Threat Intelligence: o que é e como aplicar
TL;DR
Threat Intelligence é o processo de coletar, analisar e aplicar conhecimento sobre adversários e suas táticas para antecipar e mitigar ataques. Vai muito além de feeds de IoC — quando bem usada, orienta detecção, resposta e até decisões de negócio.
Existem dois jeitos de operar segurança: reativo ("nos atacaram, vamos correr") e orientado a ameaças ("sabemos quem nos atacaria, sabemos como, estamos preparados"). Threat Intelligence é o que separa um do outro.
O que é Threat Intelligence
Threat Intelligence (CTI — Cyber Threat Intelligence) é o processo de coletar, processar, analisar e disseminar informação sobre ameaças para gerar conhecimento acionável. A palavra-chave é acionável: feed de IoC bruto sem contexto não é inteligência, é dado.
Os quatro níveis de Threat Intelligence
Estratégica
Para a liderança. Responde "quem nos atacaria e por quê?". Inclui análise geopolítica, tendências de cibercrime no setor, motivação de adversários. Linguagem executiva, sem jargão técnico.
Tática
Para o time de segurança. Foca em TTPs — táticas, técnicas e procedimentos de adversários conhecidos, normalmente mapeados em MITRE ATT&CK. Orienta detecção e hardening.
Operacional
Para o SOC e o threat hunting. Foca em campanhas ativas: qual grupo está atacando seu setor agora, quais infraestruturas estão sendo usadas, quais alvos primários. Janela de validade: dias a semanas.
Técnica
Para detecção automatizada. IoCs (Indicators of Compromise) — IPs, hashes, domínios, URLs, certificados. Vai direto para regras de SIEM, EDR, firewall. Janela de validade: horas a dias.
O ciclo da Threat Intelligence
- Direcionamento: que perguntas precisam ser respondidas? (PIRs — Priority Intelligence Requirements)
- Coleta: de feeds comerciais, OSINT, dark web, ISACs, parceiros, telemetria própria
- Processamento: normalização, deduplicação, enriquecimento
- Análise: contextualização, correlação, validação
- Disseminação: para a audiência certa, no formato certo
- Feedback: o que foi útil? O que precisa ajustar?
Fontes de Threat Intelligence
- OSINT: Twitter/X de pesquisadores, blogs de fornecedores, GitHub, paste sites
- Feeds comerciais: Recorded Future, Mandiant, CrowdStrike, Group-IB
- Feeds gratuitos: AlienVault OTX, Abuse.ch, MISP comunidades
- Dark web e fóruns: monitoramento de marketplaces, fóruns de cibercrime, canais de Telegram
- Própria: telemetria do SOC, dados de incidentes anteriores, honeypots
- Compartilhamento setorial: ISACs (Information Sharing and Analysis Centers)
Aplicação prática no SOC
- Detecção: regras de SIEM/XDR alimentadas por TTPs (não só por IoCs)
- Threat hunting: caçar evidências de adversários conhecidos antes do alerta
- Resposta a incidentes: entender rápido contra quem você está lutando muda a estratégia de contenção
- Vulnerability management: priorizar CVEs sendo exploradas em campanhas ativas (catálogo CISA KEV)
- Comunicação executiva: contextualizar risco em linguagem de negócio
MITRE ATT&CK: a coluna vertebral
MITRE ATT&CK é o framework que cataloga TTPs reais usados por adversários, organizados em táticas (objetivos: reconhecimento, acesso inicial, execução, persistência, etc.) e técnicas (como cada objetivo é atingido). Toda operação madura de CTI fala ATT&CK. Detecção mapeada por TTP é mais durável do que detecção por IoC, porque infra muda — comportamento muda mais devagar.
Erros comuns em programas de CTI
- Comprar feeds caros e nunca integrar com SIEM
- Tratar IoC como produto final (é matéria-prima)
- Não ter PIR definida — coletar tudo, usar nada
- Confundir threat intelligence com news aggregator
- Não envolver time de risco e negócio na disseminação estratégica
Conclusão
Threat Intelligence não é uma assinatura — é uma função. Bem operada, ela vira o cérebro do programa de segurança: orienta o que detectar, o que corrigir primeiro, e o que comunicar ao board. Mal operada, vira mais um relatório que ninguém lê.