O que vírus cibernéticos e biológicos têm em comum?
Com uma pandemia global sendo destaque nas notícias e mídias, estamos familiarizados com o que é um vírus e quais são suas implicações negativas se ele não for devidamente mitigado. No mundo digital, há um tipo de ameaça de ação semelhante e que não recebe o mesmo destaque, o vírus cibernético.
Tais problemas virtuais são chamados de vírus porque agem de maneira semelhante aos biológicos. Veja algumas características dos tipos de perigos na internet:
- Sempre há novas contaminações cibernéticas surgindo, chamadas de ataques de dia zero. A comunidade de cibercriminosos está constantemente inventando novas maneiras de violar e explorar organizações e usuários.
- Ameaças cibernéticas podem sofrer mutações, pois a comunidade de cibercriminosos migrou para um ciclo de inovação que inspirou uma miríade de ataques semelhantes, o que quer dizer que cada nova ação é um aprendizado construído sobre a anterior.
- Problemas no mundo online têm a capacidade de se infiltrar rapidamente, a qualquer momento. Com novos ataques movidos por inteligência artificial (IA), indivíduos confiáveis podem ser personificados, e os ataques conseguem se misturar em segundo plano e se infiltrar de forma mais rápida e eficaz.
Assim como o coronavírus, as ameaças virtuais não podem ser totalmente evitadas, e nossa melhor aposta é detectar e mitigar rapidamente quaisquer novos ataques. Para fazer isso de forma eficaz, a comunidade de segurança cibernética pode aproveitar muitos princípios do compartilhamento de informações que a comunidade científica adota para combater os vírus.
Quais princípios podem ser usados para combater os vírus?
Força em números: quanto mais pessoas coletarem e compartilharem informações de inteligência de ameaças, mais oportunidades haverá para detectar um ataque de dia zero e compartilhar estratégias de mitigação. O objetivo é o empoderamento recíproco para obter imunidade coletiva.
Confiança e experiência: uma comunidade que compartilha inteligência sobre ameaças pode partilhar também confiança; com isso, suas fontes de dados e suas estratégias de mitigação de ameaças podem ser atualizadas e ter credibilidade.
Alta relevância: os dados de inteligência de ameaças devem ser altamente relevantes para quem os utiliza. Ataques cibernéticos em setores e verticais têm a capacidade de ser direcionados e contextualizados, portanto a maneira de combatê-los também deve ser especializada e relevante.
Tão importantes quanto a qualidade das fontes de dados de inteligência de ameaças são os métodos usados para distribuí-los regularmente e sob demanda em formulários que podem ser manuseados por outras pessoas. Alguns exemplos de tipos de dados de inteligência de ameaças que podem ser benéficos para compartilhamento são:
- metadados de Vulnerabilidades e Exposições Comuns (CVE — Common Vulnerabilities and Exposures), que permitem que os destinatários procurem falhas de CVE conectadas com as localidades por meio de arquivos criptografados SHA-256;
- reputação de arquivos, que possibilita que os destinatários consultem a classificação do provedor de dados de arquivos maliciosos gravados com base em documentos criptografados SHA-256;
- banco de dados de URL, quepermite que os destinatários consultem a classificação do provedor de dados de certos URLs e IPs maliciosos detectados;
- feed programado, queoportuniza que todos os tipos de dados citados possam ser programados para uma exportação regular do provedor a seu destinatário.
Então, quem está em risco?
É importante observar que todos estão sob risco de um ataque cibernético e quem pode estar em busca desses dados, já que existem muitos exemplos de relações que se beneficiam do compartilhamento de inteligência de ameaças. Agências governamentais também podem se favorecer ao obter acesso a informações de muitas empresas privadas, como o InfraGard do FBI e a Defense Cyber Protection Partnership, com setores públicos e privados trabalhando juntos para o bem comum.
Empresas de segurança cibernética que fornecem dados de varejo com base no consumidor também podem aperfeiçoar o reforço de seus recursos de detecção de ameaças a partir de dados incrementais de outras companhias do setor. Uma parceria de sucesso é definida pela oportunidade de obter dados confiáveis, relevantes e incrementais, pois mais informações criam recursos mais fortes de detecção e de mitigação de ameaças.