Para estabelecer e manter normas sólidas de cibersegurança e proteção de dados sensíveis, o Quadro de Cibersegurança do NIST (NSF) tornou-se omnipresente. O NSF descreve cinco funções-chave para apoiar as organizações na compreensão, gestão e redução do risco de cibersegurança – Identificar, Proteger, Detetar, Responder e Recuperar.
Neste artigo, vamos analisar mais detalhadamente cada uma das cinco funções e com a Cyber Threat Intelligence (CTI) , em linha com a estrutura do NIST, pode apoiar o cumprimento e a superação da conformidade regulamentar.
Porque é que a CTI é importante para cumprir os requisitos do NIST?
A inteligência contra ameaças cibernéticas estabeleceu-se como um elemento-chave da resiliência organizacional, apoiando as organizações no estabelecimento de defesas cibernéticas proactivas antes de uma ameaça, melhorando a gestão do risco, o planeamento e a resposta a incidentes, e aumentando a sensibilização dos funcionários para o cenário de risco.
Quando se trata de garantir a conformidade regulamentar, a CTI é uma ferramenta poderosa. As plataformas de Threat Intelligence reúnem dados de diversas fontes, aumentando a capacidade de uma organização para responder rápida e eficazmente a incidentes. Esta capacidade suporta uma preparação abrangente, assegurando que as organizações podem reunir e atualizar rapidamente as suas estratégias de resposta a incidentes, conforme necessário. A CTI ajuda a manter um nível de preparação, o que é crucial para navegar sem problemas nas auditorias e garantir a conformidade com as normas regulamentares.
Considerando cada função do NIST individualmente, eis como a CTI pode fazer toda a diferença.
Identificar (ID)
Qual é o risco de cibersegurança para os sistemas, pessoas, activos, dados e capacidades?
Nesta etapa fundamental da estrutura do NIST, as organizações identificam todos os activos físicos e de software no seu ambiente, talvez estabelecendo um programa de gestão de activos ou criando políticas de cibersegurança para reger a sua utilização. É provável que utilizem esta visibilidade para criar uma estratégia de gestão de riscos para toda a organização.
A verdade é que não se pode proteger o que não se pode ver, e a ignorância não é uma desculpa se não estiver a cumprir a conformidade regulamentar. Todas as organizações têm a responsabilidade de visualizar toda a sua infraestrutura e de saber o que está dentro de casa.
O papel da CTI na melhoria das capacidades de identificação de ameaças
Na sua forma moderna, uma plataforma de CTI é uma ferramenta sofisticada que aumenta a visibilidade de uma vasta gama de riscos empresariais. A CTI permite que as organizações actuem antecipadamente para descobrir potenciais ameaças antes que estas possam prejudicar o negócio. A CTI apoia as empresas com:
- Descoberta da superfície de ataque: A CTI proporciona um mapeamento detalhado da superfície de ataque de uma organização a partir da perspetiva de potenciais atacantes. Isto inclui a identificação de pontos de entrada não seguros e não geridos e vulnerabilidades – oferecendo uma visão clara do que os atacantes vêem quando olham para a organização.
- Inteligência de vulnerabilidade: A CTI fornece monitoramento e análise contínuos de ameaças e vulnerabilidades emergentes de diversas fontes, incluindo a superfície, profunda, privada e dark web. Essa inteligência é crucial para identificar vulnerabilidades antes que elas sejam exploradas.
- Monitorização de riscos por terceiros: Através da recolha contínua de informações, a CTI avalia a postura de segurança de fornecedores terceiros e supply chains identificando ameaças indirectas que podem afetar a organização.
- Inteligência sobre ameaças específicas: A CTI fornece informações detalhadas sobre agentes de ameaças e campanhas específicas que visam a organização ou o sector. Isto inclui a análise das suas tácticas, técnicas e procedimentos (TTPs), ajudando a prever e a mitigar ataques direccionados.
- Inteligência Geopolítica: A CTI fornece contexto sobre eventos geopolíticos globais e regionais que podem influenciar os cenários de ciberameaças, ajudando as organizações a antecipar e a preparar-se para ameaças específicas da região.
Proteger (PR)
Até que ponto pode limitar ou conter o impacto de eventos de cibersegurança e implementar salvaguardas para serviços críticos?
A fase seguinte do quadro centra-se no controlo do acesso e na resiliência da sua infraestrutura, para proteger o que foi descoberto na primeira fase. As organizações precisam de gerir os seus activos críticos para reduzir a probabilidade de um ataque passar pelas defesas e para garantir que os sistemas e activos podem permanecer em linha ou protegidos mesmo que ocorra um ataque. As equipas de segurança implementam frequentemente protecções de segurança dos dados para proteger a privacidade, a integridade e a disponibilidade.
Um número crescente de regulamentos de privacidade, desde a CCPA ao GDPR e outros, exigem a proteção de informações de identificação pessoal (PII), e a pressão regulamentar só aumenta.
O papel da CTI na melhoria das medidas de proteção
A CTI aumenta a eficácia das medidas de proteção, fornecendo informações preditivas sobre potenciais ciberameaças e tácticas em evolução no ecossistema do cibercrime, incluindo técnicas como:
- Gestão proactiva de vulnerabilidades: A CTI identifica vulnerabilidades exploráveis a curto prazo através da monitorização de discussões em fóruns clandestinos e mercados da dark web. Essa inteligência permite que as organizações corrijam ou atenuem as vulnerabilidades antes que elas sejam exploradas por invasores, mantendo-se um passo à frente de possíveis violações.
- Monitorização do cibercrime como serviço: O aumento das plataformas de cibercrime como serviço tornou os ciberataques sofisticados acessíveis a uma gama mais ampla de actores. A CTI monitoriza estas plataformas, fornecendo alertas precoces sobre novos serviços e ferramentas que podem ser utilizados contra a organização. Este conhecimento permite que as equipas de segurança preparem defesas específicas contra estas ameaças emergentes.
- Deteção avançada de ameaças: A CTI melhora as capacidades de deteção de ameaças através da integração de informações sobre novos vectores de ataque e TTPs (Tácticas, Técnicas e Procedimentos) utilizados por agentes de ameaças. Esta integração garante que as tecnologias de proteção, como os sistemas de deteção de intrusões (IDS) e os sistemas de gestão de informações e eventos de segurança (SIEM), estão perfeitamente adaptadas aos cenários de ameaças actuais.
- Desenvolvimento de políticas estratégicas de segurança: Ao tirar partido da CTI, as organizações podem desenvolver políticas e protocolos de segurança mais eficazes e informados. Esta abordagem estratégica ao desenvolvimento de políticas ajuda a garantir que as medidas de segurança são abrangentes e direcionadas para as ameaças com maior probabilidade de afetar a organização.
Detetar (DE)
Consegue identificar rapidamente uma ameaça à cibersegurança?
Quando ocorre um ataque, o tempo de permanência é uma métrica importante que está relacionada com o impacto comercial. Quanto mais rápido conseguir descobrir uma ameaça, melhor, pois o tempo de permanência tem um impacto direto na gravidade das consequências para a empresa. Esta fase da estrutura implica a implementação de sistemas de monitorização contínua, para que possa detetar anomalias e eventos de segurança logo que estes ocorram, avaliar o seu impacto em tempo real e verificar a eficácia das medidas de proteção.
Os reguladores de conformidade reconhecem que nem todos os ataques podem ser impedidos antes de ocorrerem – e irão analisar a forma como reage quando o pior acontece. Pense em como vai identificar um ataque nas fases iniciais e consiga obter as informações necessárias para agir de forma adequada.
O papel da CTI no reforço das capacidades de deteção
A Cyber Threat Intelligence (CTI) melhora consideravelmente a capacidade de uma organização para detetar violações de forma rápida e precisa, muitas vezes antes de serem infligidos danos significativos. Eis como a CTI contribui para reforçar as capacidades de deteção:
- Identificação precoce de fugas de dados: A CTI monitoriza vários canais, incluindo a dark web, onde dados roubados, como informações de identificação pessoal (PII) e propriedade intelectual (IP), são frequentemente comercializados. Ao detetar essas fugas precocemente, as organizações podem iniciar medidas de contenção rápidas para mitigar o impacto e iniciar o processo de gestão de violações.
- Deteção de acesso não autorizado a activos: A CTI rastreia a venda e o uso de ferramentas de roubo de informações e outras ferramentas que facilitam o acesso não autorizado aos ativos da organização. Esta monitorização ajuda a detetar violações que envolvem activos e sistemas críticos, permitindo uma resposta imediata para evitar danos extensos.
- Deteção de campanhas direccionadas: A CTI fornece informações sobre campanhas direccionadas contra os executivos da organização, como o Business Email Compromise (BEC) e outros ataques de phishing especificamente concebidos para manipular ou enganar a gestão de topo. A deteção precoce destas campanhas pode evitar perdas financeiras substanciais e proteger a integridade das comunicações dos executivos.
- Conformidade regulamentar e notificação de violações: Com regulamentos rigorosos, como o GDPR, que exigem a notificação de certos tipos de violações de dados no prazo de 72 horas, o papel da CTI na deteção imediata de violações é fundamental. A CTI permite que as organizações não só identifiquem as violações precocemente, mas também reúnam os detalhes necessários para cumprir as leis de notificação de violações de forma eficaz e dentro dos prazos exigidos.
Responder (RS)
Como é que vai minimizar o impacto de uma ameaça à segurança?
Durante um ciberataque, é fundamental uma resposta rápida e informada. Isto inclui aperfeiçoar os processos de gestão de incidentes, análise, comunicação, elaboração de relatórios e mitigação. Uma das melhores formas de se preparar antecipadamente para um incidente é realizar sessões de planeamento de resposta robustas, nas quais são codificados manuais e directrizes que podem ser postos em prática se ocorrer um ataque. De acordo com o NIST, a fase de resposta centra-se no desenvolvimento e na implementação de actividades adequadas que têm de ser realizadas quando um incidente é detectado. É onde estes planos de resposta são executados e também abrange a forma como as comunicações são geridas, tanto durante como após a ocorrência de um evento, tudo ao serviço da mitigação do risco ativo para a organização e da contenção do impacto de um ataque de cibersegurança. Após o ataque, ao analisar a eficácia da resposta a incidentes, as equipas de segurança podem reforçar as defesas e colmatar eventuais lacunas, bem como apoiar os seus requisitos de comunicação e ajudar a cumprir os mandatos de conformidade.
Uma compreensão completa das circunstâncias que levaram a uma violação só pode ajudar a minimizar o seu impacto. A CTI ajuda a organização a identificar rapidamente a natureza de um ataque e onde e como ele se originou, oferecendo até mesmo valor agregado, como a remoção de quedas de banco de dados descobertas antes que um vazamento possa ocorrer ou a identificação de credenciais comprometidas para evitar o roubo de identidade.
O papel da CTI no aprimoramento da resposta e correção de incidentes
A CTI é parte integrante da fase de Resposta, onde as suas capacidades de inteligência em tempo real transformam a forma como as organizações lidam e recuperam de incidentes de segurança:
- Planeamento da remediação: As plataformas CTI modernas fornecem planos de correção estruturados que descrevem os passos obrigatórios para lidar com as ameaças identificadas. Esses planos ajudam as organizações a entender a gravidade e as implicações da ameaça, garantindo que os esforços de resposta sejam rápidos e eficazes.
- Tomada de decisões informada: A CTI ajuda a equipa de Resposta a Incidentes (IR) e outros profissionais de segurança, ao fornecer informações detalhadas sobre a natureza do ataque. Estas informações permitem que as equipas tomem decisões informadas, reduzindo o tempo de correção e ajudando a dar prioridade aos esforços com base em informações sobre as táticas, técnicas e procedimentos específicos utilizados pelos atacantes.
- Definição do perfil do autor da ameaça: Ao analisar e traçar o perfil dos atacantes, a CTI fornece informações sobre o seu modus operandi, ajudando a antecipar riscos futuros e a ajustar as medidas de segurança em conformidade. Compreender o comportamento dos atacantes permite que as organizações reforcem a sua postura de segurança contra ataques futuros semelhantes e ajustem os seus mecanismos de defesa estratégica para melhor se protegerem contra o cenário de ameaças em evolução.
Recuperar (RC)
Consegue restaurar os serviços afectados e manter a resiliência no futuro?
Quando há um ataque, é como estar numa corrida contra o tempo. É por isso que o planeamento de recuperação é um elemento tão importante da resiliência da cibersegurança. Quando esta fase da estrutura do NIST tiver sido implementada eficazmente, uma organização terá um planeamento e procedimentos de recuperação específicos para recuperar rapidamente antes de um ataque causar danos, e uma estratégia para reiterar os seus processos de segurança com base nas lições aprendidas.
Acredite ou não, os ataques repetidos não são invulgares – acontecem na maioria dos casos. 67% das empresas que sofreram uma violação, sofreram outra no espaço de 12 meses. Atualizar a sua postura através da conformidade com directrizes como o NIST é uma forma de garantir que está entre os 33%.
O papel da CTI na melhoria dos processos de recuperação
A CTI desempenha um papel vital no processo de recuperação, fornecendo informações que apoiam uma restauração eficaz e processos organizacionais à prova de futuro…
- Análise da “causa-raiz”: A CTI contribui com informações detalhadas sobre os métodos e ferramentas dos atacantes, o que ajuda a identificar a causa principal da violação. Compreender a causa raiz é essencial para uma correção eficaz e ajuda a evitar a recorrência de incidentes semelhantes.
- Prevenção de ataques futuros: A informação pós-incidente recolhida pela CTI é crucial para prever potenciais vectores de ataque futuros e identificar ameaças residuais. Isto inclui a integração de novos Indicadores de Comprometimento (IOCs) nos sistemas de segurança, o que melhora as capacidades de deteção e ajuda a proteger os sistemas contra ameaças semelhantes ou em evolução.
- Monitorização e verificação contínuas: Após a gestão de uma violação inicial, as ferramentas de CTI continuam a monitorizar os sistemas da organização para verificar se a violação foi totalmente contida. Esta monitorização ajuda a garantir que não existem riscos residuais e que são evitadas fugas futuras, mantendo a integridade dos activos da organização após o incidente.
Uma oportunidade NIST: A inteligência sobre ameaças cibernéticas é a chave para a adoção da estrutura do NIST
A implementação das melhores práticas através da estrutura de segurança cibernética da NIST é uma abordagem padronizada para proteger a infraestrutura crítica contra ataques, salvaguardar informações confidenciais e reduzir o risco de interrupção dos negócios no caso de uma ameaça ativa.
Ao utilizar a Cyber Threat Intelligence no seu ambiente, pode abranger todas as fases da estrutura, descobrindo o risco antecipadamente com total visibilidade e inteligência profunda, evitando o impacto material nos seus dados e serviços críticos e corrigindo uma violação no seu ambiente no prazo mais rápido possível – e com o menor impacto na continuidade do negócio.
Post original aqui.