TI INSIDE Online -

RSS Feed Compartilhe TI INSIDE Online no Facebook Compartilhe TI INSIDE Online no Twitter Compartilhe TI INSIDE Online no Google+ Compartilhe TI INSIDE Online no Linkedin

Threat Hunting: está aberta a temporada de caça

Postado em: 11/10/2018, às 18:15 por Marcia Garcia

Threat Hunting – ou caça às ameaças cibernéticas – é o termo utilizado para o processo no qual a equipe de segurança da informação busca por ameaças presentes, ou seja, em ação dentro do ambiente da empresa.

Segundo a definição da Carbon Black, "Threat Hunting é a técnica proativa voltada para a busca de ataques e evidências que os invasores deixam para trás quando estão realizando reconhecimento, atacando com malware ou ex filtrando dados confidenciais. Em vez de apenas esperar que a tecnologia sinalize e avise a atividade suspeita, você aplica a capacidade analítica humana e o entendimento sobre o contexto do ambiente para determinar mais rapidamente quando ocorre uma atividade não autorizada. Esse processo permite que os ataques sejam descobertos mais cedo com o objetivo de pará-los antes que os intrusos possam realizar seus objetivos de ataque."

Apesar da definição clara, vale ressaltar que Threat Hunting é diferente de Penetration Test (Teste de Penetração). Enquanto o segundo procura por vulnerabilidades no ambiente que poderiam ser utilizadas por um invasor; o primeiro busca por invasões em andamento, em seus estágios iniciais, para conter os possíveis danos à empresa.

Um dos principais objetivos do Threat Hunting é analisar o ambiente em busca de indícios de atividades maliciosas para responder à pergunta: "Estamos sob ataque?". Muitos especialistas em segurança utilizam o princípio 80/20 para avaliar ameaças cibernéticas: 80% das ameaças cibernéticas não são sofisticadas e podem ser mitigadas com ações de segurança; enquanto os 20% restantes tendem a ser ameaças mais avançadas. Metade dos ataques avançados podem ser solucionados com diferentes técnicas de bloqueio e combate; a outra metade requer a atuação de especialistas e Threat Hunting.

Desenvolvendo o Threat Hunting

Definir se o Threat Hunting será executado pela equipe interna da empresa ou por uma empresa especializada. Diante disso, é importante dizer que se for utilizada uma equipe interna da empresa, durante um tempo considerável seu foco será a execução deste trabalho, não tem como paralelizar com outras atividades, senão o objetivo não será alcançado.

  • Planejamento: é de extrema importância que seja elaborado um planejamento – onde será definida a equipe, responsabilidades, ferramentas a serem utilizadas e, principalmente, qual será o tema a ser examinado, para que através do processo de Threat Hunting a equipe chegue à conclusão de que determinada atividade maliciosa está acontecendo ou não em seu ambiente.
  • A equipe estabelece uma abordagem orientada por hipóteses para encontrar um comportamento incomum que pode indicar a presença de atividade maliciosa e, então, determina quais serão os resultados esperados.
  • A equipe coleta dados e logs do ambiente para validar a hipótese.
  • De posse das informações, a equipe realiza a consolidação das mesmas. Para isso podem utilizar ferramentas de relatório num SIEM, ferramentas analíticas ou mesmo o Excel para classificar e gerar tabelas dinâmicas. Existem também plataformas de Threat Hunting que facilitam todo o processo e análise.
  • Com as informações tratadas chega o momento de avaliar os resultados e responder a hipótese levantada, entender o que está acontecendo no ambiente e gerar ações coerentes.

Neste cenário, se uma violação foi detectada, a equipe de Resposta a Incidentes deverá agir para

corrigir o problema. Se uma vulnerabilidade foi encontrada, a equipe de Segurança deverá atuar.

Segundo uma pesquisa realizada pela Cybereason, a maioria das empresas não possuem em seu SOC uma equipe adequada para esse trabalho.

Fonte: 2017 Threat Hunting report – Cybereason

Avaliação

Para uma empresa avaliar seu nível de maturidade com relação ao Threat Hunting, existe o Modelo de Maturidade em Caça ou Hunting Maturity Model – HMM.

Fonte: 2017 Threat Hunting report – Cybereason

O modelo descreve cinco níveis do recurso de detecção proativa de uma organização. Cada nível corresponde à eficiência com que a organização realiza o Threat Hunting com base nos dados coletados, na capacidade de seguir e criar procedimentos de análise de dados (DAP) e no nível de automação do processo de Hunting.

Dentre as técnicas e práticas para a realização de Threat Hunting vale citar o "Kill Chain Model". Desenvolvido pela empresa Lockheed Martin, descreve a metodologia usada pelos invasores para que os analistas de segurança da informação possam entender as técnicas de ataque utilizadas e então defenderem seus ambientes. Ao utilizar o "Kill Chain Model" o analista de segurança estará procurando por evidências em qualquer momento da ação do invasor no ambiente.

As etapas são:

Fonte: 2017 Threat Hunting report – Cybereason

 

1 Reconnaissance  

O invasor seleciona um alvo, pesquisa e tenta identificar vulnerabilidades na rede.

 

2 Weaponization  

É o artefato/arma utilizada para a invasão, normalmente um malware.

 

3 Delivery  

O artefato/arma é entregue no ambiente/sistema de destino.

 

4 Exploitation  

O código do artefato é acionado e inicia-se a exploração de uma vulnerabilidade no ambiente/sistema de destino.

 

5 Installation  

O invasor instala os componentes que permitem o controle permanente do ambiente/sistema de destino.

 

6 Command & Control  

Este é um recurso de controle remoto do invasor, que pode ser mecânico ou com teclado manual.

 

7 Actions on Objectives  

Os invasores trabalham para realizar o objetivo do ataque: roubar informações, destruir informações ou interromper sistemas ou redes.

 

Desenvolver uma equipe especializada em Threat Hunting, adquirir uma plataforma, contratar o serviço de terceiros… Você sabe qual caminho sua empresa está avaliando ou já optou? Mas lembre-se que a proatividade é a melhor arma contra os atuais ataques cibernéticos e o Threat Hunting é uma excelente ferramenta para mapear o ambiente e agir rapidamente quando algo está estranho.

Está aberta a temporada de caça!

Marcia Garcia, gerente de projetos da Arcon.

RSS
Facebook
Google+
http://tiinside.com.br/tiinside/seguranca/tecnologia-seguranca/11/10/2018/threat-hunting-esta-aberta-a-temporada-de-caca/
Twitter
LinkedIn

Tags: , , , , ,

0 Comentários

Deixe o seu comentário!

Nome (obrigatório)

E-mail (não será mostrado) (obrigatório)

Website

Mensagem (obrigatório)



Top
Social media & sharing icons powered by UltimatelySocial