# M1019 — Threat Intelligence Program ## Visão Geral *Fonte: [MITRE ATT&CK — M1019](https://attack.mitre.org/mitigations/M1019)* ## Descrição A Threat Intelligence Program enables organizations to proactively identify, analyze, and act on cyber threats by leveraging internal and external data sources. The program supports decision-making processes, prioritizes defenses, and improves incident response by delivering actionable intelligence tailored to the organization's risk profile and operational environment. This mitigation can be implemented through the following measures: ```mermaid graph TB A["📡 Coleta de Dados<br/>Feeds externos + logs internos"] --> B["🔍 Processamento<br/>TIP / MISP / OpenCTI"] B --> C["🧠 Análise<br/>Mapeamento MITRE ATT&CK"] C --> D["📋 Disseminação<br/>Relatórios + alertas SIEM"] D --> E["🛡️ Ação Defensiva<br/>Patches + IOCs + regras"] E --> F["🔄 Feedback Loop<br/>Avaliação do programa"] ``` ### Estabelecer Equipe de Threat Intelligence - Formar uma equipe dedicada ou atribuir responsabilidade ao pessoal de segurança existente para coletar, analisar e agir com base em threat intelligence. ### Definir Requisitos de Inteligência - Identificar os ativos críticos da organização e concentrar os esforços de coleta de inteligência em ameaças que visam esses ativos. ### Aproveitar Fontes de Dados Internas e Externas - Coletar inteligência de fontes internas como logs, incidentes e alertas. - Assinar feeds externos de threat intelligence, participar de ISACs e monitorar OSINT. ### Implementar Ferramentas de Automação - Usar plataformas de threat intelligence (TIPs) para automatizar coleta, enriquecimento e disseminação de dados de ameaças. - Integrar threat intelligence com SIEMs para correlacionar IOCs com eventos internos. ### Analisar e Agir com Base na Inteligência - Usar frameworks como MITRE ATT&CK para mapear inteligência a TTPs adversariais. - Priorizar medidas defensivas (como aplicação de patches ou implantação de IOCs) com base nas ameaças analisadas. ### Compartilhar e Colaborar - Compartilhar inteligência com pares da indústria por meio de ISACs ou plataformas de compartilhamento de ameaças para fortalecer a defesa coletiva. ### Avaliar e Atualizar o Programa - Avaliar regularmente a eficácia do programa de threat intelligence. - Atualizar prioridades e capacidades de inteligência conforme novas ameaças surgem. **Ferramentas para Implementação:** - **TIPs (Plataformas de Threat Intelligence):** OpenCTI (open-source), MISP (compartilhamento de dados estruturados) - **Feeds de Threat Intelligence:** OTX AlienVault, CIRCL OSINT Feed - **Ferramentas de Análise:** TheHive (IR + TI), Yeti (gestão de conhecimento sobre ameaças), MITRE ATT&CK Navigator, Cuckoo Sandbox - **Comunidade:** Memberships em ISACs setoriais, comunidades Slack/Discord de threat intel ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1656 | [[t1656-impersonation\|T1656 — Impersonation]] | | T1210 | [[t1210-exploitation-of-remote-services\|T1210 — Exploitation of Remote Services]] | | T1068 | [[t1068-exploitation-for-privilege-escalation\|T1068 — Exploitation for Privilege Escalation]] | | T1211 | [[t1211-exploitation-for-defense-evasion\|T1211 — Exploitation for Defense Evasion]] | | T1212 | [[t1212-exploitation-for-credential-access\|T1212 — Exploitation for Credential Access]] | --- ## Contexto LATAM > [!globe] Relevância Regional > Programas de threat intelligence estruturados ainda são raros no Brasil fora das grandes instituições financeiras e do setor de telecomúnicações. A maioria das organizações depende de feeds gratuitos como MISP e OTX sem equipe dedicada para análise e contextualização das ameaças para o ambiente local. Plataformas open-source como OpenCTI têm ganhado adoção crescente em SOCs brasileiros como alternativa viável às soluções comerciais. > - Adoção em SOCs brasileiros: baixo (exceto setor financeiro e telecom) > - Regulamentações relevantes: LGPD (gestão de dados de inteligência), BACEN 4893 (bancos obrigados a monitorar ameaças), Política Nacional de Cibersegurança > - Desafios regionais: escassez de analistas de CTI qualificados, custo elevado de plataformas TIP comerciais, baixa participação em ISACs regionais