Toda semana, alguma empresa anuncia uma nova plataforma de Cyber Threat Intelligence. A promessa costuma ser a mesma: dashboards elegantes, feeds automatizados, integrações com SIEM e EDR e a promessa implícita de que, com os dados certos na tela, sua equipe estará protegida.

 

Essas plataformas têm seu valor (ninguém está dizendo o contrário). O que falta, quase sempre, só aparece quando a situação aperta de verdade.

O que uma plataforma entrega (e o que ela não entrega)

Plataformas de Threat Intelligence são boas em algumas coisas: agregar dados, normalizar indicadores, exibir tendências, gerar alertas. Em termos técnicos, elas resolvem bem o problema da coleta estruturada e da visualização.

Mas inteligência não é dado. Inteligência é dado analisado, contextualizado e traduzido em decisão.

E essa tradução é, essencialmente, humana.

Quando um alerta aparece no dashboard às 23h de uma sexta-feira, a plataforma vai mostrar um IoC, um nível de criticidade e talvez uma referência ao MITRE ATT&CK. O que ela não vai fazer é te ligar para dizer: “esse indicador faz parte de uma campanha ativa que está mirando o seu setor essa semana, aqui está o que você precisa fazer agora.”

Isso só vem de um analista.

 

O fator humano na prática

Inteligência de ameaças, no fundo, é uma atividade de interpretação. Dois analistas olhando para os mesmos dados podem chegar a conclusões completamente diferentes, dependendo do contexto que carregam: conhecimento do setor, histórico da organização, relações com outros eventos, familiaridade com os grupos de ameaça relevantes.

Uma plataforma não tem contexto. Ela tem dados.

O fator humano aparece em momentos que plataformas não conseguem preencher:

 

• Quando o alerta não faz sentido isolado. Um domínio registrado há três dias, com certificado SSL legítimo e sem histórico de detecção. Isoladamente, nada. Mas um analista que acompanha um grupo específico reconhece o padrão de infraestrutura. E isso muda tudo.
• Quando é preciso priorizar em tempo real. Diante de vários alertas simultâneos, quem decide o que é urgente e o que é ruído? Um dashboard com “scores” de severidade ajuda, mas a priorização real depende de alguém que entende o risco daquela organização, naquele momento.
• Quando a ameaça é nova. Técnicas emergentes, grupos novos, campanhas sem precedente… Plataformas dependem de assinaturas e de padrões conhecidos. Analistas conseguem raciocinar sobre o desconhecido.
• Quando você precisa de uma explicação. O board pergunta sobre um incidente. O time jurídico quer saber o impacto regulatório. O time de produto precisa decidir se aquela feature representa um risco. Nesses momentos, dashboards não respondem. Pessoas, sim.

 

O que clientes insatisfeitos com plataformas nos contam

Ouvimos variações da mesma queixa com frequência:

“Temos acesso à plataforma, mas quando acontece algo, não sabemos o que fazer com o dado.”

“Recebo alertas o tempo todo, mas ninguém me ajuda a entender o que é relevante para o meu negócio.”

“Na hora de um incidente real, a plataforma não me disse nada que eu já não soubesse.”

 

Essas reclamações apontam para o mesmo problema: a entrega de dados sem a entrega de inteligência. O produto existe, mas o serviço não.

Isso não é uma crítica às ferramentas em si. É uma crítica ao modelo de negócio que as vende como substitutos de um processo de inteligência conduzido por pessoas.

 

Plataforma como suporte, não como substituto

Isso não significa que as plataformas não têm valor. Significa que o lugar delas é de apoio ao analista, não de substituição.

Uma boa plataforma acelera a coleta, organiza o que seria impossível gerenciar manualmente e dá visibilidade a um volume de sinais que nenhum humano conseguiria processar sozinho. Mas ela opera dentro dos limites daquilo que já é conhecido, daquilo que já foi categorizado e daquilo que alguém previamente decidiu monitorar.

O analista é quem faz as perguntas certas. É quem percebe que algo mudou antes do alerta ser disparado. É quem conecta um post em fórum clandestino com uma campanha que estava inativa há meses e que agora voltou com nova infraestrutura.

Em termos práticos, a relação ideal é: a plataforma processa, o analista interpreta.

 

Uma ponderação justa

Vale a pena dizer que o uso exclusivo de plataformas pode ajudar empresas que estão em condição bastante distinta em termos de complexidade de seu ambiente e operação de intel: aquelas de tamanho menor e as grandes corporações.

Negócios pequenos podem ter um conjunto limitado de necessidades no consumo de inteligência. Por exemplo, um e-commerce pode estar preocupado exclusivamente com o comprometimento de credenciais de seu site. Uma pousada, somente com o takedown de possíveis páginas falsas que clonem seu site oficial e vendam reservas em seu nome.

Por outro lado, empresas gigantescas, com sua própria equipe de analistas de inteligência, podem se sentir satisfeitos com as plataformas por sua operação de inteligência ser internalizada, não demandando um serviço.

Nestes casos, faz sentido manter somente as plataformas. Mas, a sua realidade é igual a estas?

 

Ter alguém com quem contar não é conforto, é resiliência

Existe uma diferença entre receber um relatório e ter acesso a alguém que entende profundamente o que está acontecendo e pode ajudá-lo a navegar por isso.

Em Threat Intelligence, essa diferença é especialmente crítica em três momentos:

• Antes de um incidente, quando você precisa de alguém que entenda o contexto do seu setor e ajude a priorizar o que monitorar.
• Durante um incidente, quando cada minuto conta e você precisa de alguém que possa dizer com clareza o que aquela ameaça representa, quais são os passos seguintes e o que esperar.
• Depois de um incidente, quando é preciso entender o que aconteceu, como melhorar a postura e o que aquilo diz sobre os adversários que estão mirando a sua organização.

Uma plataforma pode gerar um relatório pós-incidente. Mas não consegue fazer a leitura crítica desse relatório com você, ajustar os requisitos de inteligência com base no que aconteceu e ajudá-lo a comunicar isso para o seu board.

 

A pergunta que vale fazer ao avaliar um fornecedor de Threat Intelligence

Antes de assinar qualquer contrato de plataforma ou serviço de inteligência, vale fazer uma pergunta simples: “Quando eu tiver um problema que o dado não resolve, quem vai me ajudar?“

Se a resposta for um ticket de suporte e uma base de conhecimento, você sabe o que está comprando.

Se a resposta for um analista que conhece o seu setor, o histórico da sua organização e é capaz de raciocinar junto com você sobre o que está acontecendo, você está comprando algo fundamentalmente diferente.

 

Como a Resonant entende esse papel

Na Resonant, Threat Intelligence nunca foi só tecnologia. Desde o início, o serviço foi pensado a partir da premissa de que inteligência de qualidade depende de pessoas. Falo de analistas que acompanham o cenário de ameaças regional, que entendem o contexto de cada setor e que estão disponíveis para ajudar quando o dado sozinho não é suficiente.

A plataforma existe para dar escala e visibilidade ao trabalho do analista. O analista existe para transformar o que a plataforma coleta em algo que o seu time consegue usar.

Essa combinação, (processo estruturado, tecnologia de suporte e pessoas de verdade do outro lado) é o que separa um serviço de Threat Intelligence de uma assinatura de dados.

Se a sua organização enfrenta ameaças reais, ela merece uma resposta igualmente real. 

Fale com o nosso time.