Colaboração e compartilhamento de inteligência de ameaças cibernéticas
Artigo atualizado em 31 de março de 2022
A inteligência de ameaças cibernéticas é crucial para garantir que uma equipe de segurança entenda quem são seus inimigos, reconheça suas fraquezas, saiba reagir de forma proativa à um ataque e lidar rapidamente com uma crise
Você certamente já deve ter ouvido falar que o crime cibernético está se tornando cada vez mais organizado, mas nem sempre fica claro o tamanho da organização. Pois bem — já existem grupos com organogramas similares aos de empresas convencionais, devidamente divididos por departamentos e com estruturas bem definidas de hierarquia.
Além disso, os criminosos digitais usam fóruns, grupos no Telegram e mensageiros instantâneos para trocar informações que são valiosas para um ataque bem-sucedido: isso inclui vulnerabilidades nos sistemas de uma empresa, um malware pronto para explorar determinada brecha e até modelos de emails para campanhas personalizadas de phishing. Tudo isso com o intuito de compartilhar informações em prol de um único propósito: lucrar às custas de um alvo em comum.
Como os profissionais de cibersegurança se organizam para trocar conhecimentos que possam ser benéficos para se proteger contra um determinado atacante ou tipo de ataque em específico? É justamente para entender melhor esse cenário que nós precisamos falar sobre colaboração e compartilhamento de inteligência de ameaças cibernéticas.
O que é inteligência de ameaças cibernéticas?
Antes de mais nada, é claro, precisamos entender o que é inteligência de ameaças cibernéticas ou, como alguns conhecem no original em inglês, cyber threat intelligence (CTI). Como seu nome já sugere, estamos falando sobre todo e qualquer conjunto de conhecimentos que auxiliem na identificação de um ator malicioso, um grupo, uma campanha, um malware etc. — quaisquer ameaças que possam colocar em risco a integridade, a disponibilidade e a confidencialidade de sistemas da informação.
O instituto de consultoria Gartner possui uma definição excelente sobre o termo: “a inteligência contra ameaças é um conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos úteis, sobre uma ameaça ou perigo existente ou emergente a ativos, que pode ser usado para informar decisões sobre a resposta do sujeito a essa ameaça ou perigo”.
Ou seja, trata-se de algo crucial para garantir que uma equipe de segurança entenda quem são seus inimigos, reconheça suas fraquezas, saiba reagir de forma proativa à um ataque e lidar rapidamente com uma crise — tudo baseado em dados que foram coletados e organizados para entender quem é a figura ameaçadora.
Compartilhamento de inteligência de ameaças cibernéticas
O problema é que, culturalmente falando, o mercado de cibersegurança não possui o costume de cooperar para compartilhar experiências e conhecimentos sobre ameaças cibernéticas. Claro, temos algumas exceções, como fornecedores de soluções que publicam relatórios técnicos para toda a comunidade e grupos específicos setoriais (o setor bancário, em especial, é bastante evoluído nesse quesito no Brasil).
“Nos últimos casos de ataques de ransomware sofrido por empresas brasileiras, viu-se bastante cooperação, inclusive entre empresas concorrentes. Os CISOs e gestores, de uma forma geral, participam ao longo do ano de uma série de eventos em que há muita discussão”, explica Marcelo Bezerra, Systems Engineering Manager da Cisco Brasil. “Acaba sendo uma comunidade pequena. Em muitos desses eventos, há apresentações de casos de sucesso e painéis de discussão. Muitas das empresas e profissionais participam também de plataformas de compartilhamento, como o FIRST e o CERT.br, entre outros”, completou.
Mas será que isso é o suficiente?
Panorama Brasil
Para Marcos Sêmola, Cybersecurity Partner da EY, o cenário é muito mais complexo e envolve questões como o medo natural de expor os ataques que sua própria empresa tem sofrido e a falta de investimento (tanto financeiro quanto intelectual) que os CISOs têm à disposição para alocar em iniciativas de cooperação.
“Quando você fala de um evento, você presume que alguém orquestrou um ambiente que vai reunir pessoas que tenham competências, experiências, práticas, ensinamentos, dúvidas e necessidades, todas no mesmo lugar, ao redor de um único tema: gestão de riscos de segurança da informação. Até aí, tudo bem. Só que, de certa forma, as empresas, além de serem (em certa medida) concorrentes, a depender do caso, talvez falte um ambiente que ofereça um espaço seguro, justamente de confiança e com pessoas de confiança, para que elas possam se sentir confortáveis em revelar uma fragilidade, uma preocupação, e até mesmo comentar sobre uma decisão equivocada que tenham tomado, para evitar que o colega da empresa amiga possa evitar o mesmo erro”, explica Sêmola.
Para o especialista, existem formas mais inteligentes e disruptivas de incentivar a colaboração e o compartilhamento de inteligência sobre ameaças cibernéticas. “Poderíamos criar uma governança mais estruturada para que isso acontecesse. E essa governança poderia beber da fonte dessas ferramentas da web 3.0 […] É o conceito de garantir, como governança, que todos que se doarem irão de fato se beneficiar na mesma proporção de sua doação”, diz.
“Ou seja, eu vou tokenizar uma atividade colaborativa de troca de conhecimento de segurança da informação. E eu vou remunerar esses voluntários com tokens que podem valer coisas — não apenas dinheiro, mas também acessos privilegiados […]. Podemos até nos aventurar em uma visão mais ambiciosa, que é plugar essa cooperação ao setor público de tal maneira que o próprio governo reconheça o benefício desse conhecimento e recompense as empresas na forma de redução de tributos”, concluiu.
Panorama Mundo
A mesma visão de “reconhecimento e compensação”, por assim dizer, é compartilhada por Rafael Narezzi, especialista em cibersegurança, fundador do evento Cyber Security Summit e da 4CyberSec. Atualmente morando em Londres, mas com conexões com comunidades ao redor do mundo inteiro, Narezzi atesta que a situação do Brasil não está muito aquém do resto do globo — em lugar algum do mundo o nível de cooperação está adequando, de forma que podemos enquadrar a questão como um problema global.
“O mundo inteiro não teve uma educação digital, então, existem muitos executivos trabalhando em empresas que não têm o entendimento do que é o mundo digital, do que é a segurança digital e do que é a economia digital. Então, a gente continua vivendo em um mundo onde, talvez, ainda não enxergaram que evoluímos para esse futuro. Apesar de ter melhorado muito nesses últimos anos, continuamos com os mesmos problemas que tínhamos antes”, confessa Narezzi.
“Para solucionarmos isso, deveria existir uma multiplataforma na qual as pessoas que compartilham ganham créditos por isso, talvez dinheiro ou investimentos, até mesmo do governo ou da sociedade privada. Dessa forma, quanto mais vocês construíssem, mais fomentam essas informações, esse threat intelligence seria melhor”, adiciona o executivo.
Para se aprofundar no assunto, conhecendo as ferramentas que o mercado oferece, as plataformas existentes na web, as comunidades de cooperação, startups criadas para resolver o problema de inteligências de ameaças cibernéticas e os insights dos três especialistas, acesse a nova edição do CyberTech Report, “Colaboração e Compartilhamento de Inteligência de Ameaças”, relatório desenvolvido pelo Distrito em parceria com a Cisco como parte do Movimento CyberTech.
Leia também: Diversidade e inclusão no mercado de cibersegurança