Threat Hunting traz mais eficácia aos processos de investigação e resposta a incidentes

0
100

Post content – Tomar inciativas proativas para evitar ameaças e intrusão cada vez mais está se tornado uma preocupação dos responsáveis pela infraestrutura de tecnologia e sistemas computacionais das organizações, haja vista o número crescente de vulnerabilidades expostas na Internet e na dark web.

Um exemplo dessa relevância, é a criação do cargo de Threat Hunter ou Cybersecurity Threat Analyst, um profissional de segurança que proativamente utiliza ferramentas manuais ou automatizadas para detectar incidentes de segurança. Esse profissional busca descobrir incidentes que a empresa não teria descoberto de outras maneiras, fornecendo ao CISO e ao CIO uma linha de defesa adicional contra APTs – Ameaça persistente avançada.

Threat Hunting são consideradas as atividades, métodos e práticas que procuram por intrusos ou ameaças dentro de sistemas computacionais, de uma forma ativa.

Para detectar um incidente de segurança que os sistemas automatizados não detectaram, o threat hunter usa pensamento crítico e criatividade para observar padrões normais de comportamento e identificar anomalias na rede. Ele deve ter considerável conhecimento sobre o negócio e entendimento sobre as operações do dia-a-dia de forma a evitar falsos-positivos, além de ter boa comunicação para compartilhar resultados da descoberta.

O threat hunter irá focar na procura por adversários que componham três fatores: intenção, capacidades e oportunidade.  Ele procura essas características, onde haja atividades anormais em servidores, endpoints e dispositivos de rede ou em ativos que demonstrem algum sinal de comprometimento, intrusão ou exfiltração de dados.

A mentalidade típica sobre uma intrusão é simplesmente esperar até que ela aconteça. Tendo isto em mente e considerando o tempo médio para detecção de uma intrusão, que chega a passar das centenas de dias, não parece ser uma boa estratégia. O foco recente nesta atividade se deve aos resultados e o desenvolvimento que a cibersegurança tem trazido, onde os esforços têm sido dedicados cada vez mais na detecção e definição de contramedidas, de forma proativa.

O Threat Hunting depende obviamente de dados que permitam analisar informações individuais, criar correlações e dependências que possam revelar uma ameaça. A partir destes dados os threat hunters podem se valer de conhecimentos em ciência de dados e ferramentas de análise, de modo a encontrar desvios anormais e os motivos que levaram a isso.

O uso de threat intelligence é um importante aliado pois propicia o enriquecimento de dados, a correlação entre fontes diferentes e é, obviamente, uma parte complementar nos objetivos do desenvolvimento de inteligência estratégica na procura por adversários no que se refere aos seus objetivos, táticas, técnicas e procedimentos.

Esta combinação comumente utilizada por cibercriminosos e é utilizado como base de pesquisa em threat hunting, sobre como funciona uma ameaça e na montagem de cenários para validação das proteções atuais e futuras em uma organização.

Segundo o site ATT&CK as iniciativas de threat hunting envolvem:

Persistência: Qualquer ação ou mudança em um sistema que possibilite um atacante manter seu acesso em um sistema;

Escalação de Privilégios: Ações que levam um atacante ter maiores permissões de acesso dentro de um sistema ou rede;

Evasão de Defesas: Técnicas utilizadas por um adversário que possibilitam a evasão de proteções de segurança;

Credenciais de Acesso: Ações executadas por cibecriminoso que o possibilita ter acesso ou controle sobre um sistema, domínio ou serviço;

Discovery: Técnicas utilizadas para se adquirir conhecimento sobre um sistema ou rede;

Movimentação Lateral: Técnicas que possibilitam um adversário acessar, controlar ou obter informações de sistemas em uma rede;

Execução: É a execução de ferramentas dos adversários dentro de um sistema ou rede;

Coleta: Técnicas utilizadas para identificação e coleta de informações, desde arquivos confidenciais até infraestrutura;

Exfiltração de dados: Técnicas utilizadas para remoção e envio de informações da rede da organização para um local controlado pelos adversários.

Toda empresa precisa de processos mais automatizados que aumentem a eficácia dos processos de investigação e resposta a incidentes. Se você conhecer mais sobre Threat Hunting clique aqui para receber um relatório especial.

Deixe seu comentário