Grupos de inteligência contra ameaças cibernéticas precisam vencer a cultura “esnobe”
Os grupos de inteligência contra ameaças cibernéticas precisam investigar com mais frequência as ameaças específicas de suas organizações e se integrar melhor a outros grupos de negócios, dizem os especialistas.
As equipes de inteligência contra ameaças cibernéticas (CTI) enfrentam uma série de desafios – falta de trabalhadores qualificados e de recursos, por exemplo – mas dois dos obstáculos mais sérios são, de muitas maneiras, autoinfligidos: Uma cultura “esnobe” que isola grupos e frequentemente se concentra nas ameaças interessantes mais recentes, e não nos perigos reais que os negócios enfrentam, disseram especialistas em segurança cibernética aos participantes de duas conferências do setor na semana passada.
Concentrar-se em exploits de dia zero e adversários de estado-nação é naturalmente atraente para as equipes de CTI, mas as ameaças mais comuns enfrentadas por suas organizações são os ataques de phishing cibercriminosos e a reutilização de senhas pelos funcionários, disse Xena Olsen, analista de ameaças cibernéticas da Universidade Marymount. durante uma apresentação sobre a criação de pipelines de detecção de adversários na conferência virtual Black Hat Asia. Para fornecer inteligência acionável para equipes azuis e vermelhas, os analistas de CTI devem se concentrar nas ameaças mais comuns primeiro, disse ela.
“Em vez de olhar o que realmente está acontecendo em sua rede e no cenário de ameaças, alguns analistas de CTI se concentram exclusivamente em relatórios de agentes de ameaças públicas e procuram APTs atraentes, ameaças persistentes avançadas”, disse Olsen, acrescentando: “Um dos principais objetivos da pipelines de detecção de adversário é ficar realmente bom em entender ataques simples específicos à infraestrutura, controles e detecção de sua organização. “
Além disso, como as equipes de CTI geralmente reúnem alguns dos analistas de segurança mais experientes em um grupo, elas geralmente se isolam de outros departamentos de uma organização. Em vez disso, eles precisam se tornar mais acessíveis à organização, caso contrário, a percepção é de que estão sendo “esnobes”, disse Jamie Collier, consultor de CTI da FireEye Mandiant, em uma apresentação na conferência anual Virus Bulletin.
“É muito importante irmos além dessa cultura”, disse ele. “Quando se trata de alguém que ignora a segurança cibernética e lê um artigo que desperta temores, não há nada de engraçado nessa situação e, portanto, precisamos ter certeza de que estamos ajudando essas pessoas.”
Quase metade de todas as empresas com capacidade de resposta de segurança tem uma equipe CTI dedicada, mas as formas mais populares de informações consumidas pelos grupos foram feeds de CTI de código aberto, feeds comerciais e informações de grupos de compartilhamento da indústria, de acordo com o ” 2020 SANS Pesquisa de inteligência de ameaças cibernéticas . ” As informações sobre ameaças com base em dados de log internos de firewalls e sistemas de endpoint foram classificadas como No. 5. Outras fontes internas de informações sobre ameaças foram classificadas ainda mais abaixo.
Os dois especialistas em segurança cibernética apresentaram suas próprias críticas à CTI na conferência. Olsen, da Marymount University, recomendou uma abordagem para inteligência de ameaças que enfoca o que está acontecendo dentro de uma empresa – coleta de dados sobre ameaças vistas em e-mail e enriquecimento com outras informações de eventos internos – antes de tentar usar informações de ameaças externas.
Collier da FireEye focou em um cenário de “backcasting”, onde ele presumiu que a indústria de CTI falhou em uma década e tentou explicar o porquê. Os principais motivos: foco em novas ameaças em vez das de maior impacto, o isolacionismo dos grupos de inteligência de ameaças e a escassez geral de habilidades no setor.
“Eles normalmente operam quase como uma função autônoma”, disse ele, falando no tempo passado, enquanto seu cenário desconstruía o que aconteceu ao CTI em uma data futura. “Teríamos esses relatórios de inteligência de ameaças muito bem escritos, que seriam produzidos sobre uma variedade de tópicos, mas a audiência desses relatórios nunca foi formulada com clareza. Era quase inteligência por inteligência.”
O fascínio por novas ameaças – tanto porque despertaram o interesse dos pesquisadores quanto pelo bom marketing – representa outro problema para as empresas de CTI, disse ele. Um dos motivos é que a inteligência de ameaças muitas vezes se tornou mais um exercício de marketing do que uma capacidade de fornecer informações acionáveis à empresa. As equipes de inteligência de ameaças tendem a se concentrar nas ameaças novas e interessantes – muitas vezes procurando obter cobertura da mídia – ao invés das ameaças comuns reais para as quais as empresas precisam estar preparadas, disse Collier.
“Entre o phishing, de um lado, e o crime habilitado para IA do outro, existem todos esses vetores de ataque diferentes, mas eles representam ameaças realmente diferentes”, disse ele. “Ameaças ativadas por IA podem ser interessantes, mas é o phishing que apresenta a preocupação real para a maioria das organizações.”
Os pipelines de detecção de adversários são uma abordagem para as equipes de CTI analisarem os dados operacionais provenientes de sua própria empresa para restringir seu foco às ameaças reais. Arquivos de e-mail e log podem fornecer informações sobre ameaças reais que podem ser enriquecidas com informações de outros sistemas, e então a inteligência de ameaças de código aberto pode ser usada para coletar mais dados sobre os adversários, disse Olsen da Universidade Marymount .
O conjunto aponta para “fornecer um fluxo de trabalho priorizado com base nos ataques dirigidos à organização, por meio de análises realizadas pelo analista do CTI”, disse Olsen. “É a criação focada de inteligência baseada em requisitos específicos com o único propósito de enriquecer outras equipes e melhorar a postura de segurança da organização.”
Collier aconselhou as equipes de inteligência de ameaças a darem uma boa olhada em como abordam suas análises.
“O CTI é uma indústria bastante jovem, por isso precisamos nos proteger contra a complacência”, disse ele. “Precisamos ser realmente reflexivos como indústria.
Autor: Robert Lemos – Jornalista veterano de tecnologia há mais de 20 anos. Ex-engenheiro de pesquisa.