Cyber Threat Intel (CTI) é uma ferramenta avançada de inteligência cibernética projetada para capacitar equipes de segurança cibernética e provedores de serviços gerenciados (MSSPs) a enfrentar desafios crescentes em um cenário de ameaças em constante evolução.
Este artigo destaca como o Cyber Threat Intel beneficia tanto as equipes de segurança cibernética quanto os MSSPs, oferecendo uma visão abrangente de suas funcionalidades e valor agregado.
O que o Cyber Threat Intel faz?
Inteligência de Ameaças Curada: Agrega, sintetiza e filtra informações de centenas de fontes confiáveis, garantindo dados credíveis, relevantes e acionáveis.
Monitoramento de Ameaças Personalizado em Tempo Real: Receba alertas instantâneos sobre vulnerabilidades, exploits e ataques emergentes adaptados à stack tecnológica da sua organização.
Análise Automatizada de Ameaças: Utiliza IA e aprendizado de máquina para priorizar alertas e fornecer contexto aprofundado e estratégias de mitigação.
Como Cyber Threat Intel (CTI) funciona?
Cyber Threat Intel verifica diariamente centenas de fontes públicas de inteligência cibernética para analisar cada ataque, ameaça e vulnerabilidade e gerar boletins em tempo real.
Em seguida, filtra as informações relevantes para o perímetro e áreas de interesse da sua empresa, enviando alertas imediatos. Dessa forma, mantemos você informado para agir proativamente e garantir a segurança contínua da sua empresa.
Como configurar seu Workspace?
1. Adicione ativos ao seu monitoramento
É rápido e fácil, confira.
Se você deseja adicionar tecnologias para receber boletins de inteligência de ameaças:
Vá para Ativos monitorados, clique em Adicionar ativo e, em seguida, selecione Tecnologias.
Digite os nomes das tecnologias relevantes para você, separados por vírgulas.
Em seguida, clique em "Adicionar ativo" e pronto!
Você também pode copiar uma lista de nomes de ativos criada previamente (em um arquivo CSV, por exemplo), mas lembre-se de que os tópicos sempre devem ser separados por vírgulas, beleza?
Palavras separadas por espaços serão consideradas como um único termo composto. Aqui estão alguns exemplos de tecnologias que você pode adicionar para monitoramento:
Sistemas Operacionais: Windows, Windows 11, Windows Server 2022, macOS, macOS Big Sur, Linux, Ubuntu, Red Hat Enterprise, FreeBSD, Android
Navegadores: Edge, Chrome, Firefox, Safari
Aplicações de Negócios: Microsoft Office, Microsoft 365, Google Workspace, Adobe Acrobat, SAP, Oracle, Teams, Slack, Zoom, PowerBI
Parceiros Chave: Google, Microsoft, Meta, Apple, IBM, Salesforce, Deloitte, Cloudflare
Infraestrutura de Rede: Cisco, Juniper, Fortinet, F5, Palo Alto
Bancos de Dados: Oracle Database, Microsoft SQL, MySQL, PostgreSQL, MongoDB, Elasticsearch
Nuvem: AWS, Azure, GCP
Containers: Docker, Kubernetes
Outros: iPad, iPhone, Apache, ChatGPT, Github
Se você deseja acompanhar seus ativos externos e adicionar hosts (domínios ou subdomínios) para descobrir portas abertas, serviços em execução e possíveis vulnerabilidades (CVEs):
Vá para Ativos monitorados, clique em Adicionar ativo e, em seguida, selecione Host.
Digite os domínios ou subdomínios que são relevantes para você.
Em seguida, clique em "Adicionar ativo" e pronto!
2. Criando regras de monitoramento:
Você pode criar regras que combinam múltiplos critérios para receber alertas sobre ameaças mais relevantes para sua organização:
Tecnologias e ativos que você monitora
Malwares ou atores de ameaça específicos
Localizações geográficas
Setores da indústria
Tipos de ameaças (Ransomware, Malware, Zero Day, Trojan Horses, Exploit Attacks, etc.)
Níveis de Risco
Para começar rapidamente, você pode usar nossos modelos padrão:
"Ameaças às minhas tecnologias": Monitora ameaças relacionadas ao seu stack tecnológico, e está ativado por padrão para todos os usuários
"Ameaças direcionadas a setores e localizações específicas": Acompanha ameaças que afetam seu setor e região
"Atividade de atores de ameaça específicos": Acompanha atividades de atores de ameaça específicos.
Como configurar seus alertas?
Em preferências de notificações do Cyber Threat Intel, você pode:
Adicionar seu número de telefone (opcional - apenas se você deseja receber alertas por WhatsApp ou SMS).
Escolher seu(s) canal(is) de notificação preferencial(is) para boletins: WhatsApp, SMS e/ou e-mail.
Escolha as suas preferências de notificação por email para novas CVEs (com base no nível de risco) e certificados a expirar.
Como seguir ou deixar de seguir boletins?
Sempre que um boletim é correlacionado a um dos ativos monitorados de sua organização, você começará a seguir automaticamente.
Na prática, isso significa que o boletim estará disponível na sua área inicial na Inteligência de Ameças e Exposição e que atualizações relevantes (confira a seção anterior) gerarão alertas no canal que você escolher.
Você pode optar por deixar de seguir esses boletins a qualquer momento:
Você também pode descobrir novos boletins relevantes para você e começar a segui-los na área Explorar, selecionando o botão "seguir boletim".
A ação de selecionar ou não boletins para segui-los afeta apenas um usuário e não é aplicada em toda a empresa.
Como funciona o monitoramento de host?
Quando você adiciona um novo host, o Cyber Threat Intel o escaneará automaticamente e fornecerá dados valiosos, como:
Quais são as informações de registro de domínio público (WhoIs)?
Qual é o endereço IP do host?
Quais portas estão abertas e quais serviços estão sendo executados nelas?
Há alguma vulnerabilidade conhecida (CVE) associada a esses serviços?
Que tipo de certificados estão sendo usados e quando eles expiram?
Se você adicionar um domínio, o Cyber Threat Intel irá além da varredura inicial e pesquisará automaticamente na internet outros hosts relacionados (descoberta de ativos). Isso ajuda você a obter uma visão completa da sua superfície de ataque externa. Cada novo host encontrado será analisado da mesma forma que o primeiro, fornecendo informações detalhadas sobre sua postura de segurança.
Como é calculada a pontuação de risco de um boletim?
O Cyber Threat Intel calcula o score de risco para um boletim utilizando o seguinte método:
Passo 1: Verifique se há CVEs (Vulnerabilidades e Exposições Comuns) associadas:
Se o boletim tiver uma ou mais CVEs, o Cyber Threat Intel seleciona o maior score de CVSS (Sistema Comum de Pontuação de Vulnerabilidades).
Se não houver um score de CVE disponível, prossiga para o próximo passo.
Passo 2: Estimativa de CVSS impulsionada por IA:
O Cyber Threat Intel usa IA para estimar o score de CVSS com base em três fatores principais:
Nível de Impacto
Probabilidade de Exploração
Nível de Ameaça
Cada fator é classificado como Baixo, Médio, Alto ou Crítico, e essas classificações se combinam para calcular o score de risco final.
Essa abordagem garante um score de risco preciso e confiável para cada boletim.
Como o risco de um host é definido?
O risco do host será o maior risco entre as CVEs associadas a ele. Se não houver CVEs associadas, o risco será indefinido. Os riscos das CVEs são baseados no CVSS (Common Vulnerability Scoring System), aqui está um resumo:
Crítico (CVSS 9,0-10,0): Vulnerabilidades que podem ser exploradas facilmente, sem interação do usuário, e resultam em um impacto elevado, como perda completa de confidencialidade, integridade ou disponibilidade.
Alto (CVSS 7,0-8,9): Vulnerabilidades que podem ser exploradas com relativa facilidade e resultam em um impacto significativo, como perda parcial de confidencialidade, integridade ou disponibilidade.
Médio (CVSS 4,0-6,9): Vulnerabilidades que requerem alguma condição específica ou interação do usuário para serem exploradas e resultam em um impacto moderado.
Baixo (CVSS 0,0-3,9): Vulnerabilidades que são difíceis de explorar ou têm um impacto limitado.
CVSS (Common Vulnerability Scoring System)
O que é?
Um sistema de pontuação padronizado que mede a gravidade técnica de uma vulnerabilidade.
Escala De 0.0 a 10.0, sendo:
0.0: Sem impacto.
4.0–6.9: Gravidade média.
7.0–8.9: Alta.
9.0–10.0: Crítica.
Componentes principais:
Vetores como acesso remoto/local, necessidade de autenticação, impacto na confidencialidade, integridade e disponibilidade.
Exemplo: uma falha que permite execução remota de código sem autenticação terá CVSS alto.
Limitação:
CVSS não leva em conta se a vulnerabilidade está sendo ativamente explorada ou qual a probabilidade disso acontecer.
EPSS (Exploit Prediction Scoring System)
O que é?
Uma métrica que estima a probabilidade de uma vulnerabilidade ser explorada na prática nos próximos 30 dias.
Escala De 0 a 1, onde:
0.0: Baixíssima chance de exploração.
1.0: Altíssima chance de exploração.
Base de cálculo:
Usa machine learning e dados reais (como feeds de exploits, honeypots, telemetria, etc).
Considera a presença pública de exploits, facilidade de exploração, notoriedade da falha, etc.
Vantagem:
Ajuda a priorizar o que remediar primeiro, focando no risco real e não apenas na gravidade teórica.
Exemplo de uso prático
Imagine duas vulnerabilidades:
CVE-A: CVSS 9.8 (crítica), mas EPSS 0.002 (quase ninguém está explorando).
CVE-B: CVSS 6.5 (média), mas EPSS 0.85 (altamente explorada no mundo real).
Nesse caso, mesmo que a CVE-B pareça menos grave, ela pode representar um risco mais urgente para a sua organização.
Como é calculado o nível de confiança de um IOC?
O nível de confiança de um IOC no Cyber Threat Intel é uma métrica projetada para ajudar clientes e parceiros a implementar medidas de segurança com base em suas próprias políticas.
Ele é calculado por meio de uma análise de múltiplas fontes, que determina quantos fornecedores de segurança identificam o IOC como malicioso.
Esses dados são então mapeados para o nosso sistema interno de pontuação, que atribui um nível de confiança como Baixo, Médio ou Alto.
Essa abordagem garante que o nível de confiança reflita com precisão o consenso entre fontes confiáveis.
Suporte
Se ficar com qualquer dúvida, é só chamar a gente no [email protected] 😊