O actual cenário de segurança cibernética é marcado por alguns problemas comuns – grandes volumes de dados, falta de analistas e ataques cada vez mais complexos. As infra-estruturas de segurança actuais oferecem muitas ferramentas para gerir essas informações, mas pouca integração entre elas. Isso converte-se numa quantidade frustrante de esforços de engenharia para gerir sistemas e um desperdício inevitável de recursos e tempo já limitados.
Para combater esses problemas, muitas empresas optam por implementar uma plataforma de inteligência contra ameaças (TIP). As plataformas podem ser implementadas como SaaS ou como solução local para facilitar a gestão da inteligência contra ameaças cibernéticas e entidades associadas como agentes, campanhas ou incidentes.
Mas já há uma nova abordagem às TIP: a Inteligência Aberta Contra Ameaças. Na conferência RSA deste ano, Todd Weller, director de estratégia da Bandura Cyber, confirma que as organizações, independentemente do seu tamanho, estão a aumentar o uso da inteligência contra ameaças.
O problema é que esta inteligência tende a ser proprietária, conduzida pelo fornecedor, conduzida pela sua equipa, alimentada pelo ‘comportamento’ da base de clientes. Todd Weller explica que as organizações perceberam que precisam de uma visão mais ampla da inteligência contra ameaças. «Deve abranger várias fontes comerciais, indústria do código aberto e governo. É precisamente isso que está a impulsionar este movimento, o desejo de ter uma visão mais ampla e aberta da inteligência contra ameaças». Surgiu assim a abordagem ‘aberta’, a ‘open threat intelligence’.
Movimento ‘open’
O termo ‘open’ remete quase instintivamente para open source, ou código aberto. E não sendo exactamente a mesma coisa, Todd Weller assume haver algumas semelhanças entre os dois conceitos. «Aberto significa que não é controlado por nenhuma entidade, certo? Existe uma abordagem comunitária, qualquer pessoa pode contribuir. E isso pode perfeitamente ser aplicado à defesa cibernética colectiva. Não podemos fazer as coisas sozinhos», disse na conferência o director de estratégia. Outro epíteto que atribuímos ao termo ‘open’, sobretudo nas TI, é flexibilidade, algo que igualmente encaixa no conceito de ‘open threat intelligence’. «A inteligência aberta contra ameaças tem a capacidade de facilmente ser alterada, é flexível assim como portátil, no sentido de ser fácil de mover, fácil de se adaptar a um ambiente, a qualquer lugar».
Relativamente a como a indústria está a reagir a este ‘movimento’ aberto, Todd Weller diz ver duas frentes, duas facções. A primeira já foi há alguns anos, quando fornecedores se uniram à Cyber Threat Alliance, uma organização sem fins lucrativos que de resto ainda hoje existe. «Acho que a Palo Alto foi um dos principais membros fundadores, assim como a Symantec… o objectivo era poder partilhar indicadores de ameaças». Mas esta aliança, no entender de Todd Weller teve o que apelidou de sucesso limitado. «Francamente, não ouvimos muito falar da Cyber Threat Alliance a maioria das pessoas nem sabe que ainda existe.
É que, uma vez mais, é um grupo de empresa a tentar fornecer soluções de protecção alimentadas pela sua própria inteligência contra ameaça».
Todd Weller mencionou ainda a tentativa de alguns fornecedores em tomar medidas para tentar permitir a integração de inteligência contra ameaças de terceiros e assim tornar os seus sistemas mais abertos. «Existem alguns exemplos disso que eu destacaria. A Palo Alto Networks possui um projecto de código aberto chamado MineMeld, que agrega inteligência contra ameaças de várias fontes, ajudando a automatizar os processos. «Penso que a McAfee tem sido bastante progressiva com o que chamam de DXL, uma maneira de unir não apenas todo o portfólio de soluções da McAfee mas também facilitar a integração de soluções de terceiros, como a nossa. Depois, outra dimensão são os players SOAR, de orquestração de segurança e resposta automática que estão a tentar facilitar o movimento de inteligente contra ameaça entre sistemas díspares».
Mas, para este especialista, o desafio desta abordagem volta, novamente, às limitações dos próprios controlos. «No fundo, o maior problema é a tendência para a detecção proprietária, o que tira o incentivo à abertura».
Integração de várias fontes
A abordagem da Bandura Cyber é disponibilizar uma plataforma de protecção de inteligência contra ameaças onde agregam informações de várias fontes. «Estamos em parceria com muitos fornecedores comerciais de inteligência contra ameaças, estamos a criar código aberto, estamos a trazer o sector governamental através de integrações com organizações de partilha e análise de informações». Todd Weller diz mesmo que a empresa produz a sua própria inteligência contra ameaças. «Não dependemos disso», comentou. «Trabalhamos em parceria, queremos que os clientes possam usar a inteligência contra ameaças que quiserem. Por isso, estamos a dar um passo proactivo para agregar e fornecer informações de ameaças dos principais fornecedores e fontes».
A Bandura Cyber diz agregar e integrar a tal inteligência contra ameaças e, por isso, ser capaz de agir sobre qualquer fonte. «Não somos tendenciosos à nossa própria inteligência contra ameaças, queremos ser abertos e flexíveis. Mas isso não significa que, com o tempo, também não teremos uma parte de nossa própria inteligência de ameaças». Sobretudo, Todd Weller diz ser importante deixar o cliente escolher. «A cibersegurança é dinâmica e as grandes fontes de inteligência contra ameaças hoje serão muito diferentes das de amanhã e daqui a cinco ou dez anos».