Threat Intelligence: o porquê das coisas

Threat Intelligence: o porquê das coisas

Hoje iremos falar sobre o fascinante mundo da Threat Intelligence ou a inteligência das ameaças. Embora não exista uma definição clara para o conceito, essa pode ser a mais próxima: “Conjunto de dados organizados sobre ataques ou ameaças”. Vamos tentar ampliar esse vago conceito com a finalidade de compreender melhor seu alcance e importância. Trata-se

Hoje iremos falar sobre o fascinante mundo da Threat Intelligence ou a inteligência das ameaças. Embora não exista uma definição clara para o conceito, essa pode ser a mais próxima: “Conjunto de dados organizados sobre ataques ou ameaças”. Vamos tentar ampliar esse vago conceito com a finalidade de compreender melhor seu alcance e importância. Trata-se

Hoje iremos falar sobre o fascinante mundo da Threat Intelligence ou a inteligência das ameaças. Embora não exista uma definição clara para o conceito, essa pode ser a mais próxima: “Conjunto de dados organizados sobre ataques ou ameaças”.

Vamos tentar ampliar esse vago conceito com a finalidade de compreender melhor seu alcance e importância. Trata-se de serviços que preveem e, de forma proativa, realizam a notificação de ameaças em tempo real, com o intuito de que as companhias possam ser mais flexíveis, adaptando-se em um panorama de ameaças que mudam constantemente.

No mundo em que vivemos, a contínua exposição das organizações conectadas à Internet, a numerosos ataques e ameaças não é algo novo. Qualquer dispositivo conectado, seja um celular ou uma rede corporativa, sofre centenas de ataques (ou tentativas) todos os dias.

Para compreender melhor toda a cadeia de eventos que pairam após um incidente de segurança, devemos prestar atenção a tudo. A inteligência das ameaças usa conhecimento baseado na evidência, incluindo contextos, mecanismos, indicadores e implicações sobre os riscos existentes ou emergentes para os ativos de uma organização.

Dessa forma, a informação disponível nas próprias redes de uma empresa pode ser complementada, por exemplo, com relatórios sobre phishing, malware dirigido, atividade de botnets ou análises de amostras, entre outros dados.

À procura do IoC pertinente

O mais lógico quando falamos sobre um incidente de segurança de rede é que o dado mais relevante seja o endereço IP do atacante, o que chamamos de IoC (Indicator of Compromise ou indicador do sistema comprometido).

Agora vamos imaginar um ataque de negação de serviço (DoS), no qual foram implementadas técnicas de spoofing (mascarar o real endereço de rede), e que recebemos ataques de endereços IP de todo o mundo, mas apenas de computadores zumbis que fazem parte de uma botnet. Nesse caso, o endereço IP é importante?

Para dizer a verdade, o mais importante seria saber qual mecanismo foi utilizado para realizar o ataque, por exemplo, em um ataque HTTP, um User Agent concreto. Dessa forma, teremos o conhecimento mais real ou mais importante. Nesse caso, continua sendo um IoC, mas de maior valor que um endereço IP.

Se concentramos o conhecimento da Threat Intelligence ao mundo do malware, podemos falar do hash como o principal IoC, já que diante dessa técnica matemática é possível identificar inequivocamente um arquivo. No entanto, ao longo do dia em nossos laboratórios chegam mais de 20.000 “diferentes” amostras de arquivos maliciosos. Na realidade, são poucas variantes do mesmo malware, mas com características diferentes que fazem com que o hash do arquivo seja também diferente. É por isso que os motores de antivírus não se baseiam exclusivamente em um conjunto de assinaturas de arquivos incluídas em uma “blacklist”, mas implementam técnicas de detecção avançadas com base no comportamento do malware.

Continuamos com exemplos de malware, é comum se deparar com elementos, sobretudo os famosos casos de ransomware, que se conectam a um centro de controle remoto para receber instruções. Isso é o que chamamos de C&C (Command & Control). Quando uma peça do malware deseja se conectar ao seu “quartel general” costuma fazer isso por meio de um endereço na Internet, um domínio. Para tornar a tarefa dos pesquisadores um pouco mais difícil, os cibercriminosos usam técnicas nas quais o domínio troca de endereço IP em poucos segundos, o que pode ser chamado de Flast Flux. Em outras situações, o malware não se conecta a um domínio concreto, mas a uma expressão regular. Por exemplo: para criar um registro DNS para um “quartel general” malicioso, é possível inventar o domínio “kino12345.com”.

As polícias internacionais trabalham para erradicar essas ameaças junto com as empresas, em um processo que se se chama Incident Response ou respostas para incidentes. Quando se detecta um domínio malicioso, como no exemplo anterior “kino12345.com”, com o intuito de eliminá-lo.

O cibercriminoso não apenas cria esse domínio, mas também muitos outros do estilo “Kino*****.com”, sendo “*” qualquer número ao acaso. Dessa forma, podem ser criados 99.999 domínios, configurando o malware para que use qualquer deles com o intuito de encontrar o endereço do C&C ou o “quartel general”.

Nesse caso, o importante não é um domínio concreto, já que pode durar uns minutos, mas conhecer o DGA ou algoritmo de geração de domínios empregado pelo cibercriminoso para administrar o malware. Então, o DGA, seria um bom IoC.

Rumo a uma visão 360

Como é possível compreender, quando se analisa um incidente ou um ataque, se requer uma visão 360 graus de toda a cena, incluindo qualquer pequeno detalhe que possa esclarecer os fatos e, com certeza, servir de defesa contra ataques semelhantes.

Qual é o IoC ou indicador de compromisso mais valioso? Longe de ser um endereço IP, um domínio, uma rota de escrita em um endereço ou um payload, o mais valioso, o que ao final fazer a diferença na análise de um sofisticado ataque, é a motivação para o ataque.

Sempre vemos em notícias que importantes empresas e organizações sofrem grandes ataques; conhecer a parte técnica é o nosso trabalho, mas conhecer a motivação e o “modus operandi” das organizações criminosas pode ser muito mais efetivo judicialmente que um dado técnico entre profissionais.

Outra questão para ser analisada é o intercambio da Threat Intelligence ou informações das ameaças entre empresas e/ou países, mas acho que será objeto para outro post.

Discussão