Você está utilizando inteligência de ameaças para resposta a incidentes?

Como nós temos mencionado anteriormente Neste blog, a indústria de segurança da informação criou uma vasta gama de excelentes soluções de detecção. Como resultado do lançamento dessas ferramentas no mercado, as organizações agora estão equipadas com a capacidade de se concentrarem na inteligência de ameaças, ou seja, no conhecimento de ataques existentes ou potenciais a um ambiente.

Embora a inteligência de ameaças seja crucial para uma organização, um dos problemas mais urgentes na gestão de operações de segurança hoje é a sua frequente falta de integração com a resposta a incidentes. Em outras palavras, alertas sobre possíveis ameaças identificadas por meio da inteligência de ameaças chegam ao SOC, mas não há como aproveitar rapidamente essa mesma inteligência para analisar o alerta em detalhes e identificar informações adicionais sobre o seu contexto.

Para obter o máximo valor das informações que já coletam com ferramentas de detecção, as equipes de segurança precisam de uma solução que processe informações habilitadas por inteligência de ameaças — como um nome de host ou endereço IP, por exemplo — e consulte os repositórios de dados de inteligência de ameaças de uma organização para obter respostas a perguntas como:

• Com o que está associado este ataque?

• Quem poderia estar perpetrando o ataque?

• Eles estão realizando outras operações maliciosas?

• Qual é o próximo passo que devo tomar? com base em processos que um membro da equipe usou — e foi capturado com uma ferramenta ou plataforma — para mitigar um ataque semelhante no passado?

Obter as respostas a essas perguntas — especialmente à última — permite que os profissionais de segurança da informação respondam de forma abrangente às ameaças, com base em uma compreensão mais ampla da situação.

Uma maneira simples de pensar sobre como aproveitar a inteligência de ameaças para o gerenciamento de resposta a incidentes é através da perspectiva do Big Data. Organizações de todos os setores estão coletando montanhas de informações e quase todas buscam a maneira mais eficiente de descartar o ruído e se concentrar nos dados que realmente podem ajudá-las a aprimorar os processos. O gerenciamento de operações de segurança não é diferente; quanto mais rápido você conseguir obter as informações mais relevantes, mais cedo na cadeia de eliminação de ameaças você poderá responder a uma ameaça.