Cyber Threat Intelligence (ou CTI) é o resultado de um trabalho que envolve a coleta e análise de dados sobre ameaças cibernéticas com o intuito de gerar inteligência, ou seja, informações confiáveis, organizadas e oportunas sobre o cenário de ameaças. A inteligência pode ser estratégica quando se trata de um informe executivo para embasar decisões, porém também pode ser técnica, tática ou operacional quando se integra à rotina dos profissionais de segurança da informação.

Devido ao número expressivo de ameaças e à agilidade dos adversários nos dias atuais, incorporar a inteligência de ameaças aos esforços de segurança da informação e de prevenção de fraudes é essencial. Medidas de segurança alinhadas e prontas para prevenir, detectar e responder a ameaças concretas são muito mais eficazes do que algo concebido às cegas. Se não houver visão da ameaça antes que ela se materialize, é provável que ela também passe despercebida depois.

Na gestão de segurança da informação, a inteligência ajuda a priorizar projetos e recursos. Para os tomadores de decisão, a inteligência de ameaças produz informações estratégicas que podem orientar o direcionamento do negócio. Nesse nível, a inteligência de ameaças consegue enxergar desafios que existem para a empresa, para o seu setor de atuação e até para o país ou mercado como um todo.

Uma empresa pode solicitar que seus analistas produzam inteligência. Contudo, esse trabalho é muito mais eficaz com o auxílio de uma plataforma especializada e com ampla visibilidade sobre o cenário de ameaças (Threat Intelligence Platform). A plataforma de threat intel da Axur conta com cobertura para Surface e Deep & Dark Web, gerando alertas e identificando os adversários que mais representam risco para cada negócio.

As etapas do Cyber Threat Intelligence

O processo de inteligência é cíclico e contínuo, sendo dividido em etapas como direcionamento e coleta, processamento e análise e distribuição. É ao passar por este processo que dados brutos ganham utilidade real dentro do contexto da segurança da informação.

A coleta dos dados se dá de várias formas – desde a análise de artefatos maliciosos por meio da engenharia reversa ao uso de coletores especializados e infiltrados em espaços digitais frequentados por hackers, criminosos e outros adversários. O "direcionamento" da coleta ajuda a manter as informações relevantes para cada situação – na Plataforma Axur, por exemplo, isso ocorre por meio de palavras-chave personalizadas para cada negócio e marca.

O trabalho de inteligência de fontes abertas (Open Source Intelligence — OSINT) também se enquadra na etapa de coleta, assim como todo o conhecimento derivado de incidentes e ataques. Casos noticiados na imprensa e relatórios especializados também são fontes válidas de consulta.

É na fase de processamento e análise que esses dados coletados começam a ganhar utilidade, deixando de ser meras informações brutas. Esse processamento pode contar com filtros, inteligência artificial e análise humana, sempre com o intuito de garantir a relevância da informação produzida, qualificando-a para a próxima etapa: a distribuição.

A distribuição dá uma forma concreta à inteligência preparada. Pode ser um relatório para embasar decisões executivas ligadas à uma estratégia, alertas de segurança para priorizar o monitoramento ou a atualização de softwares, ou uma lista de dados técnicos (chamada de feed) que melhora o funcionamento das ferramentas de segurança.

Quem utiliza a inteligência de ameaças?

• Analistas podem configurar soluções de segurança e de monitoramento interno para detectar ameaças dentro da rede corporativa a partir de feeds que identificam a presença de malware e conexões externas. O processo de resposta a incidentes também é mais eficaz quando guiado pelas informações de inteligência, levando analistas diretamente aos registros e artefatos mais importantes do incidente.
• SOCs (Security Operations Centers) utilizam inteligência na forma de feeds para detectar incidentes em andamento e interpretar eventos. Uma conexão externa marcada como suspeita por um feed de inteligência pode ajudar a diferenciar um malware comum de um ransomware, por exemplo.
• Gestores de segurança podem priorizar projetos em sua equipe e avaliar a aquisição de soluções e serviços que realmente terão um impacto positivo para o negócio da empresa.
• Profissionais de prevenção de fraudes podem conhecer melhor seus adversários, aprimorando processos de forma oportuna e correta para detectar irregularidades sem causar impacto no negócio e para consumidores reais.
• Executivos podem utilizar a inteligência estratégica para definir objetivos para a marca e para suas equipes, compreendendo melhor o cenário de ameaças em que sua empresa está inserida.