Um dos maiores desafios para o nosso mundo hoje é conter e proteger os ambientes computacionais de ameaças. A poucos dias eu falei sobre esse desafio e fui questionado sobre como as empresas podem e proteger ? Comprando soluções de firewall? Antivírus? IDS ? Eu respondi que SIM e NÃO ! Existe a possibilidade de que ameaças ocultas já estejam nas redes de sua organização. As organizações não podem se dar ao luxo de acreditar que suas medidas de segurança são perfeitas e impenetráveis. Ter um perímetro e defendê-lo não basta hoje em dia.
Existe uma área de defesa cibernética chamada “threat hunting” que atua de modo proativo na detecção e no isolamento de ameaças que muitas vezes não são detectados ou contidos em soluções tradicionais de segurança.
Existem alguns métodos:
- Reactive Threat Hunting – Este método é usando quando uma ocorrência maliciosa acontece. Nesse momento o time inicia a perícia e remediação.
- Proactive Threat Hunting – Este método busca ativamente eventos e atividades maliciosas em andamento. O time se dedica a detecção e correção.
- External Threat Hunting – Método de mapear e prever onde os ataques cibernéticos de maneira pro ativa.
O profissional especialista nessa área usa seu amplo conhecimento para criar hipóteses sobre potenciais ameaças e então investiga esses riscos potenciais, rastreando comportamentos. Threat hunting, é um processo iterativo, o que significa que deve ser executado continuamente em um loop, começando com uma hipótese.
Táticas, técnicas e procedimentos (TTPs)
O SANS Institute identifica um modelo de maturidade de threat hunting:
- Initial– No nível 0 de maturidade, uma organização depende principalmente de relatórios automatizados e faz pouca ou nenhuma coleta de dados de rotina.
- Minimal– No nível 1 de maturidade, uma organização incorpora pesquisas de indicadores de inteligência de ameaças. Possui um nível moderado ou alto de coleta de dados de rotina.
- Procedural– No nível 2 de maturidade, uma organização segue procedimentos de análise criados por outras. Tem um nível alto ou muito alto de coleta de dados de rotina.
- Innovative– No nível 3 de maturidade, uma organização cria novos procedimentos de análise de dados. Tem um nível alto ou muito alto de coleta de dados de rotina.
- Leading– No nível 4 de maturidade, automatiza a maioria dos procedimentos de análise de dados bem-sucedidos. Tem um nível alto ou muito alto de coleta de dados de rotina.
🌐 Download https://www.sans.org/white-papers/who-what-where-when-why-how-effective-threat-hunting/
MITRE ATT&CK®
MITRE ATT&CK® é uma estrutura aberta e base de conhecimento de táticas e técnicas usadas pelos atores maliciosos e baseadas em observações do mundo real. Serve como uma estrutura técnica real para classificar seus esforços de detecção atuais e identificar lacunas onde você não enxerga certos tipos de comportamento de ataque.
É possível fazer uso pratico do MITRE ATT&CK® com foco na caça e detecção de ameaças. Recomendo o PDF https://www.jas-solution.com/document/LogRhythm/Using_MITRE_ATTCK_in_Thrat_Hunting_and_Detection.pdf
Be the first to comment