O que significa ter um programa de segurança cibernética liderado por inteligência?

Ameaças cibernéticas cercam empresas de todos os setores e portes. Com base em conversas que tenho com executivos, na experiência de implantação de projetos de segurança e nos dados fornecidos pela consultoria global da Mandiant, afirmo que a integração da inteligência de ameaças cibernéticas (ou CTI, na sigla em inglês) deve abranger não apenas programas específicos, como também práticas de risco operacional. Isso porque a CTI vai muito além dos dados brutos e das informações obtidas das várias fontes, internas ou externas.

De acordo com o Gartner, a inteligência de ameaças cibernéticas é a capacidade de conhecimento baseado em evidências, o que inclui contexto, mecanismos, indicadores, implicações e aconselhamento sobre indícios existentes — ou emergentes — utilizados para sugestão de respostas aos incidentes quando acontecem.

Por isso, é importante entender que a CTI auxilia a reduzir proativamente o risco a partir da completa compreensão de um adversário e de suas capacidades. 

Mas o que significa ter um programa de segurança cibernética liderado por inteligência?

Com ele, as organizações estão aptas para antecipar, identificar e priorizar as ameaças ativas ou as iniciais para reduzir a exposição e adaptar as defesas; informar funções de risco organizacional, determinando a motivação, capacidade e intenção do adversário; contextualizar e comunicar ameaças cibernéticas em todas as operações de negócios, fornecendo vantagem de decisão à liderança organizacional, bem como às partes interessadas operacionais convencionais de segurança cibernética; alinhar recursos de segurança com base nas ameaças mais relevantes e impactantes que têm direcionado a empresa.

De que forma é possível mensurar todas essas etapas? Respondendo às seguintes perguntas:

1. Com qual frequência a empresa respondeu a um incidente com uma compreensão limitada das motivações do autor da ameaça e suas táticas, técnicas e procedimentos (TTPs)?;

2.  A organização pode conectar um incidente a autores e campanhas de ameaças específicas?;

3.  As ameaças reais versus as percebidas podem ser validadas e priorizadas com base no nível de risco que elas representam?;

4.  As questões de segurança podem ser traduzidas para uma linguagem de negócios que os executivos entendam e possam agir?;

5.  Os produtos CTI são usados para ajudar a alcançar níveis aceitáveis do asseio cibernético?;

6.  As alterações de arquitetura são feitas com base na correlação de dados de ameaças operacionais?;

7.  Existe uma base de conhecimento de inteligência com análise personalizada para ajudar a responder rapidamente a quem, o quê, por que, quando e como sobre as ameaças?;

8.  Quantos relatórios foram escritos que apoiaram uma decisão comercial?

Se a organização não consegue responder a estes questionamentos de forma consistente e repetidamente, pode ser indício de uma lacuna de inteligência ou de função subutilizada em sua estrutura, uma vez que a inteligência de ameaças confiável, acionável e rica em contexto informa os principais tomadores de decisão desta companhia, incluindo analistas de centro de operações de segurança, pessoal responsável pela resposta a incidentes e líderes executivos.

Para incorporar esta capacidade de inteligência, há três elementos-chave a serem considerados no programa:

1. Retrato da ameaça organizacional
Manter o perfil de ameaça de linha de base periodicamente atualizado é uma forma eficaz de ter o panorama consistente sobre as ameaças, vulnerabilidades e riscos enfrentados pela organização, além de deter informações essenciais sobre o ambiente e a operação. Compreender o perfil de ameaça da organização garantirá operações de segurança focadas com capacidades de inteligência de ameaças cibernéticas e outras funções de gerenciamento de riscos.

2. Análise das partes interessadas
Saber como os produtos e serviços da CTI podem ou serão consumidos, a fim de fornecer inteligência relevante e acionável, é fundamental. Para atender às demandas de negócios em constante mudança, esse processo deve ser revisado regularmente e incluir feedback para garantir que as necessidades das partes interessadas sejam consideradas. Por isso, deve-se seguir o subprocesso de análise que inclui as seguintes etapas: identificar as partes envolvidas; associar valor e função ao time de inteligência; definir as aplicações que serão utilizadas; determinar frequência, formato e conteúdo; estabelecer resultados de ações e feedback. 

3. Requisitos de inteligência
Estes devem traçar uma necessidade específica, assim como serem explícitos, para garantir que a ameaça seja compreendida e que as ações para combatê-la serão tomadas. Ao saber quem são os adversários que podem direta ou indiretamente sinalizar o negócio é fundamental para o desenvolvimento de requisitos de inteligência eficazes.

Capacidades de inteligência de ameaças eficazes transformam tecnologias, processos de segurança existentes e conhecimento na redução da exposição e do risco para funções e serviços críticos dos negócios. Com a integração de pessoas, processos e tecnologias, o programa de segurança cibernética liderado por inteligência garante às organizações o consumo, interpretação e aplicação do CTI para proteger as informações e os sistemas do negócio.

(*) Leandro Roosevelt é diretor de vendas da FireEye Brasil