Um indicador de comprometimento (IoC) é um artefato ou comportamento de rede observado como parte de um ataque cibernético. IoCs podem ser endereços IP, nomes de domínio, URLs da web e hashes criptográficos que ajudam a identificar arquivos específicos.
Quando analistas de segurança compartilham IoCs, outros podem se beneficiar dessas descobertas para proteger suas redes e construir conhecimento sobre atores de ameaças. Afinal, se você vê o mesmo IoC que outra pessoa, pode ter sido atacado pelo mesmo invasor.
IoCs podem ser compartilhados através de feeds de inteligência de ameaças que podem ser integrados em uma Plataforma de Compartilhamento de Informações sobre Malware (MISP). Embora isso seja muito útil para soluções XDR/EDR, esses feeds muitas vezes não têm contexto suficiente sobre a ameaça geral. Sem um contexto apropriado, um analista pode estar quase certo de que um artefato é malicioso, mas achar difícil explicar por quê.
Felizmente, muitos IoCs podem ser encontrados em análises técnicas e relatórios sobre atores de ameaças ou ataques e campanhas cibernéticas. O Polaris, nossa plataforma de inteligência de ameaças, pode coletar esses IoCs enquanto rastreia a campanha, incidente, vulnerabilidade ou ator de ameaça com os quais estão associados.
Sempre que houver necessidade de consultar os IoCs para ameaças específicas, o Polaris economiza incontáveis horas que seriam gastas procurando relatórios técnicos e encontrando todos os IoCs, removendo duplicatas e colocando os dados em um formato padrão. Basta clicar no botão "Copiar" para ter todos os IoCs na sua área de transferência, categorizados por tipo.
Plataformas de Compartilhamento de Informações sobre Malware (MISP) ajudam a coletar indicadores de comprometimento de uma maneira otimizada para detecções automatizadas. Idealmente, sua organização deve implementar ferramentas para detecção e resposta estendidas (XDR) ou detecção e resposta de endpoint (EDR). Ao alimentar IoCs compartilhados nessas tecnologias, você pode melhorar suas capacidades e detectar os primeiros sinais de um ataque.
Para que IoCs sejam úteis para a inteligência de ameaças, no entanto, eles precisam ser contextualizados e terem uma origem conhecida.
Ao enfrentar um incidente, um analista desejará verificar os IoCs que foram observados para encontrar casos semelhantes. A atribuição – ou seja, identificar o ator da ameaça – é muitas vezes um desafio, mas pode ser inestimável na decisão de quais ativos precisam de mais atenção e na descoberta do caminho que um intruso tomou dentro do ambiente de TI.
Neste exemplo, ter acesso mais rápido a IoCs relevantes beneficiará muito o esforço de resposta ao incidente, potencialmente acelerando a recuperação e evitando perdas que seriam causadas por uma interrupção prolongada devido ao ataque cibernético.
Como o Polaris correlaciona IoCs a atores de ameaça, artigos de notícias e relatórios técnicos, os analistas podem rapidamente chegar à fonte dessa informação para encontrar tantos detalhes quanto precisarem. O analista ainda decide a profundidade da pesquisa, mas o Polaris está continuamente escaneando milhares de fontes para atualizar os insights gerados.
Os dados disponíveis de um MISP não incluirão essas informações contextuais, pois não são necessárias para XDR/EDR detectar e bloquear ameaças. Isso não significa que essas soluções são infalíveis, é claro – os atacantes nem sempre reutilizam os mesmos artefatos para cada alvo, então uma solução EDR pode detectar apenas uma peça do quebra-cabeça. Olhar para o quadro completo permite que um analista descubra muito mais – e uma ferramenta de coleta e análise de dados alimentada por IA tornará isso muito mais rápido.
Com insights alimentados por IA e IoCs coletados, investigar o alerta da ferramenta EDR/XDR será muito mais rápido, permitindo que um analista de segurança entenda rapidamente que tipo de ataque ou ameaça os artefatos estão conectados e identifique peças adicionais de evidências que ainda não são conhecidas.
Um insight do Polaris indicará quantos IoCs foram encontrados logo no topo, abaixo do resumo.
Os próprios IoCs podem ser encontrados na seção "Informações adicionais" na parte inferior, pelo botão "Copiar tudo".
Se você só precisa dos IoCs na sua área de transferência, pode simplesmente clicar no ícone "IoCs" logo abaixo do resumo do insight. Todas as informações serão copiadas para sua área de transferência e podem ser coladas em qualquer lugar. A mesma operação pode ser feita para CVEs e MITRE ATT&CK TTPs (Táticas, Técnicas e Procedimentos).
No topo, o Insight também indica o ator de ameaça que foi associado ao ataque cibernético ou campanha. Quando há vários atores de ameaça, isso pode significar que todos estão usando o mesmo malware ou técnica, mas os diferentes nomes também podem ser aliases do mesmo grupo.
Na parte inferior, você pode encontrar uma lista de todas as fontes de onde as informações contidas no insight e os IoCs foram retirados. Isso permite que você inicie sua pesquisa de inteligência de ameaças com vantagem.
Se você precisar procurar IoCs específicos, o Polaris tem uma ferramenta "Explorar" e um operador de busca "ioc:" para encontrar insights relacionados.
Ao aproveitar esses dados, é muito mais fácil preparar relatórios sobre ameaças e tomar decisões baseadas em dados para mitigar riscos. Também é muito mais rápido investigar alertas das muitas soluções de segurança que podem ter sido implantadas. Sabemos que isso tem sido um desafio constante para muitas equipes de segurança, então construímos o Polaris para acelerar essas tarefas.
Se você quiser ver isso em ação, pode experimentar o Polaris hoje mesmo.