O Threat Hunting é uma atividade inteiramente focada na investigação de ameaças. E, para ser classificado como uma ameaça, o atacante deve ter três características: intenção, capacidade e oportunidade para provocar danos.
Para empresas que buscam uma segurança mais assertiva de seus sistemas, esse trabalho é extremamente importante, pois através dele será possível identificar uma ameaça muito antes de ela causar danos mais sérios à rede.
Então, como a empresa pode identificar o melhor momento de procurar por esse serviço?
As empresas que dispõe de umaoperação de Segurança da Informação, o Threat Hunting já é realizado, em níveis básicos. Na maior parte das vezes, ocorre baseado na intuição dos analistas de segurança que já estão familiarizados com aquele ambiente.
O grande desafio é tornar o Threat Hunting um processo possível de ser repetido por diferentes profissionais, e que retorne valor para a empresa. Para isso, é necessário integrar organicamente o ThreatHuntingdentro dos processos existentes, de forma a complementar os esforços de segurança. O Threat Hunting pode ser executado de forma apropriada por empresas de diferentes níveis de maturidade em segurança. Contudo, para obter o máximo de valor do Threat Hunting, as empresas devem investir em infraestrutura de segurança que é necessária para usar as ferramentas e práticas de forma mais apropriada.
Realizar o Threat Hunting de forma madura requer uma segurança que inclua ferramentas, pessoas, processos, cada uma com seu papel claramente definido, e a participação dos executivos da companhia, de forma que o orçamento para o programa seja contínuo.
Qual é o perfil do analista Threat Hunter?
Primeiramente, o profissional que deseja se tornar um especialista Threat Hunter deve ser curioso e possuir profundo interesse em investigar e descobrir. Ele também deve ter um alto nível técnico e múltiplas ferramentas à disposição para executar suas tarefas. E, o mais importante, o hunter, como é chamado, precisa ser inovador e antenado com os cenários de ameaças em sua empresa, precisa saber fazer as perguntas certas para obter as respostas necessárias.
Além dessas características pessoais, o hunter deve possuir um conjunto de habilidades técnicas de defesa e inteligência analítica. Uma delas é experiência em segurança de redes, assim como em resposta a incidentes de segurança. As técnicas que ele aprendeu atuando como analista de segurança de redes, o ajudarão a ter conhecimento sobre os ativos presentes no ambiente, isso renderá ótimos insights e também o auxiliará a compreender suas limitações. Já os conhecimentos em resposta a incidentes o auxiliarão a identificar quais dados estão sendo requisitados pela equipe de CSIRT (Computer Security Incident Response Team) e quais recomendações realistas ele deve fazer ao descobrir uma nova ameaça no ambiente.
Como é o trabalho do Threat Hunter?
A atividade consiste inicialmente em uma boa hipótese sobre as ameaças que podem estar presentes na empresa, os melhores locais na empresa para fazer o "hunting" e como as ameaças podem se aproveitar dos usuários ou processos do negócio para evadir as soluções de segurança. Como exemplo, o hunter pode considerar a análise dos dados mais importantes: Eles identificam os ativos que são mais importantes naquele determinado negócio, de forma que possam priorizar seus esforços, usam defesas passivas e técnicas para reduzir o risco, e geram hipóteses sobre o que um adversário pode fazer para comprometer esses ativos. Nesse exemplo, os hunters combinam o conhecimento sobre o ambiente em que operam com hipóteses sobre o que os adversários podem fazer.
Por fim, é muito importante que as empresas que dispõem do serviço de um Threat Hunter foquem em duas áreas-chave: quais dados estarão disponíveis para busca e como buscar esses dados. Isso otimizará e muito o trabalho do analista e trará excelentes resultados para a empresa.
Pedro Gavinho, coordenador de Threat Hunting da Real Protect.