Quando se trata de detecção de ameaças, você precisa entender que é apenas uma fração de sua estratégia de segurança – a parte de sua estratégia que o deixa confiante (e até um pouco complacente) com o conhecimento de que seus controles de segurança, mecanismos de detecção, e soluções pontuais deram à sua organização uma defesa impenetrável contra ataques cibernéticos. A verdade é que todas as organizações experimentarão alguma versão de uma violação e precisam estar preparadas para o “quando” e não para o “se”.
Quando se trata de detecção de ameaças, você precisa entender que é apenas uma fração de sua estratégia de segurança – a parte de sua estratégia que o deixa confiante (e até um pouco complacente) com o conhecimento de que seus controles de segurança, mecanismos de detecção, e soluções pontuais deram à sua organização uma defesa impenetrável contra ataques cibernéticos. A verdade é que todas as organizações experimentarão alguma versão de uma violação e precisam estar preparadas para o “quando” e não para o “se”. A caça a ameaças é algo que eu gostaria de descrever como uma abordagem pessimista da segurança de rede. Sim, você tem seu EDR, ou mesmo um XDR sofisticado, ajustado e pronto para detectar qualquer ameaça que esteja tentando penetrar em sua rede, mas não importa o quão hermética você acha que sua segurança é, é provável que algum agente de ameaças tenha conseguido escapar essas defesas e está silenciosamente à espreita em sua rede. É aqui que uma abordagem pessimista e desconfiada ajuda. Você trabalha já assumindo que o hacker invadiu sua rede e então investiga se há algum indicador de que isso possa ter acontecido. É disso que se trata a caça a ameaças e por que ela melhora sua postura geral de segurança.
Como funciona a caça à ameaças?
Sendo o irmão mais proativo na estrutura de segurança, a caça a ameaças é alimentada por intervenção humana (junto com alguma automação) para assumir constantemente que as defesas existentes foram violadas e operar não apenas em análises e IOCs ou IOAs, mas também em hipóteses.
Embora contar com IOCs seja, sem dúvida, eficaz na maioria das vezes, ainda operamos com a suposição de que IOCs e IOAs são visíveis, relativamente fáceis de detectar com os mecanismos de detecção atuais, quantificáveis em termos de quão prejudiciais são e estáticos (uma suposição perigosa fazer). Embora os padrões de ataque tenham alguns elementos que podemos rastrear com detecções baseadas em assinatura e mecanismos de correlação, as táticas de evasão de defesa dos invasores estão ficando altamente criativas.
Assim, os caçadores de ameaças não esperam que as ferramentas de detecção apontem uma ameaça, mas procuram ameaças que tenham passado com sucesso da fase inicial de exploração. O objetivo disso é limpar a rede da entidade maliciosa antes da fase de “persistência” do ataque.
Os pilares da caça à ameaças
Estilo de caça orientado à análise: a análise comportamental deixou sua marca no domínio da segurança, oferecendo às equipes de SOC maneiras criativas de identificar comportamentos anômalos do usuário que podem representar uma ameaça.As pistas dessas anomalias permitem que as equipes de caça a ameaças detectem qualquer agente de ameaça que possa estar tentando furtivamente se estabelecer na rede.
Estilo de caça orientado por IOC: Essa forma de caça a ameaças funciona em conjunto com ferramentas de detecção de ameaças que usam IOCs conhecidos para procurar IOCs ou IOAs semelhantes na rede.
Estilo de caça baseado em hipóteses: Um estilo de caça movido a humanos que solidifica o objetivo de limpar a rede de ameaças que conseguiram superar os mecanismos de detecção. A primeira etapa de uma busca de ameaças orientada por hipóteses é assumir que a entidade maliciosa evitou a detecção e já está em sua rede.
- Avaliando uma ameaça hipotética: Com base em um feed de informações de ameaças, os caçadores de ameaças identificam ameaças potenciais que podem ter como alvo a rede da organização. A estrutura MITRE ATT&CK® pode ser usada para estudar padrões de ataque e adicionar informações sobre ameaças conhecidas para que as equipes de segurança possam entender o MO do invasor.
- Caça a ameaças complementada por simulação de ataque: Embora a caça a ameaças dependa muito de algum trabalho cerebral, ela pode definitivamente usar alguma automação na forma de simulações de ameaças. Com base nos TTPs da ameaça hipotética, as simulações de ameaças não maliciosas são realizadas em relação às políticas e controles de segurança existentes para verificar se eles resistem a essas ameaças. Essas avaliações baseadas em simulação permitem que as equipes de segurança identifiquem brechas na rede que precisam ser corrigidas. Com base nessas avaliações, os caçadores de ameaças também podem procurar IOCs relacionados que já podem estar na rede.
Se até o final deste artigo você achar que a detecção de ameaças não é útil, talvez seja necessário pensar novamente. Um estilo de segurança de coalizão que se baseia na detecção de ameaças e a acompanha com a caça a ameaças (especialmente um método baseado em hipóteses) pode aprimorar sua estratégia geral de segurança.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Austin.