A Threat Intelligence (TI) — ou inteligência de ameaças — é a prática de recolher, analisar e partilhar informação sobre ameaças cibernéticas para antecipar ataques, melhorar a deteção e acelerar a resposta a incidentes. É uma componente central das estratégias de cibersegurança maduras, tanto em organizações públicas como privadas.
O que é Threat Intelligence
Threat Intelligence transforma dados brutos sobre ameaças — endereços IP, domínios, hashes de malware, técnicas de ataque — em informação acionável que permite às equipas de segurança tomar decisões mais informadas e atempadas. Distingue-se do simples feed de indicadores porque inclui contexto: quem ataca, com que motivação, com que técnicas e visando que alvos.
Tipos de Threat Intelligence
| Tipo | O que inclui | Audiência principal |
|---|---|---|
| Estratégica | Tendências globais, motivações de grupos, impacto geopolítico | Gestão executiva, CISO, Conselho |
| Tática | TTPs (Táticas, Técnicas e Procedimentos) dos adversários, modus operandi | Equipas de segurança, Red Team |
| Operacional | Informação sobre campanhas ativas, infraestrutura de ataque | SOC, resposta a incidentes |
| Técnica | Indicadores de Comprometimento (IoCs): IPs, domínios, hashes, URLs maliciosas | Ferramentas de segurança (SIEM, firewall, EDR) |
Frameworks e modelos de referência
- MITRE ATT&CK: Base de conhecimento com centenas de técnicas e sub-técnicas usadas por grupos de ameaça reais, organizada por fase de ataque (Reconnaissance, Initial Access, Execution, Persistence, etc.)
- Diamond Model: Modelo analítico para caracterizar incidentes através de 4 eixos: Adversary, Capability, Infrastructure, Victim
- Cyber Kill Chain (Lockheed Martin): 7 fases de um ataque (Reconnaissance → Weaponization → Delivery → Exploitation → Installation → C2 → Actions on Objectives)
- STIX/TAXII: Padrões abertos para representar (STIX) e partilhar (TAXII) informação de ameaças de forma interoperável
- TLP (Traffic Light Protocol): Sistema de classificação para controlar a disseminação de informação partilhada entre organizações
Fontes de Threat Intelligence
| Categoria | Exemplos | Custo |
|---|---|---|
| Feeds open-source (OSINT) | AlienVault OTX, Abuse.ch, MalwareBazaar, URLhaus | Gratuito |
| Partilha entre pares (ISACs) | FS-ISAC, H-ISAC, setor financeiro e saúde europeu | Adesão sectorial |
| CSIRTs nacionais e europeus | CNCS/CERT.PT, ENISA, FIRST | Gratuito (membro) |
| Plataformas comerciais | Recorded Future, Mandiant, CrowdStrike Intelligence | Pago |
| Plataformas de partilha | MISP, OpenCTI | Gratuito (open-source) |
Como implementar um programa de TI
- Definir os requisitos de inteligência (PIRs): Que ameaças são mais relevantes para o setor, geografia e perfil de risco da organização?
- Selecionar fontes adequadas: Começar por feeds gratuitos (CNCS, CERT.PT, OTX) e evoluir para fontes pagas conforme a maturidade.
- Integrar com ferramentas existentes: SIEM, firewalls, EDR e proxies podem consumir IoCs automaticamente para bloquear ameaças em tempo real.
- Processar e contextualizar: Não todos os IoCs são relevantes — filtrar por setor, tecnologia utilizada e data de validade.
- Partilhar com a comunidade: A TI é mais eficaz quando partilhada — participar em grupos de partilha setoriais e no CERT.PT.
- Medir e melhorar: Avaliar o impacto da TI nas métricas de deteção (MTTD) e resposta (MTTR) a incidentes.
Recursos úteis
- MITRE ATT&CK — framework de referência para TTPs de adversários
- MISP — Malware Information Sharing Platform — plataforma open-source de partilha de TI
- AlienVault OTX — feeds gratuitos de IoCs da comunidade global
- ENISA — Threat Intelligence — recursos e relatórios europeus
- CERT.PT — centro de resposta a incidentes em Portugal; partilha alertas e IoCs