Como membro do serviço de vigilância digital e inteligência de ameaças da GMV, o meu objetivo é explicar-lhe, de forma breve, em que consiste o trabalho da equipa, de que forma podemos ajudar, e quais os benefícios que proporcionamos aos nossos clientes.

Talvez esteja a pensar: quem somos? Formamos um grupo polifacetado  e multidisciplinar de especialistas — técnicos e não técnicos — dedicados à cibersegurança. Somos engenheiros de telecomunicações, licenciados em informática e cibersegurança. Mas também temos uma criminóloga, uma documentarista, uma filóloga, um jurista. Todos partilhamos o mesmo objetivo: observar que ameaças podem afetar os nossos clientes, analisá-las e alertá-los antes que sejam alvo de cibercriminosos.

Para isso, contamos com duas equipas especializadas: Vigilância Digital e Inteligência de Ameaças.

Vigilância digital: são os observadores do cibercrime. A equipa coloca-se no lugar do atacante para monitorizar, entre outras atividades:

• Os espaços por onde se movem os criminosos (fóruns da Dark e Deep web, Telegram, Discord, etc.);

• Campanhas em curso que possam afetar os interesses dos nossos clientes;

• Potenciais impactos económicos, reputacionais ou operacionais;

• Fugas de dados que possam permitir acessos iniciais a grupos criminosos.

São a força reativa da nossa unidade. Com base na informação recolhida, podem alertar os nossos clientes para potenciais ameaças. O melhor é ilustrar com um exemplo real:

Durante o trabalho contínuo de monitorização do panorama do cibercrime, com recurso a plataformas e ferramentas de inteligência de ameaças — sejam soluções de fornecedores líderes de mercado ou sistemas desenvolvidos internamente, adaptados à natureza da cibersegurança — é frequente detetarmos possíveis exposições ou vulnerabilidades relacionadas com terceiros, que possam representar um risco para a segurança dos nossos clientes. 

Perante este tipo de descobertas, a equipa analisa e valida rapidamente a informação recolhida para identificar possíveis credenciais comprometidas ou outros vetores que possam ser aproveitados por intervenientes maliciosos. Esta abordagem proativa permite antecipar ataques de alto impacto, como ransomware, acessos não autorizados, ciberespionagem ou sabotagem, protegendo assim os ativos e a reputação dos nossos clientes.

O cliente é alertado num curto espaço de tempo, permitindo detetar, prevenir ou remediar o possível impacto no seu negócio, evitando assim perdas económicas, danos reputacionais, consequências legais, entre outros efeitos.

Isto é possível graças ao uso de várias ferramentas especializadas, tanto proprietárias como de mercado, mas, sobretudo, ao trabalho de uma equipa altamente qualificada que explora diferentes tipos de fontes como fontes abertas (OSINT) e fontes humanas (HUMINT), entre outras.

Inteligência de ameaças: a outra vertente da equipa é composta pelos analistas de ciberameaças que analisam os eventos observados pela equipa de Vigilância Digital. O seu objetivo é transformar a informação recolhida em informação prática (inteligência) para apoiar a tomada de decisões dos nossos clientes (decisor).

Estes especialistas compreendem em profundidade como atuam os grupos criminosos, as suas técnicas, táticas e procedimentos (TTP), como se movem nos sistemas das vítimas, o que procuram com cada ação, as suas origens, a sua infraestrutura, malwares preferenciais, entre outros aspetos. Também têm conhecimento das tendências, ameaças emergentes e eventos geopolíticos que moldam o panorama de risco para os clientes. Por exemplo, uma mudança no paradigma comercial mundial pode motivar campanhas de ciberespionagem promovidas por Estados com intuito de obter informações estratégicas sobre concorrentes, e é essencial estar preparado.

Esta capacidade analítica é fundamental, numa altura em que os atacantes adaptam constantemente o seu modus operandi e capacidades às novas tecnologias e ao contexto global, como a cloud, IA, novas capacidades de deteção como EDR, XDR. 

Assim, a nossa equipa ajusta continuamente os seus relatórios de ciberinteligência, para garantir que tomam decisões tão informadas e precisas quanto possível. Identificamos ainda campanhas ativas de ataques que afetam setores e regiões relevantes para os nossos clientes. Por exemplo, perante a deteção de vulnerabilidades exploradas em tecnologias comuns, como software VPN, analisamos as técnicas utilizadas, exploits, os possíveis intervenientes e os métodos de ataque (TTPs) utilizados. Se o cliente utilizar essa tecnologia, avaliamos o seu nível de exposição e geramos rapidamente indicadores de ataque (IOAs) que facilitam a deteção e resposta precoce, antecipando a ameaça e reduzindo assim o risco de impactos como roubo de dados interrupções operacionais ou perdas financeiras.

O objetivo final é produzir documentos com informação operacional e estratégica que ajudem os departamentos de cibersegurança dos nossos clientes a tomar decisões mais eficazes, desde priorizar vulnerabilidades, orientar exercícios de segurança ofensiva, monitorizar tecnologias vulneráveis, criação de regras de deteção específicas, entre outras.

As capacidades de toda a equipa vão muito além da análise. Dispomos de competência para colaborar com equipas de análise forense e de threat hunting, como o objetivo de entender melhor uma ameaça, detetá-la e mitigá-la rapidamente, reduzindo assim o impacto nos sistemas e nos negócios. Também podemos fornecer modus operandi reais de criminosos às equipas de pentesting e Red Team, permitindo que os seus testes de intrusão sejam mais ajustados à realidade do cibercrime atual, contribuindo para uma preparação mais eficaz e realista da Blue Team.

Adicionalmente, apoiamos as operações dos SOC (Security Operations Center), fornecendo inteligência aplicada sobre alertas, bem como contribuindo para o enriquecimento das ferramentas de deteção.

Como se pode ver, a equipa permite que os nossos clientes estejam mais protegidos, graças à capacidade de nos anteciparmos às ameaças. Esta abordagem proativa já nos permitiu apoiar empresas e entidades de diversos setores, como a banca, as telecomunicações, organismos governamentais, entre outros. A GMV está fortemente comprometida com a segurança. Trabalhamos diariamente para melhorar as nossas capacidades, adaptando-nos a um cenário digital em constante evolução.

Autor: Daniel Juanes Fernández