Threat Hunting: está aberta a temporada de caça

0

Threat Hunting – ou caça às ameaças cibernéticas – é o termo utilizado para o processo no qual a equipe de segurança da informação busca por ameaças presentes, ou seja, em ação dentro do ambiente da empresa.

Segundo a definição da Carbon Black, "Threat Hunting é a técnica proativa voltada para a busca de ataques e evidências que os invasores deixam para trás quando estão realizando reconhecimento, atacando com malware ou ex filtrando dados confidenciais. Em vez de apenas esperar que a tecnologia sinalize e avise a atividade suspeita, você aplica a capacidade analítica humana e o entendimento sobre o contexto do ambiente para determinar mais rapidamente quando ocorre uma atividade não autorizada. Esse processo permite que os ataques sejam descobertos mais cedo com o objetivo de pará-los antes que os intrusos possam realizar seus objetivos de ataque."

Apesar da definição clara, vale ressaltar que Threat Hunting é diferente de Penetration Test (Teste de Penetração). Enquanto o segundo procura por vulnerabilidades no ambiente que poderiam ser utilizadas por um invasor; o primeiro busca por invasões em andamento, em seus estágios iniciais, para conter os possíveis danos à empresa.

Um dos principais objetivos do Threat Hunting é analisar o ambiente em busca de indícios de atividades maliciosas para responder à pergunta: "Estamos sob ataque?". Muitos especialistas em segurança utilizam o princípio 80/20 para avaliar ameaças cibernéticas: 80% das ameaças cibernéticas não são sofisticadas e podem ser mitigadas com ações de segurança; enquanto os 20% restantes tendem a ser ameaças mais avançadas. Metade dos ataques avançados podem ser solucionados com diferentes técnicas de bloqueio e combate; a outra metade requer a atuação de especialistas e Threat Hunting.

Desenvolvendo o Threat Hunting

Definir se o Threat Hunting será executado pela equipe interna da empresa ou por uma empresa especializada. Diante disso, é importante dizer que se for utilizada uma equipe interna da empresa, durante um tempo considerável seu foco será a execução deste trabalho, não tem como paralelizar com outras atividades, senão o objetivo não será alcançado.

  • Planejamento: é de extrema importância que seja elaborado um planejamento – onde será definida a equipe, responsabilidades, ferramentas a serem utilizadas e, principalmente, qual será o tema a ser examinado, para que através do processo de Threat Hunting a equipe chegue à conclusão de que determinada atividade maliciosa está acontecendo ou não em seu ambiente.
  • A equipe estabelece uma abordagem orientada por hipóteses para encontrar um comportamento incomum que pode indicar a presença de atividade maliciosa e, então, determina quais serão os resultados esperados.
  • A equipe coleta dados e logs do ambiente para validar a hipótese.
  • De posse das informações, a equipe realiza a consolidação das mesmas. Para isso podem utilizar ferramentas de relatório num SIEM, ferramentas analíticas ou mesmo o Excel para classificar e gerar tabelas dinâmicas. Existem também plataformas de Threat Hunting que facilitam todo o processo e análise.
  • Com as informações tratadas chega o momento de avaliar os resultados e responder a hipótese levantada, entender o que está acontecendo no ambiente e gerar ações coerentes.

Neste cenário, se uma violação foi detectada, a equipe de Resposta a Incidentes deverá agir para

corrigir o problema. Se uma vulnerabilidade foi encontrada, a equipe de Segurança deverá atuar.

Segundo uma pesquisa realizada pela Cybereason, a maioria das empresas não possuem em seu SOC uma equipe adequada para esse trabalho.

Fonte: 2017 Threat Hunting report – Cybereason

Avaliação

Para uma empresa avaliar seu nível de maturidade com relação ao Threat Hunting, existe o Modelo de Maturidade em Caça ou Hunting Maturity Model – HMM.

Fonte: 2017 Threat Hunting report – Cybereason

O modelo descreve cinco níveis do recurso de detecção proativa de uma organização. Cada nível corresponde à eficiência com que a organização realiza o Threat Hunting com base nos dados coletados, na capacidade de seguir e criar procedimentos de análise de dados (DAP) e no nível de automação do processo de Hunting.

Dentre as técnicas e práticas para a realização de Threat Hunting vale citar o "Kill Chain Model". Desenvolvido pela empresa Lockheed Martin, descreve a metodologia usada pelos invasores para que os analistas de segurança da informação possam entender as técnicas de ataque utilizadas e então defenderem seus ambientes. Ao utilizar o "Kill Chain Model" o analista de segurança estará procurando por evidências em qualquer momento da ação do invasor no ambiente.

As etapas são:

Fonte: 2017 Threat Hunting report – Cybereason

 

1 Reconnaissance  

O invasor seleciona um alvo, pesquisa e tenta identificar vulnerabilidades na rede.

 

2 Weaponization  

É o artefato/arma utilizada para a invasão, normalmente um malware.

 

3 Delivery  

O artefato/arma é entregue no ambiente/sistema de destino.

 

4 Exploitation  

O código do artefato é acionado e inicia-se a exploração de uma vulnerabilidade no ambiente/sistema de destino.

 

5 Installation  

O invasor instala os componentes que permitem o controle permanente do ambiente/sistema de destino.

 

6 Command & Control  

Este é um recurso de controle remoto do invasor, que pode ser mecânico ou com teclado manual.

 

7 Actions on Objectives  

Os invasores trabalham para realizar o objetivo do ataque: roubar informações, destruir informações ou interromper sistemas ou redes.

 

Desenvolver uma equipe especializada em Threat Hunting, adquirir uma plataforma, contratar o serviço de terceiros… Você sabe qual caminho sua empresa está avaliando ou já optou? Mas lembre-se que a proatividade é a melhor arma contra os atuais ataques cibernéticos e o Threat Hunting é uma excelente ferramenta para mapear o ambiente e agir rapidamente quando algo está estranho.

Está aberta a temporada de caça!

Marcia Garcia, gerente de projetos da Arcon.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.