No anterior Neste artigo de nossa série sobre o modelo exclusivo de fornecimento de dados da Recorded Future, detalhamos os quatro tipos de dados que analisamos e como, juntos, eles fornecem visibilidade sem precedentes sobre os cenários de ameaças exclusivos de cada um dos nossos clientes.
Neste artigo final, mostraremos como nossa equipe de pesquisa do Grupo Insikt transforma nossos dados brutos em inteligência acionável.
A vantagem do Insight Group
Composta por especialistas com experiência em agências governamentais, militares, policiais e de inteligência, a equipe de pesquisa do Grupo Insikt traz décadas de experiência para seu trabalho de análise do cenário de ameaças em constante evolução. A combinação de julgamento humano experiente com indexação e análise automatizada de dados incorpora o “modelo centauro”de inteligência, onde analistas humanos e tecnologia trabalham juntos para produzir insights que nenhum deles poderia alcançar sozinho.
“Insikt” significa “insight” em sueco. Ao utilizar o seu profundo conhecimento de grupos adversários específicos e TTPs para contextualizar os dados dentro de dinâmicas geopolíticas e criminais mais amplas, os analistas do Grupo Insikt são capazes de fornecer insights que os sistemas automatizados podem perder.
Uma metodologia de pesquisa que define o padrão
O Grupo Insikt utiliza metodologias avançadas de análise técnica para descobrir operações de agentes de ameaças. Eles incluem:
- Detecção e dinamização de infraestrutura: Ao combinar a análise proprietária de tráfego de rede futura registrada com análise automatizada de tráfego de rede em grande escala e análise especializada, a equipe pode detectar infraestrutura maliciosa antes mesmo de ela ser ativada. A equipe usa métodos sofisticados para rastrear alterações nas configurações de servidores adversários, registros de domínio, números de sistemas autônomos (ASNs) e camadas de infraestrutura multicamadas. Essas descobertas são a base para muitos fluxos de pesquisa, incluindo o relatório anual sobre infraestrutura maliciosa relatório.
- Identificação de vítimas através da análise da infraestrutura adversária: Usando eventos de exfiltração de análise de tráfego de rede e inteligência geográfica, os analistas do Insikt Group identificam organizações-alvo monitorando as comunicações entre as vítimas e os servidores de comando e controle (C2) em 30 bilhões de registros diários de inteligência de rede. Essa abordagem permite identificar organizações e setores vítimas em famílias de malware e detectar invasões contínuas quase em tempo real. Pesquisas recentes incluem a identificação de cinco grupos de atividades distintos por TAG-144 (Blind Eagle) segmentação Instituições governamentais da Colômbia.
- Análise de tráfego de rede e correlação de eventos de exfiltração: A equipe mantém um pipeline de análise que analisa bilhões de registros de inteligência de rede para identificar padrões que indicam comprometimentos ativos, mecanismos de persistência e exfiltração de dados. Esse recurso proprietário permite a detecção de atividades de agentes de ameaças em minutos, em vez de dias ou semanas. Exemplos de relatórios recentes incluem a identificação de vítimas visadas por GrayCharlie usando sites WordPress comprometidos.
- Validação de múltiplas fontes e referência cruzada: Os analistas integram dados de mais de 1 milhão de fontes no Intelligence Graph®, incluindo a Recorded Future Platform, open web, dark web, feeds técnicos, inteligência de malware, telemetria de clientes e muito mais. Essa abordagem abrangente e de múltiplas fontes os ajuda a validar descobertas em pontos de dados díspares e identificar conexões entre atores de ameaças, infraestrutura e alvos que seriam invisíveis ao examinar fontes isoladamente. Combinando múltiplas fontes, analistas do Grupo Insikt relatado em mercados de “garantia” baseados em Telegram, usados por grupos criminosos de língua chinesa para compreender campanhas cibernéticas e fraudulentas.
Validação de especialistas com habilidades especializadas
As capacidades de análise multilíngue e a experiência cultural dos analistas do Grupo Insikt permitem-lhes identificar e interpretar ameaças que os sistemas automatizados não conseguem contextualizar totalmente.
Com habilidades nativas de língua estrangeira e profundo conhecimento regional, os analistas podem analisar atividades em fóruns da dark web, redes criminosas subterrâneas e fontes de língua estrangeira, descobrindo nuances nas comunicações e intenções do adversário que seriam perdidas na tradução ou totalmente ignoradas por ferramentas automatizadas.
Esta camada humana de análise é particularmente crítica ao monitorizar os actores de ameaças que operam na China, Rússia, Irão e Coreia do Norte, onde a compreensão do contexto cultural, das motivações geopolíticas e da dinâmica regional é essencial para uma atribuição e previsão precisas de ameaças.
Ao combinar profunda experiência no assunto em grupos APT de estados-nação com monitoramento contínuo dos desenvolvimentos globais, o Grupo Insikt oferece uma visão abrangente de como as questões geopolíticas se traduzem em ameaças cibernéticas contra organizações e setores específicos.
Pesquisa que impulsiona a plataforma e beneficia a indústria
O Grupo Insikt disponibiliza sua pesquisa diretamente na plataforma Recorded Future. A equipe compartilha inteligência em uma ampla variedade de formatos analíticos: desde quebras Relatórios Flash e Leads de ameaças sobre atividades emergentes, para aprofundar Análises de ameaças cibernéticas, Perfis de atorese Perfis de malware/ferramentas que mapeiam o comportamento, as capacidades e a infraestrutura do adversário. Para organizações que acompanham o ambiente de risco mais amplo, o Grupo Insikt também produz Resumos de Inteligência Geopolítica, Atualizações sobre risco paíse voltado para o futuro Previsões de ameaças geopolíticas.
Os profissionais obtêm suporte prático por meio de Pacotes de Caça com detecções acionáveis; Instâncias TTP obtidos e verificados em fontes abertas, fechadas e técnicas; e Inteligência de Vulnerabilidade priorizar a exposição. As equipes de fraude de pagamento se beneficiam de cobertura dedicada, incluindo Alertas de violação de cartão de pagamento, Relatórios do Magecart E-Skimmere Análise de fraude TTP.
Toda essa inteligência é automaticamente vinculada aos cartões de inteligência – perfis consolidados do Recorded Future sobre entidades como atores de ameaças, endereços IP, hashes e domínios – para que os analistas possam migrar diretamente da pesquisa do Grupo Insikt para indicadores, infraestrutura e contexto relacionados.
Os clientes não são os únicos beneficiários. Para promover o conhecimento em todo o setor de segurança mais amplo, o Insikt Group publica muitos de seus relatórios de pesquisa no blog Recorded Future e em informações sobre ameaças disponíveis publicamente. relatórios cobrindo tópicos que vão desde grupos de ameaças patrocinados pelo estado até malware emergente e infraestrutura de invasores.
Uma divisão de pesquisa que se destaca no setor
Poucos fornecedores de inteligência contra ameaças podem igualar o que o Insikt Group oferece como uma divisão de pesquisa integrada. Construir e manter uma equipe deste calibre requer um investimento contínuo significativo, por isso a maioria dos fornecedores adota apenas a automação. Isso muitas vezes deixa seus clientes com uma lacuna de inteligência.
Os analistas do Grupo Insikt e suas pesquisas também ajudam a impulsionar o desenvolvimento do produto Recorded Future, criando um ciclo de feedback que aprimora continuamente a Plataforma. Para os clientes, isso significa a diferença entre o ruído dos indicadores brutos e o sinal de inteligência que é interpretado, validado e tornado acionável.
Para ver como nossa fonte de dados abrangente pode ajudar sua organização a ficar à frente das ameaças e mitigar os riscos comerciais, livro uma demonstração personalizada.
