O que é Cyber threat Intelligence?

Morey Haber, Chief Technology Officer
December 8th, 2017

Cyber threat intelligence é mais do que apenas uma análise do conjunto de dados do comportamento do usuário, ameaças em tempo real, explorações ativas e dados temporais. Ela ganha o valor quando é mesclada com informações relevantes da sua organização para fornecer um perfil do risco e de ameaça. Muito parecida com a matriz de risco da amostra impacto vs probabilidade. Cyber threat Intelligence ajuda a definir a probabilidade na matriz com base na atividade fora e dentro de outras organizações, enquanto as medidas tradicionais não tangíveis definem o impacto.

Executando uma avaliação de risco

Sempre que uma organização realiza uma avaliação de risco, tenta-se considerar múltiplas variáveis com base nos usuários, ativos, recursos, localização e muitos critérios não tangíveis como hardening, explorações, vulnerabilidades, risco de superfície, exposição e missão. Um modelo completo de avaliação de risco é uma tarefa assustadora para concluir manualmente se você considerar todos os vetores e metodologias possíveis para realmente quantificar o risco. Em geral, as avaliações de risco começam com um modelo simples (conforme ilustrado abaixo) e cada vetor é documentado e um resultado de risco atribuído. Quando estamos lidando com múltiplos vetores de risco, os resultados podem ser calculados, somados, ponderados ou usados com outros modelos para produzir um score de risco final. Do ponto de vista de fornecedor, muitas dessas tecnologias são proprietárias e até patenteadas.

Cyberthreat Intelligence

Porque automação é essencial

Para tornar este processo eficiente e confiável, a automação e a minimização da interação humana são de vital importância. A qualquer momento, o julgamento humano é aplicado a um vetor de risco, o potencial de desvios nos resultados é maior devido a opiniões e erros humanos básicos. Isso implica que os modelos de avaliação de risco se beneficiam mais quando dados confiáveis e consistentes estão prontamente disponíveis para interpretação versus apenas critérios do usuário.

O papel dos padrões

Ao documentar os riscos para a segurança cibernética, a indústria possui vários padrões bem conhecidos para muitos desses vetores, incluindo:

  • Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposure CVE) – um padrão para nomes e descrições de vulnerabilidades
  • Sistema de pontuação de vulnerabilidade (Common Vulnerability Scoring System CVSS) – um sistema matemático para avaliar o risco de vulnerabilidades
  • Especificação de enumeração de fraquezas (Common Weakness Enumeration Specification CWE) – fornece uma linguagem comum de discursos para discutir, encontrar e lidar com as causas das vulnerabilidades de segurança do software conforme elas são encontradas no código
  • Sistema de pontuação de configuração (Common Configuration Scoring System CCSS) – um conjunto de medidas que indicam a gravidade dos problemas de configuração de segurança do software. CCSS é uma derivação do CVSS.

Cyberthreat Intelligence

Falhas nos mecanismos padrões de pontuação

Infelizmente, estes apenas se concentram nos aspectos não tangíveis da segurança cibernética. Eles consideram muito vagamente o comportamento do usuário, as explorações e a inteligência de ameaças como parte de sua avaliação de risco.

Por exemplo, considere o recente surto de WannaCry baseado em Eternal Blue e Double Pulsar. Ele representou o risco mais alto e extremo de uma perspectiva de vulnerabilidade e exploração. No entanto, sem a Cyber threat Intelligence não há nenhum indicador para entender se a ameaça real para a organização é a mesma hoje assim como quando se propagava através de redes corporativas na época do surto. O risco é o mesmo (pontuação de vulnerabilidade), mas a ameaça real é menor devido ao interruptor de morte descoberto e implementado na Internet. As soluções tradicionais de avaliação de vulnerabilidades não levam isso em consideração e ainda fornecem o mesmo resultado.

Cyber threat Intelligence

A Plataforma de Gerenciamento de Riscos de TI da BeyondTrust fornece um veículo para juntar dados de inteligência de ameaças cibernéticas com métodos bem estabelecidos para avaliações de risco de aplicativos, usuários e sistemas operacionais. Pode calcular o risco de aplicações vulneráveis (gerenciamento de vulnerabilidades), uso de aplicativos (comportamento do usuário) e inteligência de ameaça (exploits) em mapas e gráficos de calor fáceis de usar. Isso fornece uma perspectiva ao longo do tempo, com base em problemas do mundo real e as ameaças que seus usuários e recursos enfrentam ao usar a tecnologia da informação para realizar as atividades diárias. A captura de tela abaixo ilustra esse mapeamento. Contém ativos, exploits e os parâmetros temporais para decidir o maior risco (e ameaça) de informações sobre ativos em sua organização.

Reconhecida como líder em gestão de contas privilegiadas, a BeyondTrust pode ajudar sua empresa a reduzir riscos de violação de informações críticas, além de cumprir com os requerimentos de compliance. Baixe nosso White Paper e saiba como gerenciar as contas privilegiadas por meio de 7 passos.

Morey Haber, Chief Technology Officer

With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.