De acordo com relatório de ameaças, setor de segurança enfrenta desafios fundamentais em esforços de compartilhar inteligência de ameaças entre entidades, dentre soluções de fornecedores e mesmo dentro de portfólios de fornecedores.

O relatório analisou o histórico e os motivadores do compartilhamento de ameaças; os diversos componentes, fontes e modelos de compartilhamento da inteligência de ameaças; como operações de segurança consolidadas podem fazer uso dos dados compartilhados e os principais desafios do compartilhamento que o setor deve superar. Esses desafios incluem:

• Um grande problema de relação sinal-ruído continua a assolar os defensores que tentam triar, processar e agir frente aos incidentes de segurança da mais alta prioridade.

• Validação. Atacantes podem registrar falsos relatórios de ameaças para desorientar ou sobrecarregar sistemas de inteligência de ameaças, sendo que os dados de fontes legítimas podem ser adulterados se forem incorretamente administrados.

• Se os fornecedores apenas focarem em reunir e compartilhar mais dados de ameaças, existe um risco de que muitos desses dados sejam duplicados, perdendo um tempo valioso e esforço em vão.

• Inteligência recebida tarde demais para a prevenção de um ataque ainda é valiosa, mas apenas para o processo de limpeza. Os sensores e sistemas de segurança devem compartilhar inteligência de ameaças em tempo quase real para se equiparar às velocidades de ataque.

• Correlação. A falha em identificar padrões relevantes e pontos de dados principais na segurança impossibilita transformar os dados em inteligência e, em seguida, conhecimento.

Para evoluir o compartilhamento de inteligência, é importante focar em três áreas:

• Triagem e priorização. Simplifique a triagem de eventos e proporcione um melhor ambiente para os profissionais de segurança para investigar ameaças de alta prioridade

• Conectar os pontos. Estabeleça relações ente indicadores de comprometimento de modo que os caçadores de ameaças possam entender suas conexões para campanhas de ataque

• Melhores modelos de compartilhamento. Aprimore os meios de compartilhar inteligência de ameaças entre seus próprios produtos e junto a outros fornecedores.

Proliferação do Botnet Mirai

O Mirai foi responsável pelo difundido ataque de DDoS ao Dyn, um dos principais provedores de serviços de DNS. Ele é notável por detectar e infectar dispositivos IoT mal protegidos, transformando-os em bots para atacar seus alvos.

A divulgação do código-fonte do Mirai resultou em uma proliferação de bots derivados, embora a maioria pareça ser acionada por programadores de scripts amadores e relativamente limitados em seu impacto. Entretanto, também resultou em ofertas de “DDoS-as-a-Service” com base no Mirai, tornando simples para atacantes pouco sofisticados, mas voluntariosos, executar ataques de DDoS que afetam outros dispositivos IoT de baixa segurança.

Ainda de acordo com o relatório, estima-se que 2,5 milhões de dispositivos IoT (internet das coisas) foram infectados pelo Mirai no 4º trimestre de 2016, com cerca de cinco endereços IP de IoT adicionados para botnets Mirai a cada minuto naquele momento.

Fonte

Conteúdo extraído do site