A caça a ameaças já existe há algum tempo, mas só recentemente se tornou uma espécie de palavra da moda nos círculos de segurança cibernética. Além dos profissionais de segurança, cada vez mais organizações reconhecem que a caça proativa precisa desempenhar um papel nas suas práticas gerais de segurança.
A caça a ameaças (TH) é a pesquisa proativa e orientada por humanos em sistemas, redes, endpoints e conjuntos de dados para detectar vulnerabilidades ou atividades maliciosas que as ferramentas existentes não conseguiram capturar. Em outras palavras, é uma busca por ameaças que dependem de soluções ou serviços de segurança, e não de soluções automatizadas.
Pode parecer um retrocesso da tecnologia para o trabalho manual. E de certa forma é. Mas é um passo necessário num mundo onde não existe computador seguro e os riscos são cada vez maiores, à medida que cada vez mais organizações e serviços migram para a nuvem ou se ligam à Internet.
E funciona. Uma pesquisa de 2020 sobre caça a ameaças conduzida pelo SANS Institute, uma importante empresa de segurança dos EUA, mostrou que, graças à caça a ameaças, 89% das organizações obtiveram uma criação de detecção melhorada e menos falsos positivos, 68% – maior tempo de fuga, 70% – maior detecção de exfiltração , e 75% dos entrevistados precisavam de menos recursos para atividades de remediação.
Para desenvolver uma estratégia proativa de caça às ameaças, é crucial uma boa preparação e planeamento.
Primeiro, existem os caçadores de ameaças – pessoas que serão a principal força de segurança da sua organização. Além deles, você precisará de dados acionáveis e, surpreendentemente, de um conjunto de ferramentas. Falaremos sobre isso abaixo.
Equipe
Você pode ter uma equipe interna de caçadores ou pode ser você quem está caçando. Em ambos os casos, um bom nível de especialização é importante. Dito isto, você ou seus especialistas em segurança não precisam pertencer ao 1% elite no mundo da segurança. Embora TH seja um termo novo, os analistas de segurança vêm caçando ameaças há anos. Você pode começar com técnicas básicas e desenvolvê-las.
Mas é fundamental ser adaptável, aumentar o seu conhecimento sobre o cenário de ameaças, aprender constantemente sobre o seu ambiente de TI, ser criativo e intuitivo – essas são as qualidades essenciais para qualquer caçador de ameaças cibernéticas.
Dados
Devido à natureza proativa da caça às ameaças cibernéticas, você usará intensamente os dados coletados para identificar e categorizar ameaças potenciais. E você vai precisar muito disso.
Esses dados virão de logs de transações de rede, eventos do sistema operacional, aplicativos, etc. E-mails, informações de funcionários e privilégios de acesso também são úteis para detectar anomalias internas. Mantenha o máximo de dados que puder armazenar.
Outra boa maneira de coletar dados para caçar ameaças é estudar materiais publicados sobre ataques recentes, novas ameaças, comportamentos de invasores, etc. Boas fontes para esses dados são os Provedores de Inteligência de Ameaças (TIPS) e os bancos de dados de ameaças do setor. Usando seus dados, um analista de segurança pode criar novas hipóteses e identificar ameaças futuras.
Depois de coletar o que puder sobre seu ambiente, você ou seu analista de segurança poderão começar a vasculhar os dados. Você precisará de uma maneira eficaz de entender isso e não deveria ser um processo manual. Para aumentar a eficiência de sua análise de dados, use soluções de automação, IA, aprendizado de máquina e análise de comportamento de usuários e entidades (UEBA). Essas ferramentas podem automatizar tarefas regulares, como gerar resumos de atividades ou procurar entidades suspeitas nos dados.
Embora ferramentas específicas, como plataformas de caça a ameaças (THPs), possam ajudá-lo a caçar em grande escala e simplificar procedimentos avançados de caça. Por exemplo, a plataforma de caça a ameaças do Sqrrl foi criada especificamente para tornar a fusão de diferentes conjuntos de dados significativamente mais simples.
Além dos THPs, para dados de segurança com indicadores acionáveis, existem soluções como Gerenciamento de Eventos e Informações de Segurança (SIEM), ferramentas de análise estatística (SAS) e Centros de Análise e Compartilhamento de Informações de Serviços Financeiros (FSIAC).
Ok, você já organizou sua equipe de caça, dados e ferramentas. Agora você pode estudar seu ambiente e começar a fazer hipóteses.
Vamos falar sobre as técnicas mais comuns do seu arsenal.
Procurando
A pesquisa envolve vasculhar dados (logs, dados de pacotes completos, registros de fluxo, alertas, eventos do sistema, imagens digitais e despejos de memória) em busca de artefatos ou padrões – coisas que podem indicar atividades maliciosas. Isso requer critérios de pesquisa bem definidos, nem muito amplos nem muito restritos. Caso contrário, os resultados podem ser esmagadores. Esta técnica exige um investimento significativo de tempo e é muito mais difícil quando não há assinaturas disponíveis.
Agrupamento
É aqui que o aprendizado de máquina e a IA são úteis. Envolve isolar clusters de pontos de dados semelhantes que compartilham características específicas de um conjunto de dados maior. Como ele pode encontrar com precisão comportamentos agregados, como um número incomum de instâncias de uma ocorrência, ele se destaca melhor na detecção de valores discrepantes. Mais eficaz com um grande grupo de pontos de dados, pois para um ser humano seria uma tarefa difícil analisar grandes blocos de dados.
Agrupamento
Essa técnica envolve a busca por vários artefatos únicos que aparecem juntos usando critérios de busca predeterminados. Embora semelhante ao Clustering, o Agrupamento supõe a busca por um determinado conjunto de artefatos que já foram considerados suspeitos. Os grupos dentro desses artefatos podem representar uma ferramenta do invasor ou um TTP.
Contagem de pilhas (empilhamento)
A contagem de pilhas envolve a criação de estatísticas para valores de um tipo específico e a tentativa de encontrar valores discrepantes entre esses resultados. É mais eficaz ao lidar com entradas filtradas, como pontos finais de uma função específica, e é menos eficaz ao lidar com grandes conjuntos de dados. Organize, filtre e classifique os dados tanto quanto possível antes de tentar encontrar qualquer anomalia.
Para um recém-chegado, a caça às ameaças cibernéticas pode parecer demasiado complexa. Mas é importante começar com os poucos recursos que você tem. Os maus atores não vão esperar. Usar as técnicas comuns de caça a ameaças descritas brevemente acima é um bom começo.
Você não está sozinho. O Relatório de caça a ameaças de 2023 da Cybersecurity Insiders mostrou que 65% das organizações pesquisadas planejam iniciar programas de caça a ameaças nos próximos três anos e 83% concordam que a caça a ameaças deve ser uma iniciativa de segurança de ponta.
Este estudo reiterou os benefícios que as organizações já estão obtendo com a caça às ameaças. Isso inclui melhor detecção de ameaças avançadas – 66%, redução do tempo gasto na busca de pistas falsas – 50% e redução do tempo de investigação – 59% dos entrevistados. Com o tempo, você ou seus analistas de segurança criarão um sistema que acelerará o processo de busca. Repita as técnicas, experimente novas, acompanhe os resultados gerais, melhore-os e você desenvolverá uma abordagem abrangente e focada para descobrir TTPs adversários em seu ambiente.