Josué Luz (*)
Em tempos de muita agitação e discussão sobre IA generativa, avanço da robotização e ChatGPT, outro assunto vem ganhando espaço nas agendas corporativas e nas reuniões de tomada de decisão: a busca por profissionais especialistas em Inteligência de ameaças ou Threat Intelligence. A urgência dessa busca reflete o crescente número de ataques cibernéticos, que sem a proteção adequada, resultam em expressivas perdas financeiras para as empresas.
Nas últimas semanas, de acordo com o que informou a South China Morning Post, uma empresa multinacional de Hong Kong teve um prejuízo na ordem de U$$ 25,6 milhões de dólares (o equivalente R$ 127 milhões) depois que estelionatários enganaram os funcionários. Eles criaram uma vídeo chamada em um grupo falso, a partir da tecnologia deepfake. O departamento financeiro recebeu uma mensagem típica de golpes (phishing) supostamente do diretor financeiro que fica no Reino Unido. A polícia não identificou nem a empresa nem os funcionários.
Atualmente, pode-se visualizar um aumento drástico em que as organizações estão sobre a mira de sofrerem um ataque cibernético, tendo os dados ou ambientes expostos a um cenário assustador, já que cibercriminosos inovam e se adaptam muito rápido, ao passo que se associam a grupos especializados em diversas áreas, a uma velocidade muito maior do que se pode imaginar.
Temos visto várias invasões e comercialização de dados sigilosos sendo vendidos na Dark Web, redes de botnets para ataques DDoS sendo disponibilizadas, backdoor para acessar e controlar o sistema e vários tipos de ransomware que sequestram dados criptografando-os, os cibercriminosos entre outras maneiras para obter vantagens. A Inteligência de ameaças cibernéticas, segundo o especialista, ajuda as organizações a identificarem e mitigarem inúmeros riscos, convertendo ameaças desconhecidas em ameaças conhecidas e auxiliando na criação e implementação de estratégias proativas de defesa.
Com grande conhecimento e habilidades de informações, baseadas em experiências sobre as ocorrências e insights, cria-se um ambiente de inteligência da informação seguro, avaliando todo cenário de ameaças cibernéticas e autores de ameaças. Essas informações têm sido usadas de forma positiva para preparar, prevenir e identificar ameaças cibernéticas que buscam tirar proveito de recursos valiosos.
Realizar a análise táticas, técnicas e procedimentos (TTPs) sobre possíveis adversários, é de extrema importância, pois conhecer o inimigo de perto ajuda as empresas a definir padrões que auxiliam na tomada de decisão rápida e assertiva na prevenção e resposta aos ataques cibernéticos, que infelizmente só tem aumentado. Pode proteger contra potenciais ataques e eventos que ocorrem no mundo cibernético utilizando a inteligência de código aberto (OSINT), inteligência humana (HUMINT), inteligência geoespacial (GEOINT), arquivos de registro de dispositivos, inteligência forense do tráfego de internet, entre outros recursos.
Obter conhecimentos e informações valiosos com técnicas eficazes de defesa cibernética e mitigando os riscos que podem prejudicar sua organização, pois ameaças direcionadas requerem defesas direcionadas. Segundo relatório da Trend Micro, cerca de 85,6 bilhões de ataques hackers foram bloqueados em todo o mundo no primeiro semestre de 2023. O número já representa 59% do total registrado no ano anterior.
Nesse contexto, o Brasil é o segundo País, no mundo, mais suscetível a ataques hackers, diz o relatório. Estados Unidos, Brasil e Índia são os principais alvos dos ataques hackers. A indústria foi o alvo preferido dos hackers no período, com mais de 10 bilhões de ataques, seguido pelos setores de Saúde (9,7 bilhões), Tecnologia (9,5 bilhões), Varejo (7,8 bilhões) e Governo (6,4 bilhões).
A busca pelo desconhecido pode ser ampla e emocionante, uma aventura completa em muitas situações, mas em um mundo onde as ameaças cibernéticas poderiam trazer prejuízo enorme. Temos que nos manter alertas e vigilantes sempre em busca de conhecimento, mantendo-se sempre atualizados nas informações e estudos.
Por outro lado, as empresas estão contratando profissionais ligados à segurança digital. O Guia Salarial da Robert Half aponta que 54% das empresas têm planos de abrir novas vagas de trabalho, e entre as carreiras em ascensão, destaca-se a de analista de segurança, cujo diferencial é habilidade em Inteligência de ameaças. Trocando em miúdos, é a coleta de dados processados e analisados por humanos, com intuito de permitir a identificação, compreensão de alvos e comportamentos de ataque de um autor de ameaças.
Classificada de três formas: estratégica, tática e operacional. A primeira, inteligência estratégica de ameaças antevê riscos abrangentes, que podem ser usados para impulsionar estratégia organizacional. É a informação de alto nível que coloca a ameaça em contexto. É a informação não técnica que uma organização pode apresentar a um conselho de administração. Um exemplo é a análise de risco de como uma decisão de negócios pode tornar a organização vulnerável a ataques cibernéticos.
Inteligência tática de ameaças: podem ser usadas para auxiliar na identificação de atores de ameaças (indicadores de compromisso, como endereços IP, nomes de arquivos ou hashes). Inclui os detalhes de como as ameaças estão sendo realizadas e defendidas contra, incluindo vetores de ataque, ferramentas e infraestruturas que os atacantes estão usando, tipos de empresas ou tecnologias que são alvo e estratégias de evasão.
Também ajuda uma organização a entender a probabilidade de serem um alvo para diferentes tipos de ataques. Especialistas em segurança cibernética usam informações táticas para tomar decisões informadas sobre controles de segurança e gerenciamento de defesas.
Já a inteligência operacional de ameaças são detalhes da motivação ou capacidade dos atores de ameaças, incluindo suas ferramentas, técnicas e procedimentos.
É a informação que um departamento de TI pode usar como parte do gerenciamento ativo de ameaças para tomar medidas contra um ataque específico. São informações sobre a intenção por trás do ataque, bem como o tempo do ataque. O ideal é que essas informações se reúnam diretamente dos atacantes, o que dificulta a obtenção.
Existe uma curiosidade que é a necessidade de entender esses dois termos de segurança cibernética, que muitas das vezes, podem ser confundidas, porém ainda há muitas pessoas que querem sanar essa dúvida de o que é um e o que é o outro, como eles são definidos.
O fato é que encontramos os termos de segurança sendo comparado em seus contextos, talvez numa tentativa de semelhança de informação ou por simples falta de conhecimento especializado nos dois assuntos.
(*) – É CEO da Acadi-TI, academia brasileira de educação especializada em Segurança Digital, certificada pela EC-Council (https://acaditi.com.br).