Denúncia de ameaças cibernéticas

0

Quando uma ameaça cibernética surge, que tipo de informações são importantes termos a respeito? Como gostaríamos que nos comunicassem? Respondendo à estas perguntas seria possível chegar a um padrão para denúncias de ameaças. Este padrão não só existe, como está sendo preparado para ser comunicado diretamente entre sistemas computacionais. Trata-se do Structured Threat Information Expression (STIX).

Com o STIX é possível denunciar ameaças e ajudar os interessados a se protegerem  informando sobre ataques persistentes (campanhas) e indicações de ameaças. Por exemplo, pode-se avisar sobre um hacker ou grupo de hackers com motivação ideológica que usa dispositivos IoT para atacar empresas do setor energético, identificando origens e/ou destinos. Dessa forma, quando detectadas ameaças, podemos anunciá-las e/ou recebê-las entre sistemas de forma estruturada para tomada de ações. Mas como isso se traduz computacionalmente? A seguir, explicarei um pouco como esta comunicação foi padronizada.

Serialização

O formato de transmissão digital (serialização) é JSON por padrão, ou seja, é obrigatória sua implementação. Além deste formato pode-se dar opção de XML.

Objetos

Os objetos de domínio do STIX (STIX Domain Objects, ou ainda SDO) são:

  • Attack Pattern
  • Campaign
  • Course of Action
  • Identity
  • Indicator
  • Intrusion Set
  • Malware
  • Observed Data
  • Report
  • Threat Actor
  • Tool
  • Vulnerability

Existem também os objetos de relacionamento (SRO) que mostram como um SDO está ligado a outro. Por exemplo, um objeto do tipo Indicator pode definir um relacionamento dele mesmo com o tipo Malware, ou seja, seria um indicador de origem/destino de algum codigo malicioso.

Observables

Representações de objetos observáveis e suas propriedades para serem usados em um SDO. Um endereço IP é um exemplo de objeto observável.

Vocabulário

É um catálogo fixo e definido de termos (strings) para usar como valores possíveis em propriedades de objetos no STIX. Por exemplo, para descrever motivações de um ator para ataque cibernético (Atack Motivation) à uma empresa podemos usar os termos accidental, coercion ou ideology (acidente, coerção ou ideologia), dentre outros.

O vocabulário padrão evita que um anunciante escreva o valor "Energy" e outro "Energy Sector" para referenciar a mesma coisa. Embora deva-se seguir o vocabulário definido sempre que possível, o padrão permite que se criem novos termos em casos especiais.

Conclusão

No mundo cibernético, a comunicação é uma ótima aliada para minimizar os riscos de uma ameaça cibernética se propagar. Vemos isso se concretizar a cada dia com Threat Intelligence e a adoção da linguagem STIX. Quanto mais esta se proliferar, mais segura a internet será.

André Duarte, coordenador de Operações do Arcon Labs.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.