Cyber threat hunting

30 de dezembro de 2021 Daniel Donda DFIR 0

Um dos maiores desafios para o nosso mundo hoje é conter e proteger os ambientes computacionais de ameaças. A poucos dias eu falei sobre esse desafio e fui questionado sobre como as empresas podem e proteger ? Comprando soluções de firewall? Antivírus? IDS ? Eu respondi que SIM e NÃO ! Existe a possibilidade de que ameaças ocultas já estejam nas redes de sua organização. As organizações não podem se dar ao luxo de acreditar que suas medidas de segurança são perfeitas e impenetráveis. Ter um perímetro e defendê-lo não basta hoje em dia.

Existe uma área de defesa cibernética chamada “threat hunting” que atua de modo proativo na detecção e no isolamento de ameaças que muitas vezes não são detectados ou contidos em soluções tradicionais de segurança.

Existem alguns métodos:

  • Reactive Threat Hunting – Este método é usando quando uma ocorrência maliciosa acontece. Nesse momento o time inicia a perícia e remediação.
  • Proactive Threat Hunting – Este método busca ativamente eventos e atividades maliciosas em andamento. O time se dedica a detecção e correção.
  • External Threat Hunting – Método de mapear e prever onde os ataques cibernéticos de maneira pro ativa.

O profissional especialista nessa área usa seu amplo conhecimento para criar hipóteses sobre potenciais ameaças e então investiga esses riscos potenciais, rastreando comportamentos. Threat hunting, é um processo iterativo, o que significa que deve ser executado continuamente em um loop, começando com uma hipótese.

Táticas, técnicas e procedimentos (TTPs)

O SANS Institute identifica um modelo de maturidade de threat hunting:

  • Initial– No nível 0 de maturidade, uma organização depende principalmente de relatórios automatizados e faz pouca ou nenhuma coleta de dados de rotina.
  • Minimal– No nível 1 de maturidade, uma organização incorpora pesquisas de indicadores de inteligência de ameaças. Possui um nível moderado ou alto de coleta de dados de rotina.
  • Procedural– No nível 2 de maturidade, uma organização segue procedimentos de análise criados por outras. Tem um nível alto ou muito alto de coleta de dados de rotina.
  • Innovative– No nível 3 de maturidade, uma organização cria novos procedimentos de análise de dados. Tem um nível alto ou muito alto de coleta de dados de rotina.
  • Leading– No nível 4 de maturidade, automatiza a maioria dos procedimentos de análise de dados bem-sucedidos. Tem um nível alto ou muito alto de coleta de dados de rotina.

🌐 Download https://www.sans.org/white-papers/who-what-where-when-why-how-effective-threat-hunting/

MITRE ATT&CK®

MITRE ATT&CK® é uma estrutura aberta e base de conhecimento de táticas e técnicas usadas pelos atores maliciosos e baseadas em observações do mundo real. Serve como uma estrutura técnica real para classificar seus esforços de detecção atuais e identificar lacunas onde você não enxerga certos tipos de comportamento de ataque.
É possível fazer uso pratico do MITRE ATT&CK® com foco na caça e detecção de ameaças. Recomendo o PDF https://www.jas-solution.com/document/LogRhythm/Using_MITRE_ATTCK_in_Thrat_Hunting_and_Detection.pdf

Anúncio

Sobre Daniel Donda 538 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais
Website Facebook Instagram Twitter YouTube Linkedin

Artigos Relacionados

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*