Inteligência de ameaças cibernéticas não quer dizer toda e qualquer informação gerada por análise. Diferente de apenas acumular informações, a inteligência de ameaças busca transformar esses dados em insights acionáveis, permitindo às empresas antecipar, identificar e mitigar riscos de maneira eficaz. É um ciclo contínuo, com etapas claras. Como resultado, permite que a empresa sane dúvidas sobre uma determinada ameaça eminente, do porquê, como, e quem está por trás do ataque. Esse entendimento das ameaças externas impulsiona uma defesa mais estratégica, porque cria mecanismos de proteção e mitiga riscos de danos causados por ataques futuros. Afinal, visualizando o risco ao qual está exposta, uma organização consegue adaptar proativamente as barreiras de proteção e antecipar investidas de cibecriminosos.
Só que essa prática, muitas vezes, é mal compreendida e, por consequência, mal utilizada. Há muitas ferramentas disponíveis hoje que alegam produzir inteligência acionável sobre ameaças. E o que uma boa parte delas está, na verdade, produzindo são informações a respeito de ameaças. Claro que informações são necessárias para otimizar o tempo na defesa de ativos. Mas considerá-las como inteligência, em certos contextos e situações, pode levar a uma análise equivocada do cenário.
A questão é que nem sempre pilhas de dados respondem a perguntas. Às vezes, acabam confundindo mais as empresas que não sabem usá-las para extrair inteligência. Da mesma forma, soluções de segurança contratadas para fazer o papel de inteligência, e que por si só não foram criadas para essa finalidade, podem criar mais imprecisões ou, no mínimo, resultados incompletos.
Por exemplo, monitoramento de marca e redes sociais, detecção de credenciais e cartões, e a ingestão de Indicadores de Comprometimento (IOCs) são soluções que fazem parte do processo de inteligência de ameaças cibernéticas. Mas, isoladas, são apenas indicadores.
E o que é, então, inteligência de ameaças?
O ponto central aqui é entender que nenhuma ferramenta pode produzir inteligência acionável. Apenas analistas podem. Inteligência depende da expertise e da habilidade de pessoas especializadas, que consideram várias fontes de informação e trazem insights valiosos sobre adversários, táticas, técnicas, procedimentos e probabilidades de ataques futuros. É um processo contínuo e estratégico, que melhora a capacidade do negócio de detectar, prevenir e responder a esses perigos. Decifrar e interpretar o que ameaça o negócio eleva a capacidade de prevenção e resposta, pois permite que a empresa tome providências antes de ataques.
Inteligência de ameaças tem grande valor em uma estratégia de segurança. Mas, para isso, é preciso que ela esteja sendo feita em todas as fases do seu ciclo de vida. Se ela não está prevendo e prevenindo ataques, e, portanto, ajudando a contê-los, se não está reduzindo o tempo de resposta a incidentes, nem gerando insights para direcionamento de investimentos em proteção, há uma grande chance de não ser o que prometia.
Quando há o entendimento do que é inteligência de ameaças cibernéticas, e o time da empresa está pronto para usá-la e incorporá-la nas operações, ela se torna uma ferramenta poderosa de proteção, capaz de aumentar o nível de maturidade de segurança da empresa. E, claro, transforma a defesa cibernética em uma vantagem competitiva.
Eduardo Lopes, CEO da Redbelt Security.