Threat intelligence — ou inteligência de ameaças cibernéticas (CTI, do inglês Cyber Threat Intelligence) — é o conhecimento produzido sobre adversários, suas motivações, capacidades e métodos, estruturado de forma a apoiar decisões de defesa antes, durante e após um incidente. Não se trata de um produto pronto nem de uma ferramenta isolada: é um processo contínuo que transforma dados brutos em entendimento acionável, permitindo que organizações de qualquer porte priorizem recursos, detectem intrusões mais cedo e respondam com maior precisão.
O que é threat intelligence e por que ela importa
A maioria das violações de segurança não é inevitável. Elas ocorrem porque o defensor não sabia o que o atacante sabia — qual vulnerabilidade explorar, qual conta tinha senha fraca, qual fornecedor terceiro era o elo mais fraco. Threat intelligence fecha parte dessa lacuna de informação.
Segundo o relatório Cost of a Data Breach 2024 da IBM, organizações com programas maduros de CTI identificaram incidentes em média 108 dias mais rápido do que aquelas sem. Cada dia a menos que um atacante permanece na rede reduz diretamente o custo de contenção, a extensão do vazamento e o tempo de recuperação.
A inteligência de ameaças não substitui controles técnicos como firewall, EDR ou MFA — ela os torna mais eficazes ao direcionar o que monitorar, o que bloquear e onde concentrar capacidade de resposta.
Níveis de threat intelligence
A CTI opera em quatro níveis distintos, cada um destinado a uma audiência e a uma finalidade específica:
| Nível | Audiência | Pergunta respondida | Exemplos de entregável |
|---|---|---|---|
| Estratégico | Diretoria, CISO, conselho | Quais riscos afetam meu negócio e setor? | Relatório de tendências, mapa de ameaças setoriais, briefing executivo |
| Tático | Gestores de segurança, arquitetos | Quais grupos me atacam e quais TTPs usam? | Perfil de ator ameaça, análise de campanha, gap de controles ATT&CK |
| Operacional | Analistas de SOC, equipe de resposta | Existe ataque ativo que me afeta agora? | Alerta de campanha em curso, contexto de incidente, playbook de resposta |
| Técnico | Engenheiros, ferramentas automatizadas | Quais artefatos maliciosos devo bloquear? | Feed de IoCs (hashes, IPs, domínios), regras YARA, assinaturas Suricata |
Programas maduros produzem e consomem os quatro níveis simultaneamente. Programas iniciantes costumam começar pelo técnico — IoCs no SIEM — e evoluem para os demais à medida que a equipe cresce.
O ciclo de inteligência
Threat intelligence não é um produto pontual: é um ciclo iterativo composto por seis fases, descritas originalmente pelo modelo de inteligência militar e adaptadas ao contexto cibernético pela comunidade de analistas.
1. Direção
A fase de direção define os Priority Intelligence Requirements (PIRs): as perguntas de negócio que o programa deve responder. Exemplos: qual a exposição de credenciais da organização em fóruns de ransomware? Quais grupos APT têm histórico de ataque a fintechs brasileiras reguladas pelo Bacen? PIRs mal definidos levam à coleta de dados irrelevantes e desperdiçam capacidade analítica.
2. Coleta
Com os PIRs definidos, a equipe aciona fontes compatíveis: OSINT aberto (relatórios públicos, crt.sh, Shodan, VirusTotal, feeds de DNS passivo), feeds comerciais, dark web e fóruns de cibercrime, telemetria interna (logs de firewall, EDR, honeypots) e ISACs setoriais. A diversidade de fontes é mais importante que o volume: uma fonte de alta qualidade e baixo ruído supera dez feeds não curados.
3. Processamento
Dados brutos chegam em formatos heterogêneos — PDFs de relatórios, JSONs de feeds, dumps de fóruns, logs de SIEM. O processamento normaliza, enriquece (correlação com CVEs, ASNs, atores conhecidos) e elimina duplicatas e falsos positivos óbvios. Plataformas como MISP, OpenCTI e Anomali facilitam essa etapa com parsers automatizados e integrações STIX/TAXII.
4. Análise
A análise é a etapa humana central do ciclo. Analistas identificam padrões, inferem intenção e capacidade do adversário, avaliam confiança nas informações e produzem inteligência em cada nível (técnico, operacional, tático, estratégico). Técnicas estruturadas como Analysis of Competing Hypotheses (ACH) e Diamond Model ajudam a evitar vieses cognitivos.
5. Disseminação
Inteligência que não chega às mãos certas não tem valor. A disseminação mapeia cada produto ao seu destinatário correto: IoCs vão automaticamente ao SIEM e ao EDR via API STIX/TAXII; alertas operacionais chegam ao SOC via ticket; relatórios estratégicos são apresentados ao CISO e ao conselho em linguagem não técnica. Formato, frequência e canal variam por audiência.
6. Feedback
O ciclo fecha quando as equipes consumidoras informam se a inteligência foi acionável, se os IoCs geraram detecções reais e se os PIRs ainda refletem as prioridades do negócio. Sem feedback, o programa deriva para coleta sem propósito. Com feedback, ele se afina progressivamente à realidade do ambiente e das ameaças que o afetam.
Fontes de threat intelligence
As fontes de CTI se organizam por tipo de acesso, custo e profundidade:
- OSINT (Open Source Intelligence): CISA Known Exploited Vulnerabilities (KEV), AlienVault OTX, abuse.ch (Feodo, URLhaus, MalwareBazaar), Shodan, Censys, crt.sh para monitoramento de certificados, repositórios públicos de malware e relatórios de vendors (Mandiant, CrowdStrike, SentinelOne, ESET).
- Feeds comerciais: Recorded Future, Flashpoint, Intel 471, VirusTotal Enterprise — oferecem contexto enriquecido, cobertura de dark web e alertas configuráveis com SLA de atualização.
- ISACs (Information Sharing and Analysis Centers): organizações setoriais como FS-ISAC (financeiro), H-ISAC (saúde), Auto-ISAC (automotivo) e MS-ISAC (governos estaduais/municipais) compartilham inteligência confidencial entre membros do mesmo setor.
- MISP (Malware Information Sharing Platform): plataforma open-source criada pelo CIRCL luxemburguês, usada por centenas de CERTs e SOCs para compartilhar eventos de ameaça no formato padronizado STIX 2.1.
- Telemetria interna: logs de firewall e proxy, alertas de EDR, eventos de Active Directory, registros de DNS interno e honeypots posicionados na DMZ fornecem inteligência específica do ambiente — impossível de obter externamente.
Frameworks de threat intelligence
MITRE ATT&CK
O MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) é a referência mais adotada globalmente para descrever comportamento de adversários. Organizado em matrizes por plataforma (Enterprise, Mobile, ICS), cataloga 14 táticas — de Reconhecimento a Impacto — e centenas de técnicas observadas em ataques reais. Equipes usam o ATT&CK para mapear cobertura de detecção, planejar exercícios de red team, priorizar regras de SIEM e estruturar relatórios de incidente com linguagem comum entre fornecedores e clientes.
Diamond Model of Intrusion Analysis
Proposto por Caltagirone, Pendergast e Betz em 2013, o Diamond Model descreve cada evento de intrusão como uma relação entre quatro vértices: adversário, infraestrutura, capacidade e vítima. O modelo força o analista a enxergar o ataque do ponto de vista do adversário e a identificar pivôs de investigação — por exemplo, a infraestrutura usada em um incidente pode revelar outros alvos do mesmo grupo.
Cyber Kill Chain
Desenvolvida pela Lockheed Martin, a Cyber Kill Chain descreve um ataque em sete fases sequenciais: reconhecimento, armamento, entrega, exploração, instalação, comando e controle, e ações sobre objetivos. O modelo é útil para identificar em qual fase uma campanha foi detectada e quais controles poderiam tê-la interrompido mais cedo. Sua principal limitação é a visão linear: ataques modernos, especialmente de grupos APT, são iterativos e não lineares.
IoC versus TTP: por que o comportamento supera o artefato
Indicadores de Comprometimento (IoCs) — hashes de arquivos maliciosos, endereços IP de servidores de comando e controle, domínios de phishing — são o ponto de entrada mais comum em programas de CTI. São fáceis de consumir, integram diretamente com ferramentas de bloqueio e geram resultados mensuráveis rapidamente.
O problema é a vida útil: atacantes sofisticados rotacionam infraestrutura em questão de horas após exposição pública. Um IP bloqueado hoje é substituído amanhã. Hashes mudam com um único byte alterado no binário. Domínios são registrados aos milhares com automação.
TTPs (Táticas, Técnicas e Procedimentos) operam em outro nível de abstração. Mudar uma técnica exige que o adversário redesenhe sua ferramenta ou fluxo operacional — um custo real. O grupo que usa WMI para persistência, PowerShell ofuscado para movimento lateral e exfiltração via HTTPS para domínios legítimos continuará usando essas técnicas por meses, independentemente de qual IP ou hash específico foi bloqueado. Detectar o comportamento, não o artefato, é o objetivo de um programa CTI maduro.
Na prática, bons programas usam IoCs para detecção de curto prazo e triagem rápida, enquanto investem em regras comportamentais baseadas em TTPs para detecção estrutural de médio e longo prazo.
Aplicações práticas: onde a CTI gera resultado
Priorização de vulnerabilidades
Com mais de 29.000 CVEs publicados em 2024, nenhuma equipe consegue corrigir tudo. A CTI contextualiza cada vulnerabilidade: ela está sendo explorada ativamente? Por qual grupo? Contra qual setor? O CISA KEV é o ponto de partida mais objetivo — vulnerabilidades ali listadas têm evidência de exploração real em campo e devem ser corrigidas antes das demais.
Detecção no SIEM e EDR
Feeds de IoCs alimentam listas de bloqueio e regras de correlação. TTPs geram casos de uso de detecção mapeados ao ATT&CK — por exemplo, uma regra que detecta criação de scheduled task seguida de execução de processo filho com argumentos codificados em base64 cobre a técnica T1053.005 independentemente do hash do binário usado.
Threat hunting
Threat hunting parte da hipótese de que o adversário já está no ambiente e não foi detectado pelos controles existentes. A CTI fornece as hipóteses: o grupo Scattered Spider usa engenharia social por telefone para convencer helpdesks a resetar MFA — devo buscar resets de MFA atípicos nos últimos 30 dias. Sem inteligência sobre o adversário, o hunting é vago; com ela, é direcionado.
Resposta a incidentes
Durante uma resposta, a CTI acelera a atribuição e o escopo. Identificar que o ransomware encontrado corresponde ao grupo BlackBasta permite ao analista antecipar quais dados foram exfiltrados antes da criptografia, quais outras máquinas podem estar comprometidas e qual infraestrutura de comando e controle bloquear imediatamente.
Perguntas frequentes
- Qual a diferença entre threat intelligence e antivírus?
- Antivírus reage a assinaturas conhecidas após a ameaça chegar ao endpoint. Threat intelligence é proativa: coleta, analisa e distribui conhecimento sobre adversários antes do ataque, permitindo que controles como EDR, SIEM e firewall se antecipem a táticas e infraestrutura maliciosa ainda não exploradas no ambiente alvo.
- O que é um IoC e qual sua limitação?
- Indicador de Comprometimento (IoC) é um artefato observável — hash de arquivo, endereço IP, domínio, URL ou chave de registro — que evidencia atividade maliciosa. Sua limitação principal é a volatilidade: atacantes rotacionam infraestrutura em horas, tornando IoCs obsoletos rapidamente. Por isso analistas combinam IoCs com TTPs do MITRE ATT&CK, muito mais estáveis no tempo.
- O que são TTPs e por que são mais valiosas que IoCs?
- TTPs descreve o comportamento do adversário: como ele obtém acesso inicial, como se move lateralmente, quais ferramentas usa e como exfiltra dados. Enquanto um IP bloqueado é trocado em minutos, a técnica de phishing com link QR code ou o abuso de WMI para persistência persistem por meses no repertório de um grupo. Detectar o comportamento, não apenas o artefato, eleva o custo do ataque para o adversário.
- O que é o MITRE ATT&CK e como ele é usado na prática?
- MITRE ATT&CK é uma base de conhecimento aberta mantida pela MITRE Corporation que cataloga táticas e técnicas observadas em ataques reais contra sistemas Windows, Linux, macOS, nuvem e dispositivos móveis. Na prática, equipes de SOC o usam para mapear coberturas de detecção, identificar lacunas de visibilidade, priorizar regras de SIEM e calibrar exercícios de red team e threat hunting.
- Quais fontes alimentam um programa de threat intelligence?
- As fontes se dividem em OSINT (relatórios de vendors, CVE, crt.sh, Shodan, feeds DNS passivos), feeds comerciais (Recorded Future, VirusTotal Enterprise), dark web e fóruns de ransomware, ISACs setoriais (FS-ISAC, H-ISAC) e telemetria interna — logs de firewall, EDR, honeypots e DNS interno. A qualidade de um programa de CTI depende da diversidade e da curadoria dessas fontes.
- Toda empresa precisa de threat intelligence, independentemente do porte?
- Sim, mas o modelo de consumo varia. Empresas de 1 a 50 colaboradores se beneficiam de feeds curados e alertas automáticos de vazamento de credenciais e domínios semelhantes. Médias e grandes organizações incorporam analistas CTI, plataformas MISP, integrações SIEM e relatórios estratégicos para board. A Decripte oferece camadas compatíveis com cada porte, do plano gratuito de Gestão de Ameaças ao SOC gerenciado enterprise.
Referências e leituras recomendadas
- MITRE ATT&CK — attack.mitre.org: base de conhecimento de táticas e técnicas adversariais, atualizada continuamente com dados de campo.
- MISP Project — misp-project.org: plataforma open-source de compartilhamento de inteligência de ameaças usada por CERTs e SOCs em mais de 100 países.
- SANS Institute — sans.org/white-papers: whitepapers sobre modelos de maturidade CTI, threat hunting e operações de inteligência.
- CISA Known Exploited Vulnerabilities Catalog — cisa.gov/known-exploited-vulnerabilities-catalog: lista obrigatória de vulnerabilidades com exploração confirmada em campo.
- Lockheed Martin Cyber Kill Chain — modelo original de 2011, referência para análise de fases de ataque.
- Diamond Model of Intrusion Analysis — Caltagirone, Pendergast e Betz (2013): documento técnico disponível em activeresponse.org.
Como a Decripte entrega threat intelligence
A Decripte opera threat intelligence integrada ao SOC e à plataforma de Gestão de Ameaças, atendendo organizações de 1 a mais de 100.000 colaboradores. No plano gratuito, toda empresa recebe monitoramento automatizado de vazamento de credenciais e domínios similares ao seu, com alertas acionáveis na plataforma. Nos planos pagos, a inteligência escala para feeds comerciais curados, relatórios táticos e estratégicos, threat hunting guiado por hipóteses e integração direta com o SIEM e EDR do cliente via STIX/TAXII.
O Diagnóstico de Inteligência de Ameaças — entregável central da plataforma — mapeia o nível de exposição da organização, identifica credenciais comprometidas, infraestrutura exposta e TTPs de grupos com histórico de ataque ao setor, e produz um plano de ação priorizado. Tudo isso sem exigir instalação de agente ou integração de sistema no primeiro acesso.
Para começar gratuitamente ou conhecer os planos adequados ao seu porte, acesse decripte.com.br/planos ou inicie agora em decripte.com.br/free.
