Por Daniele Ferreira, Coordenadora de Segurança da Informação
Na coluna Palavra do Especialista, profissionais de diferentes áreas da idwall compartilham sua expertise
Como nas faculdades americanas, que utilizam a numeração 101 “one-o-one” para cursos que contenham todos os princípios básicos esperados em um determinado campo, esse artigo tem o objetivo de te levar a uma viagem sobre os principais conceitos do ciclo de Inteligência de Ameaças (Threat Intelligence) para você poder escolher os temas mais interessantes e se aprofundar em alguns deles caso queira. Continue a leitura para saber mais sobre!
O que você vai conferir:
O que é Inteligência de Ameaças Cibernéticas?
Inteligência de Ameaças Cibernéticas – ou CTI (Cyber Threat Intelligence) – surgiu com a criação dos primeiros departamentos de Inteligência Militar em meados do século 19. No entanto, esse tema é algo muito mais antigo que está intrínseco na evolução da humanidade e demonstrado nas dezenas de casos de espionagem vivenciados durante o período de globalização e luta territorial. Durante as grandes guerras, essa necessidade evolui, e para se ter vantagem militar não bastava apenas conhecer, mas sim saber tudo sobre o seu inimigo.
A definição de Inteligência é algo que tem sido discutido há anos pelos acadêmicos que, aparentemente, ainda não chegaram a uma conclusão. Michael Warnercita no paper “Wanted: A Definition of Intelligence” uma definição que diz: “Intelligence deals with all the things which should be known in advance of initiating a course of action.” (Inteligência lida com todas as coisas que deveriam ser conhecidas antes de se tomar uma ação).
Mas vamos voltar aos fundamentos. Quando falamos de Inteligência de Ameaças Cibernéticas, nos referimos a uma disciplina na área de Cibersegurança, que se baseia no conceito (conhecimento prévio) acima para ser uma medida proativa contra ameaças às redes de computadores. Concluímos então que o CTI representa a convergência de duas comunidades: inteligência e segurança cibernética.
CTI tem como foco a coleta e análise de informações de fontes internas e externas para ganho de maior entendimento sobre fragilidades ou ameaças em potencial, a fim de garantir a proteção de ativos de acordo com o seu valor para a companhia.
Mas o que é uma ameaça, caro leitor? Definimos como ameaça qualquer circunstância ou evento que tenha o potencial de explorar vulnerabilidades em ambientes, sistemas e pessoas, gerando um impacto negativo nas operações, ativos e indivíduos em uma organização privada ou entidade pública.
As informações geradas em CTI, que visam combater ou minimizar as ameaças, possuem três níveis,: Estratégico, Tático e Operacional, que estão descritas abaixo:
Informações Estratégicas
Informações de alto nível, consumidas pela alta gestão e áreas com poder de decisão ou resolução a respeito de ameaças, tendências e ataques cibernéticos. Em geral, essas decisões têm impactos financeiros e direcionam investimentos a serem feitos como prevenção.
Uma informação estratégica de qualidade deve prover insights sobre riscos associados ao negócio, tais como padrões novos de ameaças, táticas e alvos de um ator ou grupo, eventos e tendências geopolíticas.
Informações Táticas
A inteligência tática deve ser entregue para aqueles que precisam de informações instantâneas, fornecendo um entendimento completo de quais comportamentos do adversário precisam ficar em alerta. Nessas informações, são fornecidos os “TTPs”(Táticas, Técnicas e Procedimentos), utilizados por atores de ameaças na condução de um ataque.
Além dos TTPs, esse nível de informação pode incluir endereços IP, domínios, URLs, hashes, chaves de registro, artefatos de e-mail e outros mecanismos – que podem ser usados para fornecer contexto para um alerta na monitoração de ferramentas de segurança.
Informações Operacionais
São informações específicas sobre como impedir ataques contra a organização. Inicialmente são consumidas pela alta gestão de Segurança da Informação, com detalhes técnicos sobre ataques cibernéticos, eventos e campanhas contínuas, como os vetores utilizados pelo ator, vulnerabilidades exploradas e domínios atrelados ao servidor de Comando e Controle, fornecendo às equipes de Resposta à Incidentes percepções que os apoie na prevenção.
Como funciona o ciclo de Inteligência Cibernética?
Para gerar essas informações, o Ciclo de Inteligência é usado. Esta metodologia teve a sua primeira aparição em 1946 em documentações do comitê de forças convencionais dos Estados Unidos da América na OTAN, criado no fim da Segunda Guerra Mundial com objetivo de prover segurança coletiva para os países contra possíveis ameaças da União Soviética.
O ciclo de Inteligência Cibernética é dividido em seis passos: planejamento, coleta, processamento, análise, disseminação e validação/feedback.

Planejamento
Durante o planejamento, é importante fazer o levantamento de requisitos: quais são as preocupações da área de segurança, tecnologias utilizadas, documentação sobre as aplicações principais, quando possível a topologia do ambiente e levantar as principais ameaças atreladas ao setor da organização.
É interessante também rastrear ameaças em potencial e mitigações que podem ser priorizadas através do processo de modelagem de ameaças.
Nessa fase, também, é feito o mapeamento de métodos necessários de coleta para atender aos requisitos levantados.
Coleta
Nessa etapa – que considero junto com a próxima fase o coração de uma boa área de CTI – , é feito o mapeamento de métodos necessários para ganho de informações que atendam aos requisitos levantados.
Existem alguns modelos que posso destacar, por exemplo, como a coleta ativa de informações de redes externas e sistemas de adversários através de brechas em OPSEC (Operations Security), e a coleta híbrida, que utiliza de redes compartilhadas, feeds comerciais, honeypots e fóruns. Existem, ainda, seis tipos de fontes de onde é possível obter informações interessantes,:
- SIGNT, interceptação de sinais entre pessoas ou máquinas.
- IMINT, representados por objetos que reproduzem de forma eletrônica ou ótica, dispositivos de exibição e afins;
- MASINT, informações de inteligência científica e técnica usadas para localizar, identificar ou descrever características distintivas de alvos específicos;.HUMINT, inteligência derivada de fontes humanas, o método mais antigo de coleta de informações.
- OSINT, informações publicamente disponíveis em formato impresso ou eletrônico, incluindo rádio, televisão, jornais, periódicos, Internet, bancos de dados comerciais, vídeos, gráficos e desenhos.
- GEOINT, imagens e dados geoespaciais produzidos por meio de uma integração.
Durante a coleta, é importante montar um plano considerando limitações operacionais, entendimento técnico e confiabilidade das fontes. É possível realizar a normalização das informações através de frameworks que possibilitem correlação e garantia da segurança, onde essas informações serão armazenadas, e assim evitando que pessoas não autorizadas tenham acesso a dados confidenciais.
Para facilitar a coleta, indico a utilização do framework CMF (Collection Management Framework), que permite a identificação das fontes e rastrear facilmente o tipo de informação coletada em cada uma delas. Também é útil para avaliar os dados obtidos – inclusive quanto tempo os dados estão armazenados e permite rastrear o quão confiável e completa é a fonte.
O framework CMF (Collection Management Framework), pode ser utilizado, também, no processo de construção de IOCs (Indicator Of Compromise), que é um artefato observado em uma rede ou sistema operacional que indica com alta confiança que houve comprometimento.
Processamento
Nessa fase é que a mágica acontece: aqui o principal objetivo é transformar os dados coletados em informação de valor, em que é feita a estruturação, análise e classificação das informações com o objetivo principal de garantir a assertividade e coerência dos dados o que requer organização.
É necessário que seja feita uma filtragem com o objetivo de trazer síntese aos dados de forma que o analista de inteligência possa utilizar. Normalmente são utilizadas as seguintes técnicas: exploração de imagens, decodificação de mensagens, interpretação de transmissões, redução da telemetria a medidas significativas, preparação das informações para o processamento e inclusão de contexto para que as informações sejam mais compreensíveis. Para facilitar esse processo, indico a utilização de Frameworks, como Cyber Kill Chain, Diamond Model e MITRE ATT & CKTM.
Análise
Esse estágio é o coração para a entrega do produto final de inteligência. Aqui o analista tem o papel de integrar as informações em um todo, de forma coerente e produzir inteligência acabada, que inclui avaliações de eventos, Threat Hunting, criticidade, risco e atribuição de ameaça – sempre levando em conta o tempo correto de publicação. erramentas, como o Magic Tree, podem ajudar a otimizar essa fase.
Existem várias técnicas que podem ser utilizadas para evitar o viés do analista. É necessário que ele filtre suas opiniões pessoais e ponto de vista antes de iniciar uma análise.
Muito se foi discutido sobre como a análise de inteligência deve ser feita – especialmente em livros. Indico muito a leitura do Psychology of Intelligence Analysis, de Richard Heuer, publicado em 1999, a leitura traz um panorama através de metáforas de como o viés pode atrapalhar uma análise de como você nunca deve influenciar uma avaliação adaptando-a às suas necessidades ou ponto de vista.
Para gerar inteligência efetiva e coerente, é necessário ter um processo contínuo, com informações de fontes internas e externas. Uma boa análise deve considerar abordagens de diferentes ângulos e pessoas, com variadas perspectivas e experiências, sempre com o objetivo de minimizar o viés cognitivo.
Nessa fase, também, é possível mapear melhorias e gaps no processo de coleta, garantindo assim melhoria contínua para todo o ciclo da informação.
Outra tarefa que faz parte das atividades do dia a dia da operação é a Análise Malwares, que pode ser uma incrível fonte de informações. Normalmente o seu funcionamento se divide em dois tipos: Dropper e C2 (Command and Control). No Dropper, o Malware pode ter dois estágios, com ou sem o código embutido no Dropper. No primeiro caso, o código já está dentro e é instalado no dispositivo da vítima; já no segundo caso, será necessário um download externo para seguir com os estágios do programa.
O C2 é, basicamente, um servidor controlado por um ator de ameaça que envia comandos ao Malware em execução. Existem várias maneiras de estabelecer – dependendo das capacidades do programa e da complexidade dos comandos que serão necessários. Muitos utilizam serviço de hospedagem em nuvem, e-mails, campos de comentário em blogs, repositórios como Github e até o Telegram.
Existem vários tipos de malware e muitas vezes são utilizadas combinações para atingir o objetivo do ator, vamos às características:
- Worm: programa autônomo capaz de se replicar e modificar através da rede.
- Trojan: programa que serve a um propósito designado, mas que também possui recursos ocultos para contornar mecanismos de defesa.
- Rootkit: responsável por conseguir privilégios administrativos e por ocultar a presença e atividades de outras ferramentas.
- Ransomware: foi projetado para negar acesso a um sistema e suas informações, através de criptografia, até que o resgate seja pago pela vítima.
- Keylogger: software ou Hardware com capacidade de registrar eventos do teclado sem que a vítima saiba.
- Spyware: normalmente instalado no dispositivo da vítima para coletar informações e monitorar suas atividades.
- Scareware: engana as vítimas para que acessem sites comprometidos
- Backdoor: método utilizado para se obter acesso administrativo a um sistema, aplicativo ou rede.
- Wiper: tem a função de apagar o disco rígido do dispositivo infectado.
- Exploit kit: pacote de exploits que podem usar malware de forma útil, normalmente disponibilizado em sites para avaliação de vulnerabilidades de vítimas possíveis, muito utilizado na etapa de reconhecimento.
Hoje temos muitas famílias de Malware estudadas por pesquisadores. Esses grupos podem estar diretamente ligados a um ator de ameaça, além da possibilidade de compartilhamento de Malwares entre comunidades diferentes, com o objetivo de dificultar a identificação real do adversário durante a etapa de atribuição.
Disseminação
Nessa etapa, a inteligência produzida será distribuída aos setores necessários de acordo com os níveis e modelos comentados no tópico sobre tipos de informação. O analista deve considerar uma variedade de coisas, como o que é mais urgente e crítico entre as informações coletadas, quem deverá receber o report, se deve ou não incluir recomendações preventivas e assim por diante.
Muitas vezes será necessário a criação de reportes diferentes, segmentando por público alvo, como, por exemplo, setores que envolvem aquele tipo de ameaça.
Outro ponto importante que deve ser levado em consideração no momento da disseminação é o nível de confidencialidade daquela informação, que será distribuída,. minha sugestão é utilizar o sistema de classificação Traffic Light Protocol (TLP), criado pelo antigo NISCC, agora Centre for Protection of National Infrastructure (CPNI), a fim de simplificar o compartilhamento de informações sensíveis.
O sistema é dividido em cores e cada uma define um modelo de compartilhamento por nível de confidencialidade. Isso simplifica o dia a dia da operação e garante que os dados sensíveis sejam distribuídos para o público-alvo correto.

Validação e Feedback
A etapa final como costumo dizer é a cerejinha do bolo e também a mais difícil de atingir, por conta da dificuldade de receber um feedback dos destinatários da inteligência entregue. Como produtores dessa informação, queremos garantir que a inteligência seja relevante para o público-alvo, ajudando na tomada de decisão. Sem isso, ficamos cegos sobre quais etapas precisamos evoluir para melhorar o nosso produto.
Uma alternativa para melhorar essa fase seria estimular o feedback através de bate-papos com o público-alvo, para tirar dúvidas, aprofundar em necessidades e entender as dores do setor.
Por último, deixo a visão de importância e alcance da Inteligência de Ameaças Cibernéticas.

Conclusão
Esse ano fomos bombardeados com exposições de dados pessoais, mais de 223 milhões de brasileiros foram vítimas desse tipo de ação. As empresas estão cada vez mais aumentando a sua superfície de ataque por conta da rápida evolução tecnológica e inovação que resulta em baixa visibilidade, estudando os últimos casos de Double Extortion realizados por grupos de Ransomware isso fica muito claro, ter conceitos de Inteligência de Ameaças ajuda e muito a aumentar essa visibilidade e até a prevenir futuros incidentes.
Hoje o Brasil é considerado o segundo país com maior número de fraudes de identidade. Estima-se que a perda gire em torno de R$ 213.2 bilhões por ano, e o intervalo de tentativas de fraude é de 16.8 segundos. A idwall tem como principal objetivo construir relações de confiança através da tecnologia e o conceito de Inteligência Cibernética é levado muito a sério.
Encerro por aqui a nossa viagem sobre esse tema tão pouco discutido no Brasil, com os seguintes pensamentos: inteligência de ameaças deve prover contexto para apoiar a tomada de decisão, máquinas e humanos trabalham melhor juntas. Inteligência contra ameaças é para todos.
Referências:
Threat Intelligence Handbook (Second Edition) – Dr. Christopher Ahlberg
Practical Threat Intelligence and Data Driven Threat Hunting – Valentina Palacín
Intelligence From Secrets to Policy – Mark M. Lowenthal
Psychology of Intelligence Analysis – Richard J. Heuer Jr.
The Cuckoo’s Egg – Clifford Stoll
Intelligence-Driven Incident Response – Joe Slowik
Practical Malware Analysis – Michael Sikorski and Andrew Honig
The Code Book – Simon Singh