Descubra o que é threat hunting, quais tipos de ameaças existem e alguns conselhos úteis na hora de aplicar esta estratégia em sua empresa.

Sim, sua empresa pode contar com boas práticas para prevenir ameaças à informação confidencial. E, o threat hunting é o processo que permitirá cuidar dos seus ativos digitais antes das ameaças que hoje não perdoam ninguém.

Uma boa estratégia de cibersegurança empresarial deve contar com um processo de busca de ameaças ou análise de ameaças e vulnerabilidades que permitem identificar e rastrear as vulnerabilidades e perigos, bem como estabelecer protocolos de ação.

Neste artigo, você contará o que é a caça a ameaças, quais tipos existem e alguns conselhos úteis e básicos para aplicá-lo em sua empresa.

O que é threat hunting ou caça à ameaças? 

Antes de explicar o que é a caça às ameaças, é importante que você saiba o que é uma ameaça cibernética. Uma circunstância ou ato malicioso que pode comprometer dados, pessoas, sistemas ou ativos é conhecido como ameaça cibernética, de acordo com a Cybereason.

Embora a caça a ameaças seja, na verdade, um processo do tipo proativo que se concentra na busca e identificação de “atividades anormais nos ativos de uma organização, que podem sinalizar o comprometimento, invasão ou exfiltração dos dados de uma empresa”, de acordo com o CiberseguridadTips.

A caça à ameaças também é um processo que deve ser realizado de forma contínua e completa para identificar ou descobrir ameaças e é baseado em recursos humanos e de software.

O que se faz nesse processo é identificar o ambiente, a ação de possíveis ameaças e por fim analisá-las e gerar bancos de dados, o que permite aprender e gerar conhecimento a longo prazo.

Quais são os tipos de threat hunting?

Existem três tipos de caça à ameaça que se baseiam em uma hipótese apoiada por dados de segurança ou uma ameaça. Estes são de acordo com a IBM:

Caça não estruturada: acionada por um gatilho ou IoC 

A busca por ameaças de pesquisa não estruturada começa quando um indicador de comprometimento (IoC) é ativado, ou seja, quando há um gatilho que indica que há evidências de uma violação de segurança

De acordo com a IBM, o gatilho normalmente sinaliza ao caçador para revisar os padrões pré e pós-detecção. Dessa forma, é possível investigar até onde os dados e os ataques anteriores permitem.

Caça à ameaças situacionais ou orientadas pela empresa 

Nasce de uma hipótese situacional e é aplicado na avaliação dos riscos internos de uma empresa ou quando é realizada uma análise de tendências e vulnerabilidades no ambiente de tecnologia da informação.

Nesse caso, um caçador leva em consideração dados sobre ataques registrados de várias fontes externas. Isso permite que você encontre as táticas, técnicas e procedimentos (TTP) mais recentes das ameaças cibernéticas atuais. Com base nesses padrões, são identificados comportamentos no próprio ambiente.

Caça estruturada: quando o sistema está prestes a ser violado 

É um tipo de busca de ameaças que é executada quando um indicador de ataque (IoA) já existe ou está presente; isso geralmente ocorre antes de uma violação de dados. O caçador pode identificar uma ameaça antes que o dano seja causado e a estrutura MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK) é usada.

Conselhos úteis de nossos especialistas ao aplicar o threat hunting  

Dentro do threat hunting, o caçador analisa dados de segurança, procura por malware ou outros tipos de ameaças, também identifica padrões de atividades suspeitas, pode ajudar a corrigir o sistema de segurança de uma empresa e evitar que ataques cibernéticos ocorram novamente. Mas quais são os aspectos essenciais que devem ser levados em consideração para realizar uma caça à ameaças bem-sucedida?

Segundo Mauricio Londoño, Consultor Técnico da ManageEngine Latam, essas são quatro dicas úteis que devem ser levadas em consideração na hora de fazer uma caça à ameaças:

1)  Aplique a pirâmide da dor 

É uma pirâmide que, por níveis, se propõe a gerar maior dificuldade para os adversários ao atacar uma rede. A pirâmide tem “seis camadas que, por sua vez, representam as diferentes abordagens que podem ser adotadas, começando com a mais simples até a mais difícil”, de acordo com o documento “Hunting Hidden Threats” da Cisco.

Por exemplo, você começa revisando os arquivos que contêm hashes maliciosos, que são os mais fáceis de detectar, e depois sobe na pirâmide. O que se busca com este exercício de caçar ameaças é descobrir as táticas e procedimentos técnicos (TTP) do cibercriminoso ou invasor. Estes são os mais valiosos porque são difíceis de serem substituídos pelo invasor.

Ao trabalhar com a pirâmide, os cibercriminosos são forçados a investir mais recursos para atacar uma rede. “O objetivo final da Pirâmide da Dor é que, ao seguir seus princípios, sua rede se torne tão difícil de hackear que os invasores passem para outros alvos mais simples. A pirâmide permite que o infrator dê um passo adiante e torne o ataque mais difícil para ele”, afirma o documento.

 2) Tenha como base as 14 táticas de Mitre 

Mitre tem 200 táticas e técnicas adversárias que são fundamentais para entender como um criminoso pensa. Mas como sua aplicação depende das circunstâncias, por isso Londoño recomenda não só conhecer, mas começar aplicando as 14 táticas de Mitre e monitorando-as.

Um dos softwares ManageEngine que já está alinhado com as táticas do Mitre é o EventLog Analyzer. Este software permite a análise de ameaças para proteger a rede de uma empresa e protegê-la contra tentativas indesejadas de violação e roubo de dados críticos, entre outras funções.

 3) Tome uma atitude e aventure-se no desconhecido 

O especialista recomenda tomar medidas para fechar possíveis portas ou pontos cegos. Estas podem ir desde a aplicação de fluxos de trabalho até a aplicação de scripts preventivos e corretivos.

Por fim, ele aconselha a aventurar-se no desconhecido. Ou seja, buscar recursos críticos quando nada está acontecendo, como um exercício de prevenção. O que pode ser pesquisado, segundo Londoño, é importante, por exemplo: revisar movimentos e eventos suspeitos que podem escapar do radar das ferramentas tradicionais. “Isso para identificar brechas de segurança, ser proativo e caçar ameaças”, concluiu.

Fontes consultadas:

IBM, o que é caça a ameaças?

Cisco, Caça às Ameaças Ocultas

Texto original: Threat hunting: detecte las amenazas y vulnerabilidades de su empresa.