Você que estuda ou pensa em estudar cybersec, já teve/tem a ideia de que a área se consiste apenas no ataque? Ou quando não é ataque é criar soluções de firewall, honeypot's, código seguro e etc? Sinto lhe informar que a área pode chegar a se...
Você que estuda ou pensa em estudar cybersec, já teve/tem a ideia de que a área se consiste apenas no ataque? Ou quando não é ataque é criar soluções de firewall, honeypot's, código seguro e etc? Sinto lhe informar que a área pode chegar a ser muito mais extensa que isso. Hoje, venho apresentar o ramo de cybersec chamado "Security Intelligence", uma área muito extensa e incrível de segurança digital. Irei abordar um pouco sobre um livro chamado The Security Intelligence Handbook que visa apresentar ao leitor uma introdução do zero ao avançado sobre essa prática e sobre como o comportamento humano ou Modus Operandi pode nós livrar de vários incidentes graves e como é interessante o estudo do mesmo. |
O que é Security Intelligence? |
A pratica de S.I se consiste em um lado muito mais investigativo e analítico para o auxilio na criação soluções de incidentes que aconteceram e podem vim acontecer de uma forma mais automatizada e agressiva. |
Quando falamos sobre Security Intelligence, muitas vezes estamos referenciados a certos tipos de fatos ou de percepções que temos, e outras vezes falamos sobre procedimentos também. Todos os estudantes e profissionais de cybersec já usou as palavras “dados”, “informações” ou “inteligência”. Você já parou para analisar ou estudar em que elas se encaixam em nosso mundo de ataque ou defesa? Seguindo o livro The Security Intelligence Handbook vamos falar um pouco sobre. |
O que é Security Intelligence? Data, Information and Intelligence: |
Data consiste em fatos e estatísticas coletados como base para uma análise mais profunda; |
Information é composto por vários pontos de dados que são combinados para responder a perguntas específicas; |
Intelligence é a saída de uma análise de dados e informações que revela padrões e fornece um contexto vital para informar a tomada de decisão; |
De qualquer forma, os detalhes dessas 3 definições podem diferir de acordo com o escopo que estivermos. Para a Security Intelligence podemos colocar: |
1. Data são indicadores, como endereços de IP, URLs, hashes e afins. Dados não podem nós dizer muito sem uma analise. Existem várias formas de se coletar dados, desde de um simples report até uma pratica complexa de Web Scraping; |
2. Information responde perguntas como "Quantas vezes minha empresa apareceu nas midias sociais esse mês?" ou "Quantas vezes tivermos um padrão de tentativas de login de determinada forma?". Perceba que a parte de informação sempre é envolta de questionamentos sobre determinado fator que acontece em nosso ecossistema, seja de forma interna ou externa. Embora essa seja uma saída muito mais útil do que os dados brutos, ela ainda não informa diretamente uma ação específica; |
3. Intelligence é um fato baseado na Analise correlatas de dados e informações que foram coletadas de determinadas fontes diferentes para descobrir padrões e adicionar insights. Ela permite o time de cybersegurança trabalhar com mais efetividade para prevenir brechas, remediar vulnerabilidades, melhorar a postura de segurança da empresa e reduzir os riscos. Pense bem, analisar apenas uma fonte de dados não nós serve de muita coisa, a menos que tenhamos um escopo extremamente idêntico ao nosso e nem mesmo assim podemos confiar que vá nós ajudar com muita coisa, até porque um dos principais motivos para realizar essa prática é prevenir ataques no presente e no futuro, e no mundo da tecnologia temos mudanças constantes em tudo. |
Percebemos que a fase investigativa ficou um pouco mais complexa do que ela aparentava ser, o que nós leva a uma reflexão: Hacking NÃO é só ferramentas, também é pesquisa e processos. Exemplo disso é o caso da invasão ao McDonald’s em 2019, da SolarWinds e mais recentemente da Uber, onde o decisivo foi o fator humano e investigativo. Estudar a OSINT, padrões humanos e Google Dorcking pode trazer benefícios imprescindíveis para nosso processo (quando me refiro processo é tanto de ataque quanto defesa). |
Características de um processo de Intel Security de sucesso: |
1. Processos e frameworks colaborativos entre departamentos; |
2. Giro de 360 em visibilidade (scanear a variedade e quantidade de fontes diferentes que temos em mãos); |
3. Automação e integração extensiva (redução de esforço manual e integração com várias soluções de segurança); |
4. Alinhamento com casos de organizações externas e referencias em metodologias de segurança (coletar e processar apenas informações relevantes para as prioridades da organização; facilita o uso da inteligência) |
O autor classifica 2 tipos de métodos de processos de intelligence: |
1. Operational ou Technical Intel se consiste em métodos de analises, por exemplo um fórum da DarkWeb onde liberam novas campanhas de ransoware, data leaks e afins. Ataques que estejam acontecendo no presente ou até mesmo que já aconteceram. |
2. O segundo método que é classificado como “Strategic Intel”, o autor relata muito a parte de decisões, principalmente pelos executivos. Quando analisamos e aplicamos as estratégias coletadas. |
Para entender melhor sobre o assunto é necessario um estudo maior, esse breve resumo foi apenas para clarear a mente de quem está chegando agora e mostrar como temos outros campos além da tradicional offsec. |
Espero ter aberto um pouco da mente de vocês em como podemos analisar mil e uma coisas dentro do escopo de um projeto de segurança. |
Recomendo bastante lerem o livro e metodologias como a NIST para terem uma visão um pouco maior sobre o assunto. |
https://www.amazon.com.br/Threat-Intelligence-Handbook-Practical-Unlocking-ebook/dp/B07L7ZH119 |