Branded Content

Cyber Threat Intelligence no contexto do serviço SOC

Talvez um dos assuntos mais controversos no campo da cibersegurança seja o tópico de inteligência de ameaças (referido como " Cyber Threat Intelligence" - CTI) e sua função no ciclo das operações de segurança

Cyber Threat Intelligence no contexto do serviço SOC

Na inteligência de ameaças, a recolha de dados em massa é uma prática difundida entre muitas organizações, mas dados em massa, não estruturados e sem qualquer contexto não são úteis. As organizações devem ser cautelosas ao selecionar as suas fontes de inteligência.

O ciclo da inteligência é um processo que tem ampla adoção em muitas agências governamentais responsáveis pela recolha e análise da inteligência e, embora as descrições do ciclo possam variar, o núcleo do processo permanece inalterado há várias décadas e inclui seis etapas principais, a saber:

  • Definição e planeamento;
  • Recolha (ou coleção);
  • Processamento;
  • Análise e produção
  • Disseminação e feedback.

Definição e Planeamento

Curiosamente, um dos estágios muitas vezes esquecidos do ciclo de inteligência é o primeiro passo, definindo especificamente os requisitos de inteligência e projetando um plano de recolha.

No entanto, o processo para estabelecer requisitos de inteligência (geralmente designado de "Priority Intelligence Requirements" (PIR) requer discussões detalhadas com os consumidores e as partes interessadas em inteligência para identificar as suas prioridades, geralmente na forma de perguntas.

Uma vez que os requisitos de inteligência tenham sido claramente definidos, é desenvolvido um plano para responder a esses requisitos.

Exemplo do tipo de perguntas que deve considerar na sua organização:

  • Quais os atores que visam o setor financeiro?
  • Quem é que nos tem na sua mira ou nos considera um alvo?
  • Os atores que estão a monitorizar ativamente uma vulnerabilidade conhecida nas nossas aplicações?

Coleção

Os coletores de inteligência, uma vez configurados, iniciarão o processo de recolha de dados brutos (ou não analisados) relevantes das fontes identificadas no plano.

Processamento

Após a recolha - ou mesmo enquanto está a decorrer - a próxima fase é a do processamento. Durante esta fase, os dados e informações são "processados" ou normalizados, dos seus formatos brutos para formatos mais utilizáveis.

Análise e Produção

A fase de análise e produção do ciclo de inteligência é onde os dados e informações processados são fornecidos aos analistas para responder às perguntas fundamentais:

quem, o quê, quando, onde, como, porquê,

além de estabelecer a ligação entre os dados recolhidos, eventos e como eles respondem às perguntas estabelecidas no PIR.

Disseminação

A fase de disseminação é relativamente direta: quando os relatórios específicos estão concluídos, são entregues aos consumidores e partes interessadas.

Feedback

Nesta fase, não apenas a equipa de inteligência está envolvida em fornecer feedback sobre como o processo foi conduzido, mas o feedback dos consumidores e partes interessadas em também é procurado para determinar se os relatórios responderam ao PIR e os resultados foram satisfatórios.

A inteligência de ameaças é capaz de fornecer imenso valor a todos os níveis dentro de uma organização, desde os executivos de nível C até os analistas individuais.

No entanto, é fundamental que as organizações considerem como isso irá servir para melhorar e agregar valor ao seu ciclo de operações de segurança.

 

por Luís Martins, Cybersecurity Director, Multicert

Tags
Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 26 Julho 2020

IT INSIGHT Nº 26 Julho 2020

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.