Threat Hunting: aberta a temporada de caça
Threat Hunting - ou caça às ameaças cibernéticas - é o termo utilizado para o processo no qual a equipe de segurança da informação busca por ameaças presentes, ou seja, em ação dentro do ambiente da empresa.
Segundo a definição da Carbon Black, “Threat Hunting é a técnica proativa voltada para a busca de ataques e evidências que os invasores deixam para trás quando estão realizando reconhecimento, atacando com malware ou exfiltrando dados confidenciais. Em vez de apenas esperar que a tecnologia sinalize e avise a atividade suspeita, você aplica a capacidade analítica humana e o entendimento sobre o contexto do ambiente para determinar mais rapidamente quando ocorre uma atividade não autorizada. Esse processo permite que os ataques sejam descobertos mais cedo com o objetivo de pará-los antes que os intrusos possam realizar seus objetivos de ataque.”
Apesar da definição clara, vale ressaltar que Threat Hunting é diferente de Penetration Test (Teste de Penetração). Enquanto o segundo procura por vulnerabilidades no ambiente que poderiam ser utilizadas por um invasor; o primeiro busca por invasões em andamento, em seus estágios iniciais, para conter os possíveis danos à empresa.
Um dos principais objetivos do Threat Hunting é analisar o ambiente em busca de indícios de atividades maliciosas para responder à pergunta: “Estamos sob ataque?”. Muitos especialistas em segurança utilizam o princípio 80/20 para avaliar ameaças cibernéticas: 80% das ameaças cibernéticas não são sofisticadas e podem ser mitigadas com ações de segurança; enquanto os 20% restantes tendem a ser ameaças mais avançadas. Metade dos ataques avançados podem ser solucionados com diferentes técnicas de bloqueio e combate; a outra metade requer a atuação de especialistas e Threat Hunting.
Passo a passo
- Definir se o Threat Hunting será executado pela equipe interna da empresa ou por uma empresa especializada. É importante lembrar que se for utilizada uma equipe interna da empresa, durante um tempo considerável seu foco será a execução deste trabalho, não tem como paralelizar com outras atividades, senão o objetivo não será alcançado.
- Planejamento: é de extrema importância que seja elaborado um planejamento - onde será definida a equipe, responsabilidades, ferramentas a serem utilizadas e, principalmente, qual será o tema a ser examinado, para que através do processo de Threat Hunting a equipe chegue à conclusão de que determinada atividade maliciosa está acontecendo ou não em seu ambiente.
- A equipe estabelece uma abordagem orientada por hipóteses para encontrar um comportamento incomum que pode indicar a presença de atividade maliciosa e, então, determina quais serão os resultados esperados.
- A equipe coleta dados e logs do ambiente para validar a hipótese.
- De posse das informações, a equipe realiza a consolidação das mesmas. Para isso podem utilizar ferramentas de relatório num SIEM, ferramentas analíticas ou mesmo o Excel para classificar e gerar tabelas dinâmicas. Existem plataformas de Threat Hunting que facilitam todo o processo e análise.
- Com as informações tratadas chega o momento de avaliar os resultados e responder a hipótese levantada, entender o que está acontecendo no ambiente e gerar ações coerentes.
Se uma violação foi detectada, a equipe de Resposta a Incidentes deverá agir para corrigir o problema. Se uma vulnerabilidade foi encontrada, a equipe de Segurança deverá atuar.
Segundo uma pesquisa realizada pela Cybereason, a maioria das empresas não possuem em seu SOC uma equipe adequada para esse trabalho.
Fonte: 2017 Threat Hunting report - Cybereason
Avaliação
Para uma empresa avaliar seu nível de maturidade com relação ao Threat Hunting, existe o Modelo de Maturidade em Caça ou Hunting Maturity Model – HMM.
Fonte: 2017 Threat Hunting report - Cybereason
O modelo descreve cinco níveis do recurso de detecção proativa de uma organização. Cada nível corresponde à eficiência com que a organização realiza o Threat Hunting com base nos dados coletados, na capacidade de seguir e criar procedimentos de análise de dados (DAP) e no nível de automação do processo de Hunting.
Dentre as técnicas e práticas para a realização de Threat Hunting vale citar o “Kill Chain Model”. Desenvolvido pela empresa Lockheed Martin, descreve a metodologia usada pelos invasores para que os analistas de segurança da informação possam entender as técnicas de ataque utilizadas e então defenderem seus ambientes. Ao utilizar o “Kill Chain Model” o analista de segurança estará procurando por evidências em qualquer momento da ação do invasor no ambiente.
As etapas são:
Fonte: 2017 Threat Hunting report - Cybereason
1 |
Reconnaissance |
O invasor seleciona um alvo, pesquisa e tenta identificar vulnerabilidades na rede. |
2 |
Weaponization |
É o artefato/arma utilizada para a invasão, normalmente um malware. |
3 |
Delivery |
O artefato/arma é entregue no ambiente/sistema de destino. |
4 |
Exploitation |
O código do artefato é acionado e inicia-se a exploração de uma vulnerabilidade no ambiente/sistema de destino. |
5 |
Installation |
O invasor instala os componentes que permitem o controle permanente do ambiente/sistema de destino. |
6 |
Command & Control |
Este é um recurso de controle remoto do invasor, que pode ser mecânico ou com teclado manual. |
7 |
Actions on Objectives |
Os invasores trabalham para realizar o objetivo do ataque: roubar informações, destruir informações ou interromper sistemas ou redes. |
Desenvolver uma equipe especializada em Threat Hunting, adquirir uma plataforma, contratar o serviço de terceiros... Qual caminho sua empresa está avaliando ou já optou? A proatividade é a melhor arma contra os atuais ataques cibernéticos e o Threat Hunting é uma excelente ferramenta para mapear o ambiente e agir rapidamente quando algo está estranho.
Está aberta a temporada de caça!