Blog

Threat Hunting: aberta a temporada de caça

Written by Marcia Garcia | 4/out/2018 19:00:00

Threat Hunting - ou caça às ameaças cibernéticas - é o termo utilizado para o processo no qual a equipe de segurança da informação busca por ameaças presentes, ou seja, em ação dentro do ambiente da empresa.

Segundo a definição da Carbon Black, “Threat Hunting é a técnica proativa voltada para a busca de ataques e evidências que os invasores deixam para trás quando estão realizando reconhecimento, atacando com malware ou exfiltrando dados confidenciais. Em vez de apenas esperar que a tecnologia sinalize e avise a atividade suspeita, você aplica a capacidade analítica humana e o entendimento sobre o contexto do ambiente para determinar mais rapidamente quando ocorre uma atividade não autorizada. Esse processo permite que os ataques sejam descobertos mais cedo com o objetivo de pará-los antes que os intrusos possam realizar seus objetivos de ataque.”

Apesar da definição clara, vale ressaltar que Threat Hunting é diferente de Penetration Test (Teste de Penetração). Enquanto o segundo procura por vulnerabilidades no ambiente que poderiam ser utilizadas por um invasor; o primeiro busca por invasões em andamento, em seus estágios iniciais, para conter os possíveis danos à empresa.

Um dos principais objetivos do Threat Hunting é analisar o ambiente em busca de indícios de atividades maliciosas para responder à pergunta: “Estamos sob ataque?”. Muitos especialistas em segurança utilizam o princípio 80/20 para avaliar ameaças cibernéticas: 80% das ameaças cibernéticas não são sofisticadas e podem ser mitigadas com ações de segurança; enquanto os 20% restantes tendem a ser ameaças mais avançadas. Metade dos ataques avançados podem ser solucionados com diferentes técnicas de bloqueio e combate; a outra metade requer a atuação de especialistas e Threat Hunting.

 

Passo a passo

  • Definir se o Threat Hunting será executado pela equipe interna da empresa ou por uma empresa especializada. É importante lembrar que se for utilizada uma equipe interna da empresa, durante um tempo considerável seu foco será a execução deste trabalho, não tem como paralelizar com outras atividades, senão o objetivo não será alcançado.
  • Planejamento: é de extrema importância que seja elaborado um planejamento - onde será definida a equipe, responsabilidades, ferramentas a serem utilizadas e, principalmente, qual será o tema a ser examinado, para que através do processo de Threat Hunting a equipe chegue à conclusão de que determinada atividade maliciosa está acontecendo ou não em seu ambiente.
  • A equipe estabelece uma abordagem orientada por hipóteses para encontrar um comportamento incomum que pode indicar a presença de atividade maliciosa e, então, determina quais serão os resultados esperados.
  • A equipe coleta dados e logs do ambiente para validar a hipótese.
  • De posse das informações, a equipe realiza a consolidação das mesmas. Para isso podem utilizar ferramentas de relatório num SIEM, ferramentas analíticas ou mesmo o Excel para classificar e gerar tabelas dinâmicas. Existem plataformas de Threat Hunting que facilitam todo o processo e análise.
  • Com as informações tratadas chega o momento de avaliar os resultados e responder a hipótese levantada, entender o que está acontecendo no ambiente e gerar ações coerentes.

Se uma violação foi detectada, a equipe de Resposta a Incidentes deverá agir para corrigir o problema. Se uma vulnerabilidade foi encontrada, a equipe de Segurança deverá atuar.

Segundo uma pesquisa realizada pela Cybereason, a maioria das empresas não possuem em seu SOC uma equipe adequada para esse trabalho.

                                                                Fonte: 2017 Threat Hunting report - Cybereason

 

Avaliação

Para uma empresa avaliar seu nível de maturidade com relação ao Threat Hunting, existe o Modelo de Maturidade em Caça ou Hunting Maturity Model – HMM.

Fonte: 2017 Threat Hunting report - Cybereason

 

O modelo descreve cinco níveis do recurso de detecção proativa de uma organização. Cada nível corresponde à eficiência com que a organização realiza o Threat Hunting com base nos dados coletados, na capacidade de seguir e criar procedimentos de análise de dados (DAP) e no nível de automação do processo de Hunting.

Dentre as técnicas e práticas para a realização de Threat Hunting vale citar o “Kill Chain Model”. Desenvolvido pela empresa Lockheed Martin, descreve a metodologia usada pelos invasores para que os analistas de segurança da informação possam entender as técnicas de ataque utilizadas e então defenderem seus ambientes. Ao utilizar o “Kill Chain Model” o analista de segurança estará procurando por evidências em qualquer momento da ação do invasor no ambiente.

As etapas são:

Fonte: 2017 Threat Hunting report - Cybereason

1

Reconnaissance

O invasor seleciona um alvo, pesquisa e tenta identificar vulnerabilidades na rede.

2

Weaponization

É o artefato/arma utilizada para a invasão, normalmente um malware.

3

Delivery

O artefato/arma é entregue no ambiente/sistema de destino.

4

Exploitation

O código do artefato é acionado e inicia-se a exploração de uma vulnerabilidade no ambiente/sistema de destino.

5

Installation

O invasor instala os componentes que permitem o controle permanente do ambiente/sistema de destino.

6

Command & Control

Este é um recurso de controle remoto do invasor, que pode ser mecânico ou com teclado manual.

7

Actions on Objectives

Os invasores trabalham para realizar o objetivo do ataque: roubar informações, destruir informações ou interromper sistemas ou redes.

 

Desenvolver uma equipe especializada em Threat Hunting, adquirir uma plataforma, contratar o serviço de terceiros... Qual caminho sua empresa está avaliando ou já optou? A proatividade é a melhor arma contra os atuais ataques cibernéticos e o Threat Hunting é uma excelente ferramenta para mapear o ambiente e agir rapidamente quando algo está estranho.


Está aberta a temporada de caça!

 
View full post