Blog

Feeds de Ameaças na Era da IA

A ideia por trás dos feeds de ameaças é válida. Mas, podemos dizer que já passou do seu auge. E com o nível tecnológico atual, existem opções melhores. Feeds de ameaças são (frequentemente) uma lista de informações de segurança geradas pela comunidade. Quando alguém identifica uma vulnerabilidade, publica manualmente um aviso no feed. Esse aviso é então captado e exibido no feed, onde profissionais de segurança nas suas respectivas empresas o leem e verificam seus próprios sistemas para saber se estão suscetíveis a possíveis riscos.

Apr 28, 2024 • 5 min read

Simon Wijckmans Founder & CEO

A ideia por trás dos feeds de ameaças é válida. Mas, podemos dizer que já passou do seu auge. E com o nível tecnológico atual, existem opções melhores.

Feeds de ameaças são (frequentemente) uma lista de informações de segurança geradas pela comunidade. Quando alguém identifica uma vulnerabilidade, publica manualmente um aviso no feed. Esse aviso é então captado e exibido no feed, onde profissionais de segurança nas suas respectivas empresas o leem e verificam seus próprios sistemas para saber se estão suscetíveis a possíveis riscos. Eles têm algumas vantagens, já que a comunidade costuma ser bastante grande, fazendo com que esses feeds sejam repletos de informações valiosas. E trabalhar de forma preventiva em segurança cibernética é sempre uma boa prática.

No entanto, esse sistema tem pontos fracos significativos.

Todo esse sistema exige muito trabalho manual. E trabalho manual costuma ser lento e sujeito a erros. Essa é uma grande desvantagem quando se trata de feeds de ameaças. Outro problema sério é que esses feeds geralmente são públicos. Bom para qualquer pessoa obter informações, mas também ruim porque… qualquer pessoa pode acessá-las, incluindo agentes mal-intencionados. Além disso, os relatórios frequentemente contêm apenas nomes de domínio, que são substituídos em minutos pelos hackers sem precisar reescrever seu código malicioso. É uma caça ao vento onde os alvos nunca são capturados, apenas levemente incomodados. Longe do ideal.

Dito isso, vamos nos aprofundar um pouco mais em como os feeds de ameaças funcionam exatamente.

Como os Feeds de Ameaças Coletam Suas Informações?

Análise de Tráfego de Rede: O monitoramento do tráfego de rede ajuda a identificar padrões suspeitos, assinaturas de malware e comunicações com endereços IP maliciosos conhecidos.
Honeypots e Iscas: Alguns sistemas são configurados propositalmente para serem atacados; com isso, as organizações conseguem coletar informações sobre novas ameaças e métodos de ataque.
Relatórios e Análise de Violações de Dados: Violações e incidentes de segurança divulgados publicamente fornecem inteligência valiosa sobre táticas, técnicas e procedimentos (TTPs) utilizados pelos atacantes.
Colaboração e Compartilhamento: Entidades frequentemente compartilham inteligência entre si, unindo recursos para obter uma compreensão mais ampla do cenário de ameaças cibernéticas.
Monitoramento da Dark Web e Fóruns: Alguns provedores de inteligência de ameaças monitoram fóruns e mercados da dark web onde atacantes podem negociar ferramentas, serviços e dados roubados, obtendo insights sobre ameaças emergentes.
Caça a Ameaças: Pesquisadores utilizam dados externos de terceiros (às vezes também internos) para identificar novos Indicadores de Comprometimento (IOCs). Portais de terceiros populares incluem Virustotal, Shodan e Censys.

O Que Fazer Com Essas Informações?

Medidas Preventivas: Ao assinar feeds de ameaças, você pode adicionar IPs maliciosos conhecidos, domínios e assinaturas de arquivos à lista de bloqueio, prevenindo ataques antes que aconteçam.

Resposta a Incidentes e Forense: Quando um incidente de segurança ocorre, ele é reportado e incluído no feed de ameaças.

Tudo isso é positivo!

O Lado Negativo dos Feeds de Ameaças

Vulnerabilidades Zero-Day: Se você for um alvo e for comprometido, os feeds de ameaças não vão te ajudar. Pior ainda, você provavelmente não percebe por dias depois. Não adianta muito levantar a ponte depois que os atacantes já a cruzaram.
Vulnerabilidades de Processos e Humanas: Já mencionamos isso, mas trabalho manual e intervenção humana são suscetíveis a erros. Além disso, ataques de engenharia social, por exemplo, exploram vulnerabilidades humanas para enganar indivíduos e fazê-los revelar informações sensíveis ou conceder acesso a sistemas seguros.
Aplicação de Patches e Mitigação: Corrigir vulnerabilidades nem sempre é simples. Atrasos na implantação de patches, problemas de compatibilidade e a disponibilidade de correções podem deixar sistemas expostos por longos períodos.
Gestão de Riscos: As organizações precisam priorizar vulnerabilidades com base no risco, focando em corrigir aquelas que representam a ameaça mais significativa para seus ativos críticos.
Informações Incorretas: Por serem de código aberto, os feeds de ameaças podem ser suscetíveis a falsos positivos. Qualquer pessoa pode ser induzida a acreditar em informações falsas colocadas ali intencionalmente ou por acidente. É importante validar as informações regularmente; caso contrário, pode acontecer de um domínio antes malicioso estar sendo usado de forma legítima, ou vice-versa.

A Solução Mais Completa

Desenvolvemos o cside para ser o antídoto mais poderoso contra ataques em JavaScript. Integramos dados de feeds de ameaças em nossa solução completa, que é um pequeno script que faz o seguinte:

Reescreve as origens dos scripts para roteá-los pelo proxy do cside e realiza algumas detecções no lado do navegador. Isso coloca o cside no fluxo da requisição entre o usuário e o script de terceiros, permitindo visibilidade total dos scripts servidos em 100% da sessão. Muitos outros fornecedores fazem amostragem das sessões do navegador, o que significa que ataques projetados para afetar apenas uma pequena porcentagem dos usuários podem passar despercebidos por muito tempo.
Detecta scripts inline e comportamentos suspeitos que podem ocorrer apenas no navegador específico em que o script foi carregado. Esse é um diferencial especial.

Também monitoramos mais de 60 atributos e usamos IA para sinalizar quaisquer indicadores de intenção maliciosa em tempo real. Nossa solução leva em conta o contexto histórico, o que significa que mudanças ao longo do tempo são revisadas, facilitando a identificação de sequestros repentinos. Além disso, o cside usa IA para analisar o código do script de terceiros. A combinação de nossos mecanismos de detecção em constante evolução significa que conseguimos identificar a tentativa em milissegundos e bloqueá-la antes que qualquer operação maliciosa ocorra, ou emitir um alerta caso um comportamento perigoso seja detectado.

Leia aqui como nossa solução completa funciona em comparação com outras.

Até 31 de março de 2025, o requisito 6.4.3 do PCI DSS 4.0 determina que todos os sites que aceitam pagamentos online autorizem cada script nas páginas de pagamento, mantenham um inventário de todos os scripts e garantam sua integridade. Usar o nível gratuito do cside garante conformidade com esses requisitos.

Leia mais sobre os requisitos do PCI DSS 4.0.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.