O que é inteligência de ameaças?

A inteligência contra ameaças são informações sobre ataques potenciais. A inteligência contra ameaças ajuda as organizações a tomar medidas para se defenderem desses ataques.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "inteligência contra ameaças"
  • Listar os principais tipos de inteligência contra ameaças cibernéticas
  • Saber mais sobre a inteligência contra ameaças

Copiar o link do artigo

O que é inteligência contra ameaças em segurança cibernética?

Inteligência contra ameaças são informações sobre os possíveis ataques que uma organização pode enfrentar e como detectar e parar esses ataques. As autoridades legais às vezes distribuem cartazes de "Procura-se" com informações sobre suspeitos; da mesma forma, a inteligência contra ameaças cibernéticas contém informações sobre como são as ameaças atuais e de onde elas vêm.

Em termos de segurança digital, uma "ameaça" é uma ação com intenção maliciosa que poderia resultar no roubo, perda ou alteração de dados sem permissão. O termo se refere tanto a possíveis ataques quanto a ataques reais. A inteligência contra ameaças permite que as organizações tomem medidas contra ameaças, em vez de meramente fornecer dados. Cada parte da inteligência contra ameaças ajuda a detectar e evitar ataques.

Alguns tipos de inteligência contra ameaças podem ser alimentados em firewalls, firewalls de aplicativos web (WAFs), gerenciamento de informações e eventos de segurança (SIEM) e outros produtos de segurança, permitindo-lhes identificar e bloquear ameaças de forma mais eficaz. Outros tipos de inteligência contra ameaças são mais gerais e ajudam as organizações a tomar decisões estratégicas maiores.

Quais são os três principais tipos de inteligência contra ameaça?

A maioria das inteligências contra ameaças se encaixa em uma dessas três categorias:

  1. Inteligência estratégica descreve tendências gerais e questões no longo prazo. Também pode incluir as motivações, objetivos e métodos dos invasores conhecidos.
  2. Inteligência operacional descreve as táticas, técnicas e procedimentos (TTP) usados pelos invasores- por exemplo, quais kits de ferramentas de malware ou kits de exploração os invasores usam, de onde vêm seus ataques, ou as etapas que eles normalmente seguem para realizar um ataque.
  3. Inteligência tática são detalhes específicos no terreno sobre ameaças; ela permite que as organizações identifiquem as ameaças caso a caso. Assinaturas de malware e indicadores de comprometimento (IoC) são exemplos de inteligência tática. Ambos os termos são explicados mais abaixo.

O que é uma assinatura de malware?

Uma assinatura é um padrão ou seqüência única de bytes pelos quais o malware pode ser identificado. Da mesma forma que as impressões digitais são usadas para identificar pessoas suspeitas de um crime, as assinaturas ajudam a identificar softwares maliciosos.

A detecção de assinaturas é uma das formas mais comuns de análise de malware. Para ser eficaz, a detecção de assinaturas precisa estar constantemente atualizada com as mais recentes assinaturas de malware identificadas na natureza.

O que são indicadores de comprometimento (IoC)?

Um indicador de comprometimento (IoC) é um dado que ajuda a identificar se um ataque ocorreu ou está em andamento. Um IoC é como um item de evidência física que um detetive pode coletar para determinar quem estava presente na cena do crime. Da mesma forma, certas evidências digitais — atividades incomuns registradas em registros, tráfego de rede para servidores não autorizados etc. — ajudam os administradores a determinar quando ocorreu um ataque (ou está acontecendo no momento) e que tipo de ataque foi.

Sem IoCs, às vezes pode ser difícil determinar se ocorreu um ataque; geralmente beneficia o invasor permanecer indetectado (por exemplo, se ele quiser usar um dispositivo comprometido em uma botnet).

O que é um feed de inteligência contra ameaças?

Um feed de inteligência contra ameaças é um fluxo externo de dados de inteligência contra ameaças. Como um feed RSS para blogs, as organizações podem assinar um feed de inteligência contra ameaças para fornecer atualizações constantes de segurança a seus sistemas.

Alguns feeds de inteligência contra ameaças são gratuitos; outros são pagos e fornecem inteligência proprietária não disponível a partir de fontes abertas.

O que há de exclusivo na abordagem que a Cloudflare adota para coletar inteligência de ameaças?

A Cloudflare está posicionada de forma única para coletar informações sobre ameaças em grande escala. Milhões de sites são protegidos pela Rede da Cloudflare. Ao analisar o tráfego de e para esses sites, a Cloudflare pode identificar padrões de tráfego malicioso de bots, explorações de vulnerabilidades e outros ataques.

A Cloudflare usa essas informações para proteger melhor os clientes. Por exemplo, a Cloudflare cria regras WAF e as implanta para todos os clientes WAF sempre que uma nova ameaça é detectada. O gerenciamento de bots da Cloudflare usa inteligência contra ameaças dos bilhões de solicitações que a Cloudflare vê todos os dias para aprender a identificar bots maliciosos.

Para saber mais sobre as ameaças cibernéticas, consulte O que é segurança em aplicativos web?