A criação de um programa de inteligência contra ameaças pode parecer complicada e desgastante. Existem vários modelos por aí e muito já foi escrito sobre fontes, métodos e técnicas analíticas, mas pode ser difícil encontrar a opção ideal com base nos recursos e requisitos de sua empresa. Para facilitar as coisas e torná-las mais personalizadas, talvez valha a pena considerar uma abordagem diferente, mais pragmática, que permita que uma organização desenvolva uma compreensão de seu ambiente de ameaças em linguagem simples.
Esta publicação será a primeira de uma série de postagens traçando uma abordagem objetiva para desenvolver um programa básico de inteligência contra ameaças, identificando 1) o que proteger, 2) quem pode ter interesse nos dados e 3) como obter informações relacionadas a possíveis ameaças em um formato útil para sua organização. Essas postagens servem de complemento à nossa postagem anterior sobre a importância dos Requisitos Prioritários de Inteligência (PIRs, na sigla em inglês), pois as duas primeiras publicações dessa série podem ajudar a preparar e criar PIRs. Nessa primeira postagem, vamos nos concentrar em identificar o que pode interessar aos agentes de ameaças cibernéticas.
Por onde começar?
O primeiro passo para dar início a um programa de inteligência contra ameaças é identificar o que você tem e deseja proteger. Esse exercício de reflexão exige que a questão seja analisada do seu ponto de vista e do ponto de vista dos agentes de ameaças... em outras palavras, envolve descobrir o que é importante para VOCÊ e o que é importante para ELES. A capacidade de resumir essas informações de forma simples e sucinta é a base de um bom esquema de inteligência contra ameaças.
O que você considera importante?
A primeira parte desse processo é descobrir o que é importante para VOCÊ. Ou seja, identificar quais são os ativos cruciais para sua empresa em termos operacionais (isto é, o que precisamos para manter a empresa funcionando) e quaisquer outras propriedades que você considere essenciais para a empresa (como propriedade intelectual, dados ou outros aspectos específicos da sua empresa).
- Considerações operacionais: podem incluir algo tão básico quanto dinheiro e informações financeiras (que seriam comuns a todas as empresas), mas também devem incluir considerações sobre quais tecnologias e/ou softwares essenciais são imprescindíveis para sua empresa e quais vulnerabilidades podem afetá-los. Suas considerações também podem incluir sistemas de controle industrial ou dispositivos de Internet das Coisas que precisam ser monitorados quanto a possíveis ameaças. Dados de clientes também se enquadram nessa categoria.
- Outras considerações: essas considerações se concentram no que torna sua empresa única. A propriedade intelectual? Pesquisas ou outros dados exclusivos e/ou confidenciais? Quais dados, acessos ou processos sua empresa pode ter que são valiosos para você?
O que a concorrência considera importante?
A segunda parte do processo envolve se distanciar um pouco e analisar sua empresa pela ótica de um possível agente de ameaças... o que sua empresa oferece que pode ter valor para um criminoso cibernético ou um agente de ameaças cibernéticas de um estado-nação. Muitas vezes, isso acaba se sobrepondo ao que já é importante para você — dinheiro é o caso mais óbvio aqui. Grupos de ransomware e outros criminosos cibernéticos têm motivação financeira. Sua propriedade intelectual também pode despertar o interesse de determinados grupos de estados-nação (p.ex., dados relacionados a tecnologias de energia são particularmente interessantes para a China). Outro ponto a ser considerado é a sua base de clientes e/ou as empresas às quais você pode estar conectado. Isso foi ressaltado recentemente em um comunicado do governo dos EUA sobre ameaças à infraestrutura essencial, no qual empresas de pequeno e médio porte são alertadas de que podem ser alvo de ataques devido às suas relações comerciais com entidades de infraestrutura essencial maiores.i
E depois?
Identificar o que é importante é o primeiro passo na criação de um programa de inteligência contra ameaças.Na próxima postagem da série, veremos quais agentes de ameaças podem ter interesse na sua empresa com base no que você identificou por meio desse processo, para que você possa monitorar esses grupos e como eles operam. Esse conhecimento pode lhe permitir alinhar suas defesas contra as ameaças mais comuns que você provavelmente enfrentará e maximizar o retorno sobre seus investimentos em cibersegurança.
