O que é busca de ameaças?

A caça a ameaças é a prática de procurar ameaças cibernéticas que, de outra forma, poderiam passar despercebidas na sua rede. De acordo com a Infosec, “a caça às ameaças cibernéticas pode ser bastante semelhante à caça no mundo real. Requer um profissional excepcionalmente qualificado, com considerável paciência, pensamento crítico, criatividade e um olhar aguçado para detectar presas, geralmente na forma de anormalidades de comportamento em rede.”

Agende uma demo Read Whitepaper

O que é busca de ameaças?

É melhor presumir que você foi comprometido

A caça a ameaças é necessária simplesmente porque nenhuma proteção de segurança cibernética é sempre 100% eficaz. É necessária uma defesa activa, em vez de depender de ferramentas de segurança do tipo “configure e esqueça”.

 

Algumas ameaças, como ' Poisoning the Well ', envolvem invasores trabalhando para obter mais persistência de longo prazo em seu aplicativo. Permanecer sem ser detectado é vital para o sucesso deste ataque. Infelizmente, a maioria dos ataques consegue passar despercebida. Um estudo recente realizado pelo Ponemon Institute em nome da IBM descobriu que o tempo médio necessário para identificar e conter uma violação é de 280 dias.

Definição de caça a ameaças

A caça a ameaças envolve o uso de técnicas manuais e assistidas por software para detectar possíveis ameaças que escaparam de outros sistemas de segurança. Mais especificamente, as tarefas de caça a ameaças incluem:

 

  1. Procurando ameaças existentes em sua organização, qualquer coisa que um invasor possa implantar para exfiltrar informações e causar danos
  2. Caça proativa a ameaças que surgem em qualquer lugar do mundo
  3. Preparando uma armadilha e essencialmente esperando que ameaças o cacem

O processo de caça a ameaças

Para caçar ameaças, você precisa:

 

  • Colete dados de qualidade
  • Use ferramentas para analisá-lo
  • Tenha a habilidade de entender tudo

 

O processo começa com a recolha de uma quantidade adequada de dados de alta qualidade, uma vez que a entrada de dados de má qualidade resultará numa caça às ameaças ineficaz. Os dados coletados podem incluir arquivos de log, servidores, dispositivos de rede (ou seja, firewall, switches, roteadores), bancos de dados e endpoint.

 

Em seguida, os caçadores de ameaças devem procurar padrões e potenciais indicadores de comprometimento (IOCs). Se você estiver monitorando, deverá ter alguém examinando os logs. Muitas vezes, as organizações não têm recursos e mão de obra suficientes para se dedicarem ao monitoramento contínuo da detecção de intrusões. A etapa final é responder de acordo.

O que você está caçando?

Indicadores de comprometimento (IOCs): fatores, incluindo dados forenses e arquivos de log, que podem ajudar a identificar possíveis atividades maliciosas que já ocorreram 

 

Indicadores de ataque (IOAs): embora haja semelhanças com os IOCs, os IOAs podem ajudá-lo a entender os ataques em andamento

 

Artefatos baseados em rede: pesquise comunicação de malware usando ferramentas como gravação de sessão, captura de pacotes e monitoramento de estado de rede

 

Artefatos baseados em host: pesquise endpoint e procure interação de malware no registro, sistema de arquivos e em outros lugares

Encontrando e investigando indicadores de comprometimento e ataque

A caça a ameaças requer um escopo do que procurar e uma maneira de identificar qualquer coisa que não se enquadre, como:

 

  • Trânsito irregular
  • Atividade anormal da conta
  • Mudanças no registro e no sistema de arquivos
  • Comandos usados em sessões remotas que não foram vistos antes

 

Para encontrar anomalias, é importante primeiro ter uma compreensão básica da atividade regular. Assim que os indicadores forem detectados, siga a trilha. Isto é muitas vezes feito estabelecendo uma hipótese e depois identificando se cada COI é uma ameaça. Alguns IOCs podem utilizar uma abordagem contundente e apresentar evidências óbvias. Por exemplo, um aumento na quantidade de tráfego para um país com o qual a organização não faz negócios. A investigação de IOCs também pode envolver trabalho em laboratório para reproduzir certos tipos de tráfego para examinar seu comportamento em um ambiente virtual.

 

Em ambientes controlados, como SCADA, é mais fácil detectar algo fora do comum. Considerando que os ambientes corporativos geralmente têm tráfego diversificado, tornando a detecção um desafio ainda maior. As soluções de segurança, como omalware, são mais eficazes contra códigos maliciosos que já foram mapeados e analisados, enquanto códigos completamente novos são mais difíceis de detectar.

 

Embora o excesso de ferramentas possa complicar a busca por ameaças, o gerenciamento de informações e eventos de segurança (SIEM) e as ferramentas de correlação de eventos ajudam. Por outro lado, também podem prejudicar a sua capacidade de ver detalhes. Uma abordagem unificada para Segurança de nuvem é ideal.

Dicas para caçar ameaças

As regras YARA permitem que você crie conjuntos de regras para ajudar a combinar e reconhecer malware. “Com YARA você pode criar descrições de famílias de malware (ou o que você quiser descrever) com base em padrões textuais ou binários.”

 

malware sofisticados geralmente se escondem em outra coisa para se infiltrar em hosts de serviços, como processos do Windows que seu sistema está sempre executando. Se conseguirem injetar código malicioso, poderão realizar operações maliciosas de forma indetectável. O registro do Windows é outro local importante onde o malware pode se esconder. Compare com o registro do sistema padrão e investigue quaisquer alterações.

 

O nível de detalhe que você entra depende das prioridades da sua organização e do nível de liberdade que cada sistema tem. Verificar a integridade dos processos críticos do sistema que estão sempre ativos é uma parte importante do lado forense da caça a ameaças.

Equipes Eficazes

A Infosec afirma: “A caça pode envolver técnicas manuais e baseadas em máquinas. Ao contrário de outros sistemas automatizados, como o SIEM, a caça envolve capacidades humanas para caçar ameaças com mais sofisticação.”

 

Um atributo importante de uma equipe eficaz de caça a ameaças é a comunicação. Os caçadores de ameaças também devem ter habilidade na redação de relatórios e na educação de outras pessoas sobre ameaças e riscos. Para ajudar a gestão a tomar boas decisões com base nas suas conclusões, as equipas devem ser capazes de falar sobre o que encontraram em termos leigos. No geral, a caça é mais uma função de analista do que de engenheiro.

A caça a ameaças deve fazer parte de uma abordagem unificada para segurança na nuvem

CloudGuard Intelligence and Threat Hunting, parte da plataforma CloudGuard Cloud Native Security, fornece análise forense de segurança de ameaças nativa da nuvem por meio de visualização rica de aprendizado de máquina (machine learning, ML), fornecendo contexto em tempo real de ameaças e anomalias em seu ambiente multinuvem .

 

O CloudGuard ingere dados de log e eventos nativos da nuvem, fornecendo visualizações contextualizadas de toda a sua infraestrutura de nuvem pública e análises de segurança de nuvem, ajudando a melhorar:

 

  • Resposta a incidentes (Cloud Forensics): alertas sobre atividades de rede e comportamentos de conta
  • Solução de problemas de rede: Configuração em tempo real e monitoramento de tráfego na VPC e na VNET, incluindo serviços efêmeros e componentes de plataforma nativos da nuvem da Amazon AWS, Microsoft Azure e Google Cloud Platform.
  • Conformidade: notificações instantâneas sobre violações regulatórias e auditorias de ás
×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK