Cloud Threat Hunting

Simplifique a análise de incidentes em suas configurações, postura, tráfego de rede e atividade de identidade. A Check Point automatiza a detecção contínua de intrusões, o monitoramento e a inteligência de ameaças como parte de uma abordagem unificada.

CHECKUP DE SEGURANÇA TESTE GRATUITO

caça a ameaças na nuvem prevenção de ameaças tile

Prevenção contra ameaças

Analise continuamente a atividade da conta e monitore o tráfego da rede em busca de sinais de anomalias e ameaças com ferramentas de visualização que fornecem informações ricas e contextualizadas.

bloco de inteligência de ameaças de caça a ameaças na nuvem

Threat Intelligence

Obtenha dados e alertas significativos usando mecanismos avançados de inteligência preditiva, dados de milhões de sensores, pesquisas de ponta e feed de inteligência externa.

bloco de remediação de ameaças de caça a ameaças na nuvem

Remediação de Ameaças

Reverta automaticamente alterações de configuração arriscadas com a tecnologia CloudBots. Crie respostas personalizadas para qualquer tipo de alerta de rede ou trilha de auditoria, funcionando inteiramente em seu ambiente.

Os desafios únicos da caça às ameaças na nuvem

A grande quantidade de dados que precisa ser coletada e analisada é um processo meticuloso e demorado, o que pode prejudicar sua eficácia. Atualmente, uma organização leva em média 280 dias* para perceber que foi infiltrada e conter uma violação cibernética. Não é de se admirar, considerando que a estrutura Mitre Att@ck identifica quase 200 táticas, técnicas e procedimentos exclusivos que as organizações precisam considerar para identificar ameaças e avaliar os níveis de risco. A caça às ameaças é uma "história sem fim"; encontramos ameaças e as corrigimos, depois os atacantes mudam de direção e o ciclo se repete. Infelizmente, tanto a quantidade desses loops quanto a velocidade com que eles giram aumentam exponencialmente na nuvem, e agora os profissionais de segurança cibernética precisam rastrear vários fornecedores de nuvem e vários ativos, muitos dos quais são efêmeros. Muitas vezes, as organizações não sabem que algo está acontecendo em sua rede até receberem um alerta de que um ataque está em andamento. No entanto, a essa altura, já é tarde demais. A chave do sucesso é ser capaz de detectar ameaças rapidamente (em alguns casos, evitá-las) para reduzir o tempo em que elas podem permanecer em seu ambiente e causar danos.

Identifique: primeiro passo para a caça de ameaças na nuvem

Ao adotar uma abordagem proativa e metódica da segurança, você pode identificar esses ataques e remediá-los imediatamente. Para fazer isso, você deve começar a fazer observações, coletar informações, criar hipóteses, analisar dados e investigar para provar ou refutar hipóteses. As ferramentas e os processos certos devem estar disponíveis para coletar dados, analisar e responder adequadamente.

Caça a ameaças na nuvem

Coletar dados

Sem os dados certos, você não pode caçar. A caça às ameaças exige primeiro a coleta de dados de qualidade de várias fontes, como logs, servidores, dispositivos de rede, firewalls, bancos de dados e endpoints. Infelizmente, muitas organizações não têm visibilidade dos dados em seus aplicativos de nuvem. Os clientes estão pedindo visibilidade de suas VMs, contêineres e arquiteturas sem servidor, bem como da atividade do usuário e do tráfego de rede em todos os seus serviços. Para alcançar esse nível de insight e garantir dados de boa qualidade, as organizações devem passar de uma visão restrita de provedor de nuvem para uma visão de várias nuvens.

 

Investigar e analisar

No entanto, a caça eficaz a ameaças exige mais do que apenas visibilidade. Durante a investigação, os caçadores de ameaças precisam utilizar as ferramentas certas para estabelecer uma linha de base e investigar proativamente as anomalias. Qualquer atividade mal-intencionada que se desvie do comportamento normal da rede pode ser um Indicador de Comprometimento (IoC). Os IOCs fortes incluem um alerta de assinatura de malware em sua rede e executáveis de ransomware em seu sistema de arquivos, detectados pelo seu sistema de detecção de intrusão (IDS) ou antivírus. Já os exemplos de IOCs fracos são tentativas repetidas de login de usuário com falha e tempos de login que se alinham com o uso comum. Você pode monitorar sua rede em busca de IoCs conhecidos, obtendo-os de feeds de inteligência sobre ameaças .

 

caça a ameaças na nuvem dois

Defina o alerta do IDS apenas em IOCs fortes para ajudar a evitar a fadiga de alertas. No entanto, indicadores mais fracos não são inúteis. Quando encadeados, os COIs mais fracos podem construir um forte indício de comprometimento.

Para pegar um criminoso, você precisa pensar como um criminoso. Você deve presumir que uma violação ocorrerá e analisar o problema do ponto de vista do atacante. A modelagem de ameaças envolve a identificação de possíveis ameaças e a modelagem de caminhos de ataque. O exercício da modelagem de ameaças permite priorizar e mitigar os riscos. Considere questões como: o que o senhor quer proteger, quais são as consequências se falhar e quantos problemas está disposto a enfrentar para evitar essas consequências?

Por fim, não se esqueça de realizar testes simulando uma variedade de ameaças na nuvem, como imitar ataques entre inquilinos. Produza padrões de ataque e "casos de uso indevido" e mapeie os processos de sequências de ataque e defesa ou contramedidas.

Caça a ameaças na nuvem três

 
Desenhe conclusões e responda
Durante a fase de resolução, todas as informações coletadas durante a investigação devem ser comunicadas a outras equipes e ferramentas que possam responder, priorizar, analisar ou armazenar as informações para uso futuro. Isso coloca você em uma posição melhor para prever tendências, priorizar e corrigir vulnerabilidades e melhorar as medidas de segurança.

CloudGuard Intelligence

O Check Point CloudGuard Intelligence simplifica a análise de incidentes, visualizando informações sobre suas configurações, postura, tráfego de rede e atividade de identidade. Enriquecemos essas informações para ajudá-lo a entender qual serviço executou qual tipo de atividade.

cloudguard como funciona diagrama

No centro disso está nosso banco de dados global ThreatCloud AI Intelligence, que analisa milhões de URLs e arquivos todos os dias. Também usamos bancos de dados geográficos para reunir informações sobre locais e processar esses eventos com serviços de inteligência de terceiros. A análise de ameaças e as correlações usam vários recursos de machine learning, resultando em dados significativos e alertas que podem desencadear processos de investigação ou acompanhar a atividade.

Os relatórios pré-criados permitem que o senhor se aprofunde em tipos específicos de atividade, realizando tarefas regulares, como a descoberta de contas, e a correção automática permite personalizar as respostas a qualquer tipo de alerta de rede, trilha de auditoria ou evento de segurança. Isso reduz muito o tempo entre o alerta e a resolução.

O melhor de tudo é que o CloudGuard Intelligence funciona perfeitamente com os outros produtos da plataforma CloudGuard, composta por gerenciamento de postura, proteção de aplicativos e proteção de carga de trabalho e segurança de rede. Experimente gratuitamente hoje!

Série de ameaças e investigação

vídeo de escalação de privilégios

Escalação de privilégio via Lambda

 

vídeo de movimento lateral

Movimento lateral sob o radar

 

escalonamento de privilégios via vídeo ec2

Escalonamento de Privilégios via EC2

violação de vídeo de grande instituição financeira

Violação de uma grande instituição financeira

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK