças. Alguns feeds de inteligência contra ameaças são proprietários e estão disponíveis apenas para clientes pagantes.

O que é uma ameaça cibernética?

"Ameaça" pode ser definida como uma ação que pode resultar em roubo, perda, movimentação ou alteração de dados sem permissão. O termo pode se referir tanto a ações possíveis quanto a ações reais.

Se o Chuck roubou a senha de e-mail da Alice e assumiu o controle de sua caixa de entrada, mas ainda não fez isso com o Bob, o Chuck ainda representa uma ameaça para o Bob. A Alice pode querer informar ao Bob o que o Chuck fez, para que o Bob possa tomar medidas para se proteger contra o Chuck. A Alice deu ao Bob uma forma simples de inteligência contra ameaças: "Cuidado com o Chuck!"

Mas, para ser útil para as ferramentas e equipes de segurança, a inteligência contra ameaças precisa ser mais detalhada do que simplesmente "Cuidado com o Chuck." A inteligência contra possíveis ameaças externas pode assumir várias formas.

  • Táticas, técnicas e procedimentos (TTP): TTPs são descrições detalhadas do comportamento do ataque.
  • Assinaturas de malware: uma assinatura é um padrão exclusivo ou uma sequência de bytes pela qual um arquivo pode ser identificado. As ferramentas de segurança podem procurar arquivos com assinaturas que correspondam a um malware conhecido.
  • Indicadores de comprometimento (IoC): esses são dados que ajudam a identificar se um ataque ocorreu ou está em andamento.
  • Endereços de IP e domínios suspeitos: todo o tráfego em uma rede tem origem em algum lugar. Se for observado que os ataques vêm de um determinado domínio ou endereço de IP, os firewalls podem bloquear o tráfego dessa fonte para evitar possíveis ataques futuros.

De onde vem a inteligência contra ameaças em um feed?

As informações em um feed de inteligência contra ameaças podem ser provenientes de várias fontes, inclusive:

  • Análise do tráfego da internet em busca de ataques e exfiltração de dados
  • Pesquisa aprofundada por profissionais de segurança
  • Análise direta de malware, usando análise heurística, sandboxing ou outra detecção de malware
  • Dados de código aberto amplamente disponíveis e compartilhados na comunidade de segurança
  • Rastreamento da web para identificar ataques e infraestruturas de ataques (o Cloud Email Security da Cloudflare, por exemplo, usa uma forma dessa técnica para identificar ataques de phishing com antecedência)
  • Análise e telemetria de dados agregados de clientes de uma empresa de segurança

Um fornecedor de feed de inteligência contra ameaças compila essas informações, adiciona-as ao seu feed e as distribui.

Por que usar o feed de inteligência contra ameaças?

Informações atualizadas: os criminosos cibernéticos querem que seus ataques sejam bem-sucedidos. Por esse motivo, eles estão constantemente mudando e expandindo suas táticas para contornar as defesas. As organizações que estão preparadas para bloquear os ataques do ano passado podem ser comprometidas pelas táticas de ataque deste ano. Portanto, as equipes de segurança querem os dados mais recentes para informar suas defesas e garantir que possam impedir os ataques mais recentes.

Maior amplitude de informações: os feeds de inteligência contra ameaças oferecem uma ampla variedade de dados. Voltando ao nosso exemplo, o Bob pode ter impedido o Chuck de roubar sua caixa de entrada de e-mail no passado, mas se a Alice o informar sobre o último ataque do Chuck, então o Bob saberá como bloquear tanto o ataque que enfrentou antes quanto o ataque direcionado à Alice. Da mesma forma, a inteligência contra ameaças permite que as organizações mitiguem uma variedade maior de ameaças.

Melhor eficiência: a aquisição de inteligência contra ameaças de fontes externas permite que as equipes de segurança dediquem mais tempo ao bloqueio de ataques do que à coleta de dados. Os profissionais de segurança podem tomar decisões e implantar mitigações em vez de coletar as informações necessárias para tomar essas decisões. E ferramentas de segurança como WAFs podem aprender a reconhecer ataques antes de enfrentá-los de fato.

Como os feeds de inteligência contra ameaças usam o STIX/TAXII?

STIX e TAXII são dois padrões usados em conjunto para compartilhar inteligência contra ameaças. O STIX é uma sintaxe para formatar a inteligência contra ameaças, enquanto o TAXII é um protocolo padronizado para distribuir esses dados (como HTTP). Muitos feeds de inteligência contra ameaças usam STIX/TAXII para garantir que seus dados possam ser amplamente interpretados e utilizados por várias ferramentas de segurança.

Como a Cloudflare distribui seu feed de inteligência contra ameaças?

A Cloudflare protege uma grande porcentagem dos sites do mundo (com 57 milhões de solicitações HTTP processadas por segundo), permitindo que a Cloudflare analise uma grande quantidade de dados sobre o tráfego de rede e os padrões de ataque. Esses dados são convertidos em inteligência contra ameaças finalizada e acionável, pronta para ser ingerida em ferramentas de segurança (via STIX/TAXII).

A Cloudflare oferece esse feed de inteligência contra ameaças por meio de seu serviço Cloudforce One. Liderado por uma equipe de pesquisa experiente, o Cloudforce One interrompe os invasores cibernéticos em todo o mundo. Saiba mais sobre o Cloudforce One.