Pare de esconder incidente: compartilhar certo corta o próximo ataque
Por Rodrigo Rocha
Há muito tempo defendo que compartilhar, com responsabilidade, o que aprendemos em incidentes faz parte da resiliência. Nesta semana, relendo o NIST SP 800-150 – Guide to Cyber Threat Information Sharing, vi ali o embasamento técnico do que venho defendendo em palestras, projetos e conversas: ter
procedimento claro para decidir o que compartilhar, como proteger dados sensíveis e quem aprova a divulgação; automatizar o que couber; rotular corretamente o material; e cooperar com comunidades externas de confiança.
No método do NIST, o primeiro pilar é documentar o processo: identificar informação de ameaça que pode ser trocada com partes confiáveis; revisar, sanitizar e proteger o que tende a carregar dados sensíveis; ter plano para
vazamentos; automatizar o processamento e a troca quando possível; aplicar e fiscalizar designações de manuseio; admitir troca não-atribuída quando necessário; e rastrear fontes internas e externas. Tudo isso com papéis e autoridades definidos, fluxo ágil até quem decide e colaboração com comunidades aprovadas.
Privacidade não é impeditivo quando há método. A orientação é priorizar indicadores com baixo risco de PII e ocultar/anonimizar o que for PII sem valor investigativo antes de compartilhar. Quando for possível, sugere-se automatizar a detecção e o saneamento de PII/anônimos nos artefatos (por exemplo, em fluxos de rede), mantendo consistência para não quebrar a utilidade do dado.
Para dar previsibilidade à troca, use TLP (Traffic Light Protocol) como rótulo de manuseio: um esquema simples, por cores, que acompanha a informação e define com quem ela pode circular, do mais restrito ao mais aberto.
E não dá para compartilhar no vazio: participe de comunidades do seu segmento. O NIST recomenda buscar fóruns que complementem suas lacunas de visibilidade e, muitas vezes, participar de mais de um para atender os objetivos de troca. Esses espaços podem ser setoriais, regionais ou temáticos; exemplos incluem ISACs/ISAOs, CERTs/CSIRTs, repositórios governamentais, provedores gerenciados e pares da cadeia. Ao entrar, avalie relevância, acionabilidade do que se compartilha e mecanismos de proteção/anonimização.
Do nosso lado, na Gruppen, buscamos essa prática de troca constantemente: os ajustes de controles que fazemos na operação de SIEM como serviço com centenas de clientes voltam para a comunidade em forma de regras melhores, correlações afinadas e respostas mais rápidas — sempre com saneamento de PII e rotulagem adequada, como o NIST orienta.
Se é para começar hoje, minha sugestão é objetiva: escreva um procedimento enxuto de compartilhamento (o que publicar, quem aprova, como higienizar), use TLP como rótulo, automatize o que der na detecção/saneamento de PII e entre em ao menos uma comunidade setorial; publique pequenos achados com
regularidade, acompanhe o que os demais compartilham e ajuste suas correlações e controles a partir disso. Pequeno, mas contínuo: a cada rodada, a qualidade sobe e o risco coletivo desce.
