Inteligência · Antecipação

Threat Intelligence

Inteligência cibernética acionável que transforma dados brutos sobre adversários, TTPs e indicadores em decisões antecipatórias para proteger marca, dados e operações.

MITRE ATT&CK Cyber Kill Chain Diamond Model STIX/TAXII 2.1 Pyramid of Pain

A inteligência importa

+72%

aumento global em ataques de ransomware nos últimos 12 meses (ENISA Threat Landscape).

10 bilhões

de credenciais únicas vazadas em compilações públicas conhecidas.

14 táticas

do MITRE ATT&CK Enterprise mapeadas a centenas de técnicas adversárias.

O que é

De dados a decisões

Cyber Threat Intelligence (CTI) é o processo de coletar, processar, analisar e disseminar informações sobre adversários, suas motivações, capacidades e técnicas — para que decisões de segurança sejam tomadas com contexto, não com palpites.

A definição clássica do Gartner: "evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets". Em outras palavras: inteligência só serve se você puder agir com base nela.

Casos de uso

  • Detecção precoce de campanhas de phishing direcionadas à marca
  • Monitoramento de credenciais corporativas vazadas
  • Identificação de domínios maliciosos (typosquatting)
  • Threat hunting proativo no ambiente
  • Inteligência sobre grupos de ransomware ativos no setor
  • Enriquecimento de alertas no SIEM/SOAR/EDR
Os 4 níveis de CTI

Da estratégia à técnica

Nível 1

Estratégica

Visão de longo prazo sobre tendências, geopolítica e cenário de ameaças no setor.

Audiência: C-Level, Board
Nível 2

Operacional

Detalhes sobre campanhas, grupos APT e operações em andamento.

Audiência: Gerentes SOC/CSIRT
Nível 3

Tática

TTPs (Tactics, Techniques, Procedures) usados pelos adversários, mapeados ao ATT&CK.

Audiência: Threat Hunters, IR
Nível 4

Técnica

Indicadores de comprometimento (IOCs): hashes, IPs, domínios, URLs, regras YARA/Sigma.

Audiência: Analistas SOC, Engenheiros
Ciclo de Inteligência

As 6 fases do Intelligence Cycle

Modelo padronizado pela CIA e adaptado para CTI corporativo.

01

Direcionamento

Definição dos Priority Intelligence Requirements (PIRs) com base no negócio.

02

Coleta

OSINT, dark/deep web, fontes comerciais, ISACs setoriais, telemetria interna.

03

Processamento

Normalização, deduplicação, validação e estruturação em formatos padrão (STIX 2.1).

04

Análise

Correlação, atribuição e avaliação de impacto. Análise estruturada com técnicas como ACH.

05

Disseminação

Entrega ao público certo, no formato certo: relatório, alerta, feed automatizado.

06

Feedback

Refinamento dos PIRs e ajuste de fontes com base na utilidade gerada.

Frameworks

Modelos de referência

MITRE

MITRE ATT&CK

Base de conhecimento globalmente acessível com táticas, técnicas e sub-técnicas observadas em ataques reais. Cobre Enterprise, Cloud, Mobile, ICS e Containers.

14 Táticas
200+ Técnicas
600+ Sub-técnicas
130+ Grupos APT
Lockheed Martin

Cyber Kill Chain

Modelo de 7 etapas que descreve a anatomia de um ataque cibernético: do reconhecimento à ação sobre objetivos. Útil para defesa em profundidade.

  1. 1. Reconnaissance · 2. Weaponization · 3. Delivery
  2. 4. Exploitation · 5. Installation · 6. C2 · 7. Actions
Sergio Caltagirone et al.

Diamond Model

Cada evento de intrusão é caracterizado por 4 vértices conectados: Adversário, Capacidade, Infraestrutura e Vítima — usado em análise de campanhas e atribuição.

David Bianco

Pyramid of Pain

Hierarquia de IOCs ordenada pela "dor" causada ao adversário ao serem bloqueados — de hashes (trivial) a TTPs (extremamente difícil de mudar).

Fontes de Coleta

Onde buscamos inteligência

OSINT

Open Source Intelligence — fontes públicas, redes sociais, GitHub, Pastebin.

Dark Web

Fóruns Tor/I2P, marketplaces de credenciais e dados, leak sites de ransomware.

Deep Web

Fóruns fechados, canais Telegram/Discord, Russian-speaking forums.

ISACs/ISAOs

Information Sharing and Analysis Centers setoriais (FS-ISAC, H-ISAC).

Feeds Comerciais

Provedores especializados com cobertura global e analistas humanos.

CERTs Governamentais

CERT.br, US-CERT (CISA), ENISA — alertas oficiais e vulnerabilidades.

HUMINT

Human Intelligence — engajamento controlado em comunidades clandestinas.

Telemetria Interna

SIEM, EDR, NDR e honeypots para inteligência específica do ambiente.

Sandbox / Malware

Análise dinâmica de malware para extração de IOCs e TTPs.

Entregáveis

Inteligência acionável

Saídas regulares e sob demanda, no nível certo para cada audiência.

Threat Landscape Report

Relatório executivo trimestral com tendências, atores e cenários relevantes ao seu setor.

Brand & Digital Risk Monitoring

Alertas em tempo real sobre menções, domínios fraudulentos e abuso de marca.

Credential Leak Alerts

Notificação proativa de credenciais corporativas em dumps e infostealers.

IOC Feeds (STIX/TAXII)

Indicadores estruturados prontos para ingestão em SIEM, SOAR, firewall e EDR.

Threat Hunting Hypotheses

Hipóteses baseadas em TTPs do ATT&CK para caça proativa de ameaças.

Continue Explorando

Outros Serviços

Ofensivo

Teste de Penetração

Pentest baseado em PTES, OWASP e NIST SP 800-115.
Estratégico

Assessment de Segurança

Diagnóstico de maturidade NIST CSF, ISO 27001 e CIS.
Operacional

Gestão de Vulnerabilidades

Programa contínuo de scanning e remediação priorizada.

Conheça seus adversários antes que eles ataquem

Inteligência sob medida para o seu setor. Solicite uma proposta.

Solicitar Proposta
© 2024 Ryzam Secure. Todos os direitos reservados.