Blog

Threat Hunting e ATT&CK

Written by Carlos Borges | 5/abr/2018 19:00:00

Threat Hunting são as atividades, métodos e práticas que procuram por intrusos ou ameaças dentro de sistemas computacionais, de uma forma ativa.

Uma ameaça é caracterizada por três fatores: intenção, capacidades e oportunidade.

O threat hunter irá focar na procura por adversários que componham essas características, onde haja atividades anormais em servidores, endpoints e dispositivos de rede ou em ativos que demonstrem algum sinal de comprometimento, intrusão ou exfiltração de dados.

A mentalidade típica sobre uma intrusão é simplesmente esperar até que ela aconteça. Tendo isto em mente e considerando o tempo médio para detecção de uma intrusão, que chega a passar das centenas de dias, não parece ser uma boa estratégia. O foco recente nesta atividade se deve aos resultados e o desenvolvimento que a cibersegurança tem trazido, onde os esforços têm sido dedicados cada vez mais na detecção e definição de contramedidas, de forma proativa.

 

Como é feito o Threat Hunting?

A atividade deve começar com uma pergunta: Como uma ameaça pode evadir as defesas atuais? Ela é importante pois é uma pergunta muito mais abrangente no contexto de cibersegurança do que simplesmente lidar com alertas ou indicadores, além de ser passível de testes quando necessário.

Uma hipótese bem definida é um bom ponto de partida, para definir em quais locais da organização o hunting será feito. Ela pode levar em consideração quais ativos e informações são de maior interesse para uma organização e priorizar os esforços inicialmente ali.

O Threat Hunting depende obviamente de dados que permitam analisar informações individuais, criar correlações e dependências que possam revelar uma ameaça. A partir destes dados os threat hunters podem se valer de conhecimentos em data Science e ferramentas de análise, de modo a encontrar desvios anormais e os motivos que levaram a isso.

A atividade em si requer algumas skills específicas como conhecimento do negócio, habilidade em gerar e investigar hipóteses e conhecimentos técnicos em diversas vertentes de segurança.

O uso de threat intelligence é um importante aliado pois propicia o enriquecimento de dados, a correlação entre fontes diferentes e é, obviamente, uma parte complementar nos objetivos do desenvolvimento de inteligência estratégica na procura por adversários no que se refere aos seus objetivos, táticas, técnicas e procedimentos (TTP).

A automatização de alertas é igualmente de grande importância, pois é um primeiro indicador de que algo está errado.

 

Relação de alertas, intelligence e data Science como base para threat hunting -  Sqrrl, 2017

 

ATT&CK

ATT&CK - Adversarial Tactics, Techniques, and Common Knowledge é um framework que descreve as possíveis ações que um adversário pode executar enquanto estiver operando dentro da rede de uma organização. Este framework relaciona as táticas, técnicas e procedimentos comumente utilizados por cibercriminosos e é utilizado como base de pesquisa em threat hunting, sobre como funciona uma ameaça e na montagem de cenários para validação das proteções vigentes em uma organização.

                                                    ATT&CK – importante aliado no processo de threat hunting - MITRE

 

Abaixo, segue um overview sobre as táticas abordadas pelo ATT&CK.

  • Persistência: Qualquer ação ou mudança em um sistema que possibilite um atacante manter seu acesso em um sistema.
  • Escalação de Privilégios: Ações que levam um atacante ter maiores permissões de acesso dentro de um sistema ou rede.
  • Evasão de Defesas: Técnicas utilizadas por um adversário que possibilitam a evasão de proteções de segurança.
  • Credenciais de Acesso: Ações executadas por um cibercriminoso que o possibilita ter acesso ou controle sobre um sistema, domínio ou serviço.
  • Discovery: Técnicas utilizadas para se adquirir conhecimento sobre um sistema ou rede.
  • Movimentação Lateral: Técnicas que possibilitam um adversário acessar, controlar ou obter informações de sistemas em uma rede.
  • Execução: É a execução de ferramentas dos adversários dentro de um sistema ou rede.
  • Coleta: Técnicas utilizadas para identificação e coleta de informações, desde arquivos confidenciais até infraestrutura.
  • Exfiltração de dados: Técnicas utilizadas para remoção e envio de informações da rede da organização para um local controlado pelos adversários.
  • Comando e controle: Representa como os adversários se comunicam com sistemas sob seu controle, dentro da rede de uma organização.


Desde Julho de 2017 são publicadas técnicas para Mac e Linux.

 

Referências:

Finding Cyber Threats with ATT&CK™-Based Analytics - Mitre

The Who, What, Where, When, Why and How of Effective Threat Hunting – SANS

How Hot Is Your Hunt Team? – Cyber Wardog Lab

What is Threat Hunting in Cybersecurity Defense - sqrrl

Threat Hunting: Como os frameworks podem te ajudar a criar cenários e detectar ameaças - Clavis