Artigos
Compartilhamento de Inteligência de Ameaças: Um Bem Público
23/02/2016
O compartilhamento de informação sobre inteligência de ameaças tem uma história complexa na indústria da segurança. A premissa é simples: frequentemente os cibercriminosos lançam ataques com componentes semelhantes, usando as mesmas táticas e até mesmo reutilizando o mesmo malware ou exploit seguidas vezes. Se cada empresa compartilhasse inteligência sobre os ataques que lançados contra elas, poderíamos desenvolver proteções que desarmam os hackers, evitando com que prejudiquem em uma escala muito grande.
Os atacantes de má fé seriam obrigados a criar ferramentas personalizadas para cada operação, aumentando o tempo e custo das violações. É disso que se trata um bem comum compartilhado, que beneficia a todos, tanto as entidades públicas quanto as privadas. Temos visto muitos casos de malwares originalmente desenvolvidos para comprometer uma Nação, como ataques a sites de Governos, se multiplicando entre os hackers. Com o compartilhamento das informações, as vítimas poderiam se beneficiar com o conhecimento avançado sobre essas ameaças.
Os benefícios podem ser imensos, mas existem desafios para adotar o compartilhamento de inteligência de ameaças em grande escala:
– Os fornecedores de segurança estão relutantes com a ideia de compartilhar a inteligência que coletam de sua base de clientes, acreditando que isso poderia prejudicar seus negócios, por se tratar de uma de suas vantagens competitivas.
– As empresas privadas têm sido cautelosas com o compartilhamento de dados, temendo expor informações confidenciais de clientes ou dar vantagem aos concorrentes.
– Governos em geral têm controles poderosos da informação que podem compartilhar, e é um processo árduo para acessar informações classificadas.
Devido ao número de ataques cibernéticos cada vez maiores, mais frequentes e mais sofisticados, é preciso lembrar que nós existimos como uma comunidade. Quanto mais trabalharmos juntos, mais rápido poderemos identificar e prevenir as ameaças. O compartilhamento de informação sobre a inteligência de ameaças não precisa colocar informações confidenciais em risco, que é o ponto comum das objeções.
Ao invés disso, devemos concentrar nossos esforços no compartilhamento de Indicadores de Compromisso (IOCs) e nos perfis de hackers. Isso significa que estaríamos compartilhando informações como endereços maliciosos de IP utilizados para atividades de comando e controle e arquivos armados utilizados para entregar malware, não planos de negócios ou informações de identificação pessoal (PII).
Para apoiar esse objetivo, o governo dos Estados Unidos, por exemplo, tem focado em promover o compartilhamento de inteligência de ameaças entre o setor privado e o Governo. Isso começou no início de 2015, quando o Presidente Barack Obama assinou a Ordem Executiva 13691, que colocou o Departamento de Segurança Interna (DHS) para ajudar a coordenar este processo e colocar o compartilhamento em prática. A Ordem estabelece alguns processos críticos fundamentais como:
Criação das Organizações de Análise e Compartilhamento de Informações (ISAOs), que permitirão que as empresas privadas possam aderir com mais facilidade e compartilhar informações de ameaças.
Colaboração entre as ISAOs e o Centro Nacional de Cibersegurança e Integração das Comunicações (NCCIC) para centralizar e coordenar o compartilhamento de inteligência entre o governo e as empresas privadas, incluindo informações classificadas. Estabelecimento de alta privacidade e proteção de liberdades civis.
Definição da proteção de responsabilidade, garantindo que o compartilhamento de informações seja protegido e incentivado.
A última peça do quebra-cabeça é como transformar essa inteligência em proteções ‘concretizáveis’. A informação não é valiosa por si só, mas sim, a mudança positiva que isso pode causar em sua postura de segurança. Primeiro, a inteligência é recebida e processada de forma automatizada, de maneira que nenhum ser humano conseguiria analisar manualmente – o volume de informações produzidas por esse recurso.
Como parte das ISAOs, os membros receberão as práticas de risco na cibersegurança, indicador de ameaças e informações de incidentes em tempo real, via mecanismos automatizados. Assim que receber a informação, o último passo é criar proteções que podem reprogramar sua infraestrutura de segurança em tempo real. Daí em diante, suas soluções de segurança terão capacidade de entender, processar e criar novas proteções baseadas nesse tipo de compartilhamento.
Agora é o momento de considerar como será a política da sua empresa para o compartilhamento de informações. Isso pode não parecer uma inovação revolucionária, mas tem a chance de mudar totalmente a forma como nos protegemos. Quando a informação estiver sendo compartilhada livremente entre empresas públicas e privadas, principalmente em âmbito global, teremos dado um enorme passo para proteger de verdade nossas redes e nossas informações.
Autor: Arthur Capella.
Fonte: Computerworld.
Voltar