O que é busca de ameaças?
A caça a ameaças é a prática de procurar ameaças cibernéticas que, de outra forma, poderiam passar despercebidas na sua rede. De acordo com a Infosec, “a caça às ameaças cibernéticas pode ser bastante semelhante à caça no mundo real. Requer um profissional excepcionalmente qualificado, com considerável paciência, pensamento crítico, criatividade e um olhar aguçado para detectar presas, geralmente na forma de anormalidades de comportamento em rede.”
É melhor presumir que você foi comprometido
A caça a ameaças é necessária simplesmente porque nenhuma proteção de segurança cibernética é sempre 100% eficaz. É necessária uma defesa activa, em vez de depender de ferramentas de segurança do tipo “configure e esqueça”.
Algumas ameaças, como ' Poisoning the Well ', envolvem invasores trabalhando para obter mais persistência de longo prazo em seu aplicativo. Permanecer sem ser detectado é vital para o sucesso deste ataque. Infelizmente, a maioria dos ataques consegue passar despercebida. Um estudo recente realizado pelo Ponemon Institute em nome da IBM descobriu que o tempo médio necessário para identificar e conter uma violação é de 280 dias.
Definição de caça a ameaças
A caça a ameaças envolve o uso de técnicas manuais e assistidas por software para detectar possíveis ameaças que escaparam de outros sistemas de segurança. Mais especificamente, as tarefas de caça a ameaças incluem:
- Procurando ameaças existentes em sua organização, qualquer coisa que um invasor possa implantar para exfiltrar informações e causar danos
- Caça proativa a ameaças que surgem em qualquer lugar do mundo
- Preparando uma armadilha e essencialmente esperando que ameaças o cacem
O processo de caça a ameaças
Para caçar ameaças, você precisa:
- Colete dados de qualidade
- Use ferramentas para analisá-lo
- Tenha a habilidade de entender tudo
O processo começa com a recolha de uma quantidade adequada de dados de alta qualidade, uma vez que a entrada de dados de má qualidade resultará numa caça às ameaças ineficaz. Os dados coletados podem incluir arquivos de log, servidores, dispositivos de rede (ou seja, firewall, switches, roteadores), bancos de dados e endpoint.
Em seguida, os caçadores de ameaças devem procurar padrões e potenciais indicadores de comprometimento (IOCs). Se você estiver monitorando, deverá ter alguém examinando os logs. Muitas vezes, as organizações não têm recursos e mão de obra suficientes para se dedicarem ao monitoramento contínuo da detecção de intrusões. A etapa final é responder de acordo.
O que você está caçando?
Indicadores de comprometimento (IOCs): fatores, incluindo dados forenses e arquivos de log, que podem ajudar a identificar possíveis atividades maliciosas que já ocorreram
Indicadores de ataque (IOAs): embora haja semelhanças com os IOCs, os IOAs podem ajudá-lo a entender os ataques em andamento
Artefatos baseados em rede: pesquise comunicação de malware usando ferramentas como gravação de sessão, captura de pacotes e monitoramento de estado de rede
Artefatos baseados em host: pesquise endpoint e procure interação de malware no registro, sistema de arquivos e em outros lugares
Encontrando e investigando indicadores de comprometimento e ataque
A caça a ameaças requer um escopo do que procurar e uma maneira de identificar qualquer coisa que não se enquadre, como:
- Trânsito irregular
- Atividade anormal da conta
- Mudanças no registro e no sistema de arquivos
- Comandos usados em sessões remotas que não foram vistos antes
Para encontrar anomalias, é importante primeiro ter uma compreensão básica da atividade regular. Assim que os indicadores forem detectados, siga a trilha. Isto é muitas vezes feito estabelecendo uma hipótese e depois identificando se cada COI é uma ameaça. Alguns IOCs podem utilizar uma abordagem contundente e apresentar evidências óbvias. Por exemplo, um aumento na quantidade de tráfego para um país com o qual a organização não faz negócios. A investigação de IOCs também pode envolver trabalho em laboratório para reproduzir certos tipos de tráfego para examinar seu comportamento em um ambiente virtual.
Em ambientes controlados, como SCADA, é mais fácil detectar algo fora do comum. Considerando que os ambientes corporativos geralmente têm tráfego diversificado, tornando a detecção um desafio ainda maior. As soluções de segurança, como omalware, são mais eficazes contra códigos maliciosos que já foram mapeados e analisados, enquanto códigos completamente novos são mais difíceis de detectar.
Embora o excesso de ferramentas possa complicar a busca por ameaças, o gerenciamento de informações e eventos de segurança (SIEM) e as ferramentas de correlação de eventos ajudam. Por outro lado, também podem prejudicar a sua capacidade de ver detalhes. Uma abordagem unificada para Segurança de nuvem é ideal.
Dicas para caçar ameaças
As regras YARA permitem que você crie conjuntos de regras para ajudar a combinar e reconhecer malware. “Com YARA você pode criar descrições de famílias de malware (ou o que você quiser descrever) com base em padrões textuais ou binários.”
malware sofisticados geralmente se escondem em outra coisa para se infiltrar em hosts de serviços, como processos do Windows que seu sistema está sempre executando. Se conseguirem injetar código malicioso, poderão realizar operações maliciosas de forma indetectável. O registro do Windows é outro local importante onde o malware pode se esconder. Compare com o registro do sistema padrão e investigue quaisquer alterações.
O nível de detalhe que você entra depende das prioridades da sua organização e do nível de liberdade que cada sistema tem. Verificar a integridade dos processos críticos do sistema que estão sempre ativos é uma parte importante do lado forense da caça a ameaças.
Equipes Eficazes
A Infosec afirma: “A caça pode envolver técnicas manuais e baseadas em máquinas. Ao contrário de outros sistemas automatizados, como o SIEM, a caça envolve capacidades humanas para caçar ameaças com mais sofisticação.”
Um atributo importante de uma equipe eficaz de caça a ameaças é a comunicação. Os caçadores de ameaças também devem ter habilidade na redação de relatórios e na educação de outras pessoas sobre ameaças e riscos. Para ajudar a gestão a tomar boas decisões com base nas suas conclusões, as equipas devem ser capazes de falar sobre o que encontraram em termos leigos. No geral, a caça é mais uma função de analista do que de engenheiro.
A caça a ameaças deve fazer parte de uma abordagem unificada para segurança na nuvem
Check Point Intelligence and Threat Hunting, part of the Check Point Cloud Native Security platform, provides cloud native threat security forensics through rich, machine learning visualization, giving real-time context of threats and anomalies across your multi-cloud environment.
Check Point ingests cloud native log and event data, delivering contextualized visualizations of your entire public cloud infrastructure and cloud security analytics, helping to enhance:
- Resposta a incidentes (Cloud Forensics): alertas sobre atividades de rede e comportamentos de conta
- Solução de problemas de rede: Configuração em tempo real e monitoramento de tráfego na VPC e na VNET, incluindo serviços efêmeros e componentes de plataforma nativos da nuvem da Amazon AWS, Microsoft Azure e Google Cloud Platform.
- Conformidade: notificações instantâneas sobre violações regulatórias e auditorias de ás
