Threat hunting pode ser traduzido com caça a ameaças ou investigação de ameaças. Uma estratégia baseada na adoção de uma postura proativa e constante de busca por ameaças em potencial.
O objetivo é claro: identificar vulnerabilidades de segurança que poderiam ser exploradas por cibercriminosos e corrigi-las antes que algo assim aconteça. Algo que é feito com o emprego de diferentes técnicas, manuais e/ou conduzidas por softwares inteligentes, além da figura do “hunter”, ou seja, um profissional dedicado a cuidar do processo.
Assim, falamos de um movimento ostensivo de prevenção capaz de impedir que a empresa lide com a paralisação de operações, perda de dados, prejuízos e outros problemas graves. Saiba mais!
Tipos de threat hunting
Considerando que existem vários tipos de ameaças cibernéticas, é esperado que exista também mais de um tipo de threat hunting para que essa estratégia de “caça” seja realmente eficiente.
Investigação estruturada
O primeiro tipo de threat hunting tem como ponto de partida uma evidência de que alguém tem a intenção de atacar a empresa. Assim, a investigação estruturada que considera um indicador de ataque (IoA) e as táticas, técnicas e procedimentos (TTPs) usadas pelo invasor.
Assim, o hunter se concentra nos TTPs para identificar o agente causador da ameaça antes que este consiga concretizar seu ataque e causar danos ao ambiente de TI da organização.
Em geral, esse processo usa framework MITRE ATT&CK considerando tanto a estrutura PRE-ATT&CK a empresarial.
Investigação não estruturada
Também existe o tipo de threat hunting que se orienta por um acionador, ou seja, um entre vários indicadores de comprometimento (IoC). Com base nisso, o hunter busca padrões anteriores e posteriores à detecção do acionador fazendo uma investigação tão profunda quanto a retenção de dados e as violações anteriormente associadas permitirem.
Situacional ou orientada por entidade
Por fim, está o threat hunting baseado em uma hipótese situacional traçada a partir de uma avaliação de risco interna ou da análise de tendências e vulnerabilidades da TI.
No caso das tendências, falamos de uma série de informações reunidas por entidades que acessam dados de origem coletiva e que, uma vez analisadas, indicam os TTPs mais recorrentes no momento. Partindo disso, o hunter pode investigar esses comportamentos no ambiente da organização para indicar as ações corretivas e protetivas necessárias.
Modelos de threat hunting
Como mencionamos, o processo de threat hunting pode ser conduzido por meio de diferentes técnicas, de forma manual ou amparado por ferramentas mais robustas. Isso origina diferentes modelos de investigação. Veja só:
Threat hunting baseado em inteligência
Trata-se de um modelo reativo que usa indicadores de comprometimento e segue regras pré-definidas pelo SIEM e pela inteligência de ameaças.
Além de IoCs, esse modelo de investigação também usa endereços IP, nomes de domínio, valores de hash e redes ou artefatos de host fornecidos por plataformas de compartilhamento de inteligência. Isso permite que um alerta automatizado seja exportado das plataformas para o SIEM para que o hunter seja avisado e investigue atividades suspeitas para identificar se o ambiente foi ou não comprometido e indicar ações pertinentes.
Investigação de hipóteses
Esse é um modelo de threat hunting proativo que usa uma biblioteca de investigação de ameaças, o framework MITRE ATT&CK e playbooks de detecção global para identificar ameaças persistentes e diferentes tipos de ataques.
Nesse caso, o hunter conta com hipóteses que se baseiam nos IoAs e nos TTPs de invasores para identificar os agentes de uma ameaça com base em fatores como o ambiente, domínio e componentes do ataque. Uma vez que um comportamento padrão é identificado, o hunter age para identificar e isolar a ameaça, evitando que danos se concretizem.
Investigação personalizada
Por fim, há este modelo de threat hunting que se baseia na consciência situacional e em metodologias de investigação para identificar anomalias nas ferramentas de investigação de ameaças.
Esse modelo de investigação pode ser personalizada com base nas especificações da empresa ou executada de forma proativa, com base em um conjunto de fatores como questões geopolíticas e ataques direcionados. Além disso, pode englobar tanto a investigação baseada em inteligência quanto a baseada em hipóteses.
Ferramentas de investigação de ameaças
Para uma investigação, independentemente do tipo ou modelo, é importante dispor de algumas ferramentas:
MDR – Detecção e resposta gerenciadas
A MDR é uma estrutura composta por analistas de segurança e de resposta que agem proativamente por meio da aplicação da inteligência de ameaças para verificar a ocorrência de eventos suspeitos e corrigir eventuais problemas.
É uma solução capaz de reduzir o tempo de permanência de um ataque graças a respostas rápidas e eficazes.
SIEM – Gerenciamento de informações e eventos de segurança
A solução SIEM monitora e gerencia logs, apresentando os dados obtidos em tempo real e possibilitando, assim, a promoção da segurança de forma centralizada, assertiva e rápida.
Com o SIEM, o hunter pode identificar anomalias no comportamento de usuários, além de outras irregularidades que orientem uma investigação mais robusta de ameaças. Assim, pode orientar melhor a tomada de decisões em relação à segurança da empresa, garantindo maior assertividade contra as ameaças.
Análise de segurança
Por fim, a análise de segurança é uma solução que ultrapassa o que sistemas básicos de SIEM são capazes de oferecer, gerando insights mais profundos sobre a segurança cibernética da organização.
Isso é feito por meio da coleta extensiva de dados, contando ainda com machine learning e AI mais rápidos e sofisticados, capazes de acelerar o processo de theat hunting ao fornecer informações mais detalhadas para os especialistas envolvidos no processo.
Conte com a Prolinx e potencialize o threat hunting em sua empresa
No fim das contas, além do conhecimento acerca dos diferentes tipos e modelos, o sucesso do threat hunting depende do uso das melhores ferramentas e do nível de expertise do profissional responsável pelo processo.
É possível conduzir as investigações contando com a equipe de TI da própria empresa. Porém, é mais estratégico buscar apoio terceirizado e não é difícil entender o porquê.
A ideia de uma parceria é permitir que sua organização conte com tecnologias de ponta na segurança proativa e com a experiência de especialistas que vão se dedicar exclusivamente à tarefa de threat hunting. Com isso, a TI interna não fica sobrecarregada e o sucesso na detecção e prevenção de ameaças é maior.
Se interessou por essa possibilidade e quer saber mais? Conheça o serviço de Gestão de Vulnerabilidades da Prolinx e o PROSEC, uma solução exclusiva para potencializar a investigação de ameaças e manter sua empresa protegida!