A inteligência contra ameaças são informações sobre ataques potenciais. A inteligência contra ameaças ajuda as organizações a tomar medidas para se defenderem desses ataques.
Após ler este artigo, você será capaz de:
Copiar o link do artigo
Inteligência contra ameaças são informações sobre os possíveis ataques que uma organização pode enfrentar e como detectar e parar esses ataques. As autoridades legais às vezes distribuem cartazes de "Procura-se" com informações sobre suspeitos; da mesma forma, a inteligência contra ameaças cibernéticas contém informações sobre como são as ameaças atuais e de onde elas vêm.
Em termos de segurança digital, uma "ameaça" é uma ação com intenção maliciosa que poderia resultar no roubo, perda ou alteração de dados sem permissão. O termo se refere tanto a possíveis ataques quanto a ataques reais. A inteligência contra ameaças permite que as organizações tomem medidas contra ameaças, em vez de meramente fornecer dados. Cada parte da inteligência contra ameaças ajuda a detectar e evitar ataques.
Alguns tipos de inteligência contra ameaças podem ser alimentados em firewalls, firewalls de aplicativos web (WAFs), gerenciamento de informações e eventos de segurança (SIEM) e outros produtos de segurança, permitindo-lhes identificar e bloquear ameaças de forma mais eficaz. Outros tipos de inteligência contra ameaças são mais gerais e ajudam as organizações a tomar decisões estratégicas maiores.
A maioria das inteligências contra ameaças se encaixa em uma dessas três categorias:
Uma assinatura é um padrão ou seqüência única de bytes pelos quais o malware pode ser identificado. Da mesma forma que as impressões digitais são usadas para identificar pessoas suspeitas de um crime, as assinaturas ajudam a identificar softwares maliciosos.
A detecção de assinaturas é uma das formas mais comuns de análise de malware. Para ser eficaz, a detecção de assinaturas precisa estar constantemente atualizada com as mais recentes assinaturas de malware identificadas na natureza.
Um indicador de comprometimento (IoC) é um dado que ajuda a identificar se um ataque ocorreu ou está em andamento. Um IoC é como um item de evidência física que um detetive pode coletar para determinar quem estava presente na cena do crime. Da mesma forma, certas evidências digitais — atividades incomuns registradas em registros, tráfego de rede para servidores não autorizados etc. — ajudam os administradores a determinar quando ocorreu um ataque (ou está acontecendo no momento) e que tipo de ataque foi.
Sem IoCs, às vezes pode ser difícil determinar se ocorreu um ataque; geralmente beneficia o invasor permanecer indetectado (por exemplo, se ele quiser usar um dispositivo comprometido em uma botnet).
Um feed de inteligência contra ameaças é um fluxo externo de dados de inteligência contra ameaças. Como um feed RSS para blogs, as organizações podem assinar um feed de inteligência contra ameaças para fornecer atualizações constantes de segurança a seus sistemas.
Alguns feeds de inteligência contra ameaças são gratuitos; outros são pagos e fornecem inteligência proprietária não disponível a partir de fontes abertas.
A Cloudflare está posicionada de forma única para coletar informações sobre ameaças em grande escala. Milhões de sites são protegidos pela Rede da Cloudflare. Ao analisar o tráfego de e para esses sites, a Cloudflare pode identificar padrões de tráfego malicioso de bots, explorações de vulnerabilidades e outros ataques.
A Cloudflare usa essas informações para proteger melhor os clientes. Por exemplo, a Cloudflare cria regras WAF e as implanta para todos os clientes WAF sempre que uma nova ameaça é detectada. O gerenciamento de bots da Cloudflare usa inteligência contra ameaças dos bilhões de solicitações que a Cloudflare vê todos os dias para aprender a identificar bots maliciosos.
Para saber mais sobre as ameaças cibernéticas, consulte O que é segurança em aplicativos web?
Vendas
Sobre segurança de aplicações web
Recursos de VPN
Glossário de segurança
Navegação no Centro de Aprendizagem