O que é Caça a Ameaças Cibernéticas? O Guia Definitivo

Caça de Ameaças Cibernéticas é uma abordagem inovadora para Detecção de Ameaças que visa encontrar ameaças cibernéticas na rede de uma empresa antes que causem algum dano. Isso inclui procurar deliberadamente por pontos fracos, bem como quaisquer sinais de ataques em andamento dentro de uma infraestrutura digital. A Caça de Ameaças é mais complexa do que a Detecção de Ameaças passiva e requer processos, soluções e expertise específicos.

Identificar ataques cibernéticos sofisticados não é fácil, então vamos nos aprofundar e tentar entender o que é a Caça de Ameaças Cibernéticas em um ambiente SOC real e como ela funciona. Além da definição de Caça de Ameaças, falaremos sobre uma rotina comum que todo Caçador de Ameaças exerce diariamente.

Antes de começarmos a aprender, certifique-se de verificar a linha do tempo de Inteligência de Ameaças para as ameaças do seu interesse em nosso Motor de Busca de Ameaças Cibernéticas. Depois de ter todas as informações necessárias em mãos, você pode acessar consultas de Caça de Ameaças na nossa plataforma Detection as Code, modificá-las em um navegador e aprimorar sua experiência de caça aproveitando a integração perfeita com inúmeros ambientes de segurança que você possa estar usando.

Detectar & Caçar Explorar Contexto de Ameaça

Como Começar a Caça de Ameaças?

Os primeiros passos na Caça de Ameaças proativa geralmente definem o sucesso geral. Em termos simples, para encontrar uma ameaça, você precisa ter uma ideia do que procurar. Imagine uma organização média que gera aproximadamente 20.000 eventos por segundo. Isso é 1.728.000.000 eventos por dia. Então, existem mais de 450.000 amostras de malware registradas diariamente. Algoritmos automatizados não são uma solução ideal quando se trata de encontrar ameaças meticulosamente ocultas e novas cepas de malware. Então, quantas pessoas de segurança cibernética você precisa para lidar com esses grandes dados? A verdade é que nunca há especialistas em segurança suficientes, a menos que eles reduzam sua pesquisa de ameaças ao que realmente importa. Então vamos ver como identificar a direção principal da Caça de Ameaças.

Consciência Situacional

Neste ponto, os Caçadores de Ameaças precisam estar cientes da arquitetura do sistema, infraestrutura de rede e configurações de ativos. Uma visibilidade bem ajustada no ecossistema digital da organização permite que ela avance tática e estrategicamente para os próximos passos.

Consciência situacional significa que os Caçadores de Ameaças conhecem os alvos potenciais dos atacantes, bem como o nível atual de proteção. Quando se trata dos elementos do ambiente, os caçadores também visualizam aqueles “dentro de um volume de tempo e espaço, a compreensão do seu significado, e a projeção do seu status para o futuro próximo”, conforme definido pelo OODA loop conceito do Col. John Boyd. Para ter esse tipo de visibilidade, uma configuração correta de ferramentas e soluções de segurança é extremamente importante. Por exemplo, sem registrar linhas de comando e scripts PowerShell, é impossível identificar muitos tipos de ataques graves.

Consciência do Panorama de Ameaças & Superfície de Ataque

O Panorama de Ameaças Cibernéticas é uma visão geral de todas as ameaças cibernéticas que existem atualmente e podem ser perigosas. Muitas delas são assumidas pelos Caçadores de Ameaças (vamos falar sobre isso na próxima seção) porque não há informações suficientes sobre como elas operam, quais são os objetivos, etc. No entanto, podem estar invisíveis ao olho do pesquisador. Em algumas fontes, você encontrará que o panorama de ameaças é uma lista de todas as ameaças conhecidas, mas essa visão é limitada. É melhor reconhecer que uma parte do panorama de ameaças ainda está nas sombras, mas, no entanto, existe. E os Caçadores de Ameaças geralmente trabalham com essa parte nas sombras. Outra característica distintiva de um panorama de ameaças é que ele é dinâmico. Ele muda e se desenvolve devido a inúmeras circunstâncias; é por isso que é importante sempre acompanhar as notícias, inteligência e as pesquisas mais recentes.

Superfície de ataque é o número total de vulnerabilidades (tanto conhecidas quanto zero-day), configurações incorretas potenciais e anomalias na infraestrutura digital da organização. Como hoje muitos aplicativos de software têm inúmeras dependências e são frequentemente implantados em servidores na nuvem, é quase impossível definir um perímetro de rede como tal. Assim, a superfície de ataque aumenta. Ao mesmo tempo, se você pegar uma impressora fabricada há 20 anos e conectá-la a um computador pessoal com um Windows perfeitamente corrigido e sem conexão à Internet, ela terá uma superfície de ataque menor. Claro, é compreensível que a superfície de ataque aumente exponencialmente com a complexidade da rede. E não devemos esquecer que as ameaças existem mesmo quando não há vulnerabilidades. É por isso que a NIST recomenda construir infraestruturas digitais que sejam seguras por design.

Priorização de Risco

Existem muitas abordagens para criar e manter a gestão de riscos cibernéticos. As organizações empregam frameworks da NIST, ISO 270001, DoD, e mais. No geral, trata-se de definir os riscos aplicáveis a um contexto de negócios específico, priorizá-los, definir um apetite por risco, documentar playbooks de mitigação e revisar regularmente sua eficácia.

O que a gestão de riscos tem a ver com a Caça de Ameaças? É onde tudo começa. Por exemplo, de 100% dos padrões de risco, 50% são corrigidos, 30% não são aplicáveis devido à configuração de rede, 10% são tratados por soluções de segurança automatizadas e 5% são remediados manualmente. Então o que resta são 5% de riscos desconhecidos. É aí que a Caça de Ameaças começa.

Quais são os Passos da Caça de Ameaças?

Os Caçadores de Ameaças são aqueles que enfrentam ameaças desconhecidas, então, uma vez que eles têm algo suspeito para trabalhar, eles começam os passos da Caça de Ameaças. Identificar a própria suspeita também requer muito conhecimento de domínio e experiência. Por exemplo, algo que parece um ataque DDoS pode ser apenas múltiplos computadores na rede iniciando ao mesmo tempo. Assim, para evitar seguir na direção errada, cada passo da Caça de Ameaças deve ser bem pensado. Em geral, podemos delinear três passos.

Gerar uma Hipótese de Caça de Ameaças

The A hipótese de Caça de Ameaças vem primeiro, assim como em qualquer outro tipo de trabalho de pesquisa. Mergulhe em nosso guia sobre exemplos de hipóteses de Caça de Ameaças Cibernéticas se você quiser saber mais. Lembre-se, mesmo que sua hipótese se prove errada, você ainda obtém uma informação valiosa para sua pesquisa futura. Por exemplo, você assumiu que alguns dos raros agentes de usuário HTTP eram maliciosos, mas descobriu que não eram. Tudo bem, agora você tem uma melhor consciência situacional do que está acontecendo dentro da empresa. A propósito, desafiar suas hipóteses e compará-las com alternativas pode ser mais útil do que uma abordagem “satisfatória” quando você só quer se provar certo e não reconhece as partes que estão faltando.

Realizar Testes & Análise

Agora que a hipótese foi feita, é hora de testá-la. Os Caçadores de Ameaças podem usar diferentes ferramentas de Caça de Ameaças já que há várias maneiras de testar suas hipóteses. Eles podem procurar por comportamentos específicos em registros de sistemas, testar amostras de malware em um ambiente emulado, observar o fluxo de dados de rede e muito mais. A parte mais difícil é encontrar uma maneira de detectar o que você está procurando. Digamos que você queira realizar uma detecção de beaconing, mas sua rede utiliza criptografia DNS sobre HTTPS, há alguns truques que você deve conhecer. Encontrar sinais maliciosos, neste caso, é possível, mas algumas configurações de sistema podem impedir uma busca bem-sucedida, resultando em falsos negativos.

A parte da análise é a mais interessante, pois existem várias maneiras de trabalhar com dados. Às vezes é melhor usar algoritmos matemáticos, como análise de fatores, mas às vezes é melhor visualizar as ameaças. Existem muitas ferramentas de modelagem de ameaças. Por exemplo, o TypeDB é frequentemente usado por Caçadores de Ameaças. Além disso, você pode usar gráficos, tabelas e diagramas, que são especialmente divertidos se você quiser encontrar coisas como outliers. Se você puder programar gráficos de distribuição, desvio padrão, gráficos de caixa, diagramas de dispersão, florestas de isolamento e encontrar padrões, esse tipo de análise pode trazer bons resultados.

No entanto, tudo o que é automatizado raramente funciona bem com dados não numéricos. O aprendizado de máquina é bom para identificar diferenças sem mergulhar no contexto (talvez exceto para Naïve Bayes, que é bom para conteúdo textual).

Em algum momento, é necessário adicionar algum elemento humano à Caça de Ameaças. Quando chegar essa hora, experimente o Modelo de Intrusão da Análise Diamante e a caça baseada em TTP. Se a revisão manual levaria séculos devido a um grande conjunto de dados, ferramentas como Clearcut podem ser úteis. Então, conheça os hábitos dos seus usuários e adicione uma pitada de inspiração. Aprender assuntos como estatística, ciência de dados ou mesmo psicologia cognitiva enriquecerá sua experiência de caça.

Remediar

Não importa o quão bom seja simplesmente ser um caçador livre e um pesquisador criativo, no final do pipeline de Caça de Ameaças, algumas responsabilidades importantes entram em jogo. Quando você obtém os resultados da análise, é hora de documentar e agir sobre eles para evitar que a ameaça encontrada cause algum dano. Em grandes organizações, isso chamado de Resposta a Incidentes é passado para os membros do SOC que fazem isso regularmente, enquanto os Caçadores de Ameaças voltam para hipóteses e análises.

Vulnerabilidades conhecidas podem ser corrigidas. Esta parte é talvez mais fácil. Contudo, é desafiador monitorar todos os tipos de patches em todos os tipos de ativos. Alguns dos últimos não gostam de patching de forma alguma, como servidores altamente carregados que precisam funcionar 24/7, e qualquer manutenção causa flutuações nas operações de negócios. Tais patches devem ser planejados adequadamente. Caso contrário, as equipes SOC podem explorar opções de patching sem tempo de inatividade (ZDP).

Casos difíceis precisam de uma abordagem única, então geralmente são tratados manualmente. No geral, a resposta a incidentes pode incluir muitas ações diferentes. Certificação em Caça de Ameaças o treinamento geralmente inclui teoria e prática sobre aqueles. Além de uma remediação eficaz, às vezes é necessário realizar a recuperação de dados. Como parte da defesa proativa contra ameaças, os membros do SOC estão aprimorando a proteção dos sistemas com base nas previsões dos Caçadores de Ameaças. Se uma ameaça for benigna, eles também podem não fazer nada a respeito.

Serviço de Caça de Ameaças

Os serviços terceirizados são bastante comuns no campo de TI, então por que não terceirizar serviços de Caça de Ameaças? Se contratar especialistas em segurança de fora for benéfico para uma estratégia de longo prazo, ajudar a aliviar um excesso de carga de trabalho da equipe interna e oferecer muito valor pelo preço negociado, então é sensato optar por isso.

Muitos fornecedores oferecem serviços de Caça de Ameaças em cima de seus softwares, como IBM, CrowdStrike, Verizon, ESET e Palo Alto Networks. Os Engenheiros de Segurança da SOC Prime oferecem auditoria SIEM com cobertura MITRE ATT&CK®. Eles podem ajudá-lo a identificar problemas de configuração, erros e fatores limitantes em vários produtos de segurança que você possa estar usando. Após a auditoria inicial, eles podem executar serviços gerenciados de segurança, como:

• limpeza de SIEM
• redução de custos de armazenamento
• ajuste de conteúdo
• filtragem de fontes de logs & roteiro
• otimização de desempenho
• alinhamento com MITRE ATT&CK®
• dimensionamento da arquitetura e otimização de custos holística
• plano de treinamento de habilidades técnicas
• aumento de tecnologia
• transformação de processos
• alinhamento de orçamento e stakeholders
• roteiro de evolução

Todas essas melhorias atuam em diferentes níveis, do operacional ao estratégico, ajudando os Caçadores de Ameaças a detectar ameaças ocultas.

Tipos de Caça de Ameaças

Os Caçadores de Ameaças reconhecem três diferentes tipos de Caça Cibernética para dividir responsabilidades e alcançar seus objetivos de forma mais eficiente. As técnicas de Caça de Ameaças podem ser as mesmas nos vários tipos de Caça de Ameaças ou diferentes, dependendo da complexidade do pipeline de segurança CI/CD.

Estruturada

A Caça de Ameaças Estruturada é baseada nos Indicadores de Ataque (IoA), que por sua vez são baseados nas Táticas, Técnicas e Procedimentos (TTP) do MITRE ATT&CK®. Este é o topo da pirâmide da dor de David Bianco. O objetivo de uma visão tão granular nas cadeias de ataque é caçar os atacantes antes que saibam disso (ou seja, causar-lhes muita dor).

Os TTPs são divertidos porque uma técnica inevitavelmente causa a outra. É como se você encontrasse Descoberta, procure por Execução. Se você encontrou Execução, procure por Persistência, e assim por diante. Se uma certa técnica foi utilizada, você certamente sabe quais fontes de dados precisa e em quais lugares você irá dentro dessas fontes. Em geral, a Caça de Ameaças Estruturada é boa para detectar explorações de dia zero quando não há indicadores certeiros.

Não estruturada

Um evento suspeito ou série de eventos pode servir como gatilhos para iniciar uma caça não estruturada. Para obter mais contexto, um Caçador de Ameaças Cibernéticas quer reunir todos os tipos de informações. O que aconteceu antes e depois do gatilho? O que mais aconteceu? Esses eventos estão correlacionados, e como? Eles querem responder a todas essas perguntas.

Observem que os indicadores de comprometimento (IoC) podem se estender muito além de URLs, nomes de domínio e endereços IP. Na verdade, muitos tipos de eventos anômalos são bastante tangíveis. Você pode obter seus identificadores via inteligência de ameaças e/ou dos logs internos.

Para a lista completa do que a inteligência de ameaças pode oferecer, verifique a lista de STIX cyber-observable objects. No que diz respeito às fontes internas, por exemplo, o Sysmon registra processos, sessões, conexões de rede, etc. Esses logs incluem GUID (identificadores únicos globais). Assim, uma regra de Caça de Ameaças bem feita pode operar com valores identificáveis que representam um comprometimento como:

• Volumes anômalos de leitura de banco de dados
• Tráfego de entrada e saída suspeito
• Alterações suspeitas em arquivos do sistema
• E muito mais

Como você verá, qualquer coisa anômala é ou muito pouco ou muito grande. Linhas de comando muito longas, strings muito curtas (ofuscadas), muitos nomes DNS com muitos números e letras, e assim por diante. Normalmente, engenheiros de segurança automatizam a detecção de tudo isso configurando bases e limites no SIEM. Então, por que causariam incômodo aos Caçadores de Ameaças, você perguntaria? Porque é surpreendente como indicadores de compromisso tão facilmente passam despercebidos. Por exemplo, nomes de domínio suspeitos passam por um servidor proxy DNS, e a equipe SOC simplesmente não os vê. Isso significa que é hora de caçar.

Para maior eficiência, os Caçadores de Ameaças podem se dividir em Níveis 1,2,3, assim como os analistas. Enquanto o primeiro grupo realiza Caça de Ameaças Cibernéticas em tempo real, o segundo explora TTPs, e o terceiro trabalha em análises avançadas com ferramentas de ML, matemática e ciência de dados. Dependendo do Modelo de Maturidade de Caça de Ameaças de uma empresa, essa tática de defesa pode ou não ser viável. Modelo de Maturidade na Caça de Ameaças, esta tática de defesa pode ou não ser viável.

Situacional

A Caça de Ameaças Situacional pode se originar de dois tipos principais de fontes: internas e externas. Fontes internas incluem coisas como avaliação regular de risco, análise Jewel in the Crown e outras considerações de sua infraestrutura única e tráfego. Fontes externas são Inteligência de Ameaças, notícias, feeds de vulnerabilidade e resultados de pesquisa.

Enquanto Inteligência de Ameaças em nível empresarial é uma fonte primária de consciência situacional de ameaças, fontes alternativas também estão em alta. Por exemplo, o Twitter é bom para saber o que está acontecendo no mundo cibernético. Confira essas contas:

• Tráfego de Malware
• Tendências de CVE
• Inteligência de Ameaças

Além do Twitter, há muitas outras fontes que valem a pena explorar. A Inteligência de Ameaças open-source reúne muitos dados interessantes que valem a pena uma caça. Além disso, novas e quentes consultas estão sempre disponíveis em um Quick Hunt módulo na plataforma SOC Prime Detection as Code. Elas não requerem preparação extensa e experiência, o que é bom para Caçadores de Ameaças juniores.

Qual é a Diferença entre Caça de Ameaças e Inteligência de Ameaças?

Em termos simples, Inteligência de Ameaças é informação útil, e Caça de Ameaças é dar sentido a essa informação. Os Caçadores de Ameaças estão procurando ativamente adversários dentro da rede de uma organização. Eles usam feeds de Inteligência de Ameaças como entrada para disparar seus processos de caçada.

Algumas plataformas de Caça de Ameaças como SOC Prime Detection as Code incluem contexto de Inteligência de Ameaças juntamente com outros tipos de funcionalidade útil, como a capacidade de descobrir e editar regras e depois implementá-las em um ambiente SIEM, EDR/XDR ou SOAR. É necessário monitorar continuamente os feeds de Inteligência de Ameaças porque eles contêm as informações mais recentes sobre as ameaças cibernéticas que foram descobertas em diferentes redes privadas e públicas.

Por que Caça de Ameaças é Importante?

Ameaças sofisticadas não são tão fáceis de detectar. Seja sobre viver da terra ou evitar detecção por meses, malwares modernos têm suas maneiras de burlar controles de segurança tradicionais. A Caça de Ameaças em segurança cibernética é importante porque melhora a visibilidade de malwares avançados e ajuda a evitar os danos que eles possam causar. A Caça de Ameaças preventiva é oficialmente sugerida pela CISA e pelo FBI.

Os Caçadores de Ameaças contribuem para a melhoria das defesas de segurança cibernética em geral porque atuam como pesquisadores de ameaças. Ao aplicar um espectro completo de conhecimento técnico e científico, os caçadores decompõem amostras de malware e estágios de cadeias de ataque para entender como funcionam. E quando tal entendimento é alcançado, torna-se possível desenvolver métodos mais sofisticados de detecção e resposta a ameaças.

Junte-se SOC Prime Detection as Code à plataforma para acessar milhares de consultas de Caça de Ameaças que antecipam os ataques mais recentes. Potencie seu pipeline SOC com regras baseadas em Sigma que são traduzidas para inúmeros formatos específicos de fornecedores e podem ser implementadas instantaneamente em um ambiente SIEM. E se você tem seu próprio conhecimento especializado, é incentivado a compartilhar seus itens de detecção em nossa iniciativa global de crowdsourcing, Threat Bounty Program, onde Engenheiros e Pesquisadores de Segurança aprimoram a defesa colaborativa e recebem pagamentos repetidos por seus esforços.