A inteligência contra ameaças são informações sobre ataques potenciais. A inteligência contra ameaças ajuda as organizações a tomar medidas para se defenderem desses ataques.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Cross-site scripting
O que é estouro de buffer?
O que é injeção de SQL?
Firewall
Feed de inteligência contra ameaças
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Inteligência contra ameaças são informações sobre os possíveis ataques que uma organização pode enfrentar e como detectar e parar esses ataques. As autoridades legais às vezes distribuem cartazes de "Procura-se" com informações sobre suspeitos; da mesma forma, a inteligência contra ameaças cibernéticas contém informações sobre como são as ameaças atuais e de onde elas vêm.
Em termos de segurança digital, uma "ameaça" é uma ação com intenção maliciosa que poderia resultar no roubo, perda ou alteração de dados sem permissão. O termo se refere tanto a possíveis ataques quanto a ataques reais. A inteligência contra ameaças permite que as organizações tomem medidas contra ameaças, em vez de meramente fornecer dados. Cada parte da inteligência contra ameaças ajuda a detectar e evitar ataques.
Alguns tipos de inteligência contra ameaças podem ser alimentados em firewalls, firewalls de aplicativos web (WAFs), gerenciamento de informações e eventos de segurança (SIEM) e outros produtos de segurança, permitindo-lhes identificar e bloquear ameaças de forma mais eficaz. Outros tipos de inteligência contra ameaças são mais gerais e ajudam as organizações a tomar decisões estratégicas maiores.
A maioria das inteligências contra ameaças se encaixa em uma dessas três categorias:
Uma assinatura é um padrão ou sequência única de bytes pelos quais o malware pode ser identificado. Da mesma forma que as impressões digitais são usadas para identificar pessoas suspeitas de um crime, as assinaturas ajudam a identificar softwares maliciosos.
A detecção de assinaturas é uma das formas mais comuns de análise de malware. Para ser eficaz, a detecção de assinaturas precisa estar constantemente atualizada com as mais recentes assinaturas de malware identificadas na natureza.
Um indicador de comprometimento (IoC) é um dado que ajuda a identificar se um ataque ocorreu ou está em andamento. Um IoC é como um item de evidência física que um detetive pode coletar para determinar quem estava presente na cena do crime. Da mesma forma, certas evidências digitais, atividades incomuns registradas em logs, tráfego de rede para servidores não autorizados etc, ajudam os administradores a determinar quando ocorreu um ataque (ou se está acontecendo no momento) e que tipo de ataque foi.
Sem IoCs, às vezes pode ser difícil determinar se ocorreu um ataque; geralmente beneficia o invasor permanecer indetectado (por exemplo, se ele quiser usar um dispositivo comprometido em uma botnet).
Um feed de inteligência contra ameaças é um fluxo externo de dados de inteligência contra ameaças. Como um feed RSS para blogs, as organizações podem assinar um feed de inteligência contra ameaças para fornecer atualizações constantes de segurança para seus sistemas.
Alguns feeds de inteligência contra ameaças são gratuitos; outros são pagos e fornecem inteligência proprietária não disponível a partir de fontes abertas.
A Cloudflare está posicionada de forma única para coletar informações sobre ameaças em grande escala. Milhões de sites são protegidos pela Rede da Cloudflare. Ao analisar o tráfego de e para esses sites, a Cloudflare pode identificar padrões de tráfego malicioso de bots, explorações de vulnerabilidades e outros ataques.
A Cloudflare usa essas informações para proteger melhor os clientes. Por exemplo, a Cloudflare cria regras WAF e as implanta para todos os clientes WAF sempre que uma nova ameaça é detectada. O Cloudflare Bot Management usa inteligência contra ameaças dos bilhões de solicitações que a Cloudflare vê todos os dias para aprender a identificar bots maliciosos.
Para saber mais sobre as ameaças cibernéticas, consulte O que é segurança em aplicativos web?