O Futuro da Detecção de Ameaças é a Comunidade
Índice:
Confiando em Fontes Públicas de Informação
Pense nisso — toda vez que abrimos um post de blog com a última análise de malware, vasculhando-o em busca dos IoCs que nossas equipes de ameaça tanto precisam, – não parece um pouco letárgico?
Dedos cruzados, nosso fornecedor de segurança favorito já fez o mesmo, e os feeds de inteligência de ameaças foram atualizados com os hashes, nomes de arquivos e endereços IP maliciosos conhecidos.
Mas não parece pelo menos um pouco estranho que não possamos sobreviver sem o trabalho altamente técnico e altamente oportunista que algumas das equipes de resposta têm a chance (um privilégio?) de executar nas últimas amostras de malware? Apenas alguns pesquisadores de segurança conseguem desconstruir um bug que, apenas 12 horas atrás, desligou metade da rede elétrica na Europa Oriental, mas todos nós precisamos dos resultados dessa análise.
Conteúdo de Detecção de Estoque Inútil
Você é ‘sortudo’ o suficiente para se lembrar de como a detecção de ameaças funcionava bem antes do CTI? Naquela época, ver o tráfego de rede para um endereço IP de CC de botnet bem conhecido era a primeira vez que sabíamos com certeza que um comprometimento ocorreu. Nem é preciso dizer que era menos do que preciso.
O conteúdo padrão do SIEM era aspiracional na melhor das hipóteses. Ainda me lembro de renomear vergonhosamente as Regras ArcSight no final dos anos 2000 de algo como ‘Host Comprometido’ para algo mais alinhado com ‘Atividade Potencialmente Suspeita’. A indústria evoluiu muito desde que os conceitos de ‘alerta’ e ‘incidente’ significavam a mesma coisa. Hoje, estamos felizes em aceitar um ‘sinal’ seguido de triagem automatizada ou até mesmo agrupamento.
O ponto principal é — as regras comportamentais de ontem geralmente falharam em entregar. Por que? A principal razão pode ser o fato de que os fornecedores de software de segurança NÃO estão, de fato, no negócio de pesquisa de ameaças. Eles estão no negócio de fazer e vender software (chocante, eu sei). Para ser justo, a maioria dos fornecedores de SIEM desenvolveu uma expertise de domínio adequada internamente, mas, na prática, a maioria do conteúdo padrão de detecção falhou em atender às necessidades do mundo real. As regras dos fornecedores foram rapidamente descartadas pelas equipes da SecOps e substituídas por regras criadas internamente.
Tentativas Fracassadas de Colaboração Comunitária
Em uma tentativa de resolver esse problema, a maioria dos fornecedores lançou seus próprios ‘portais comunitários’, onde os clientes poderiam compartilhar seus ‘casos de uso’. De ArcSight Protect247 a SplunkBase, a ideia de usuários se unindo como uma comunidade e contribuindo com seus últimos e melhores casos parecia atraente, senão obviamente clara.
Infelizmente, pode-se dizer com confiança que, até hoje, nenhuma dessas tentativas foi bem-sucedida. Sei por experiência própria que crescer uma comunidade a partir do zero é extremamente difícil (alguém se lembra do @SIEMguru?). Mas talvez o mais importante, parafraseando Jon Stewart, a ‘vida útil’ do conteúdo de detecção de ameaças é semelhante à de um sanduíche de ovo. E sem cuidados genuinamente motivados, é quase impossível manter novas regras fluindo.
Também não ajuda o fato de que esses esforços são específicos do fornecedor. Então, enquanto os usuários do QRadar estavam criando regras para o Mimikatz, seus colegas usando o Elastic tinham que fazer o mesmo, mas com uma sintaxe diferente. Levou os padrões de Sigma de Florian Roth e Thomas Patzke para finalmente formalizar as regras de detecção em todas as plataformas SIEM e EDR/XDR.
A Abordagem Certa
Admitidamente, o padrão Sigma não é perfeito. Suportar a tradução de regras para todas as linguagens de consulta de detecção é simplesmente irrealista. Mas, novamente, talvez corresponder inversamente as detecções to um padrão comum não seja tão importante. Se os pesquisadores de cibersegurança puderem adotar o Sigma para regras de detecção de ameaças comportamentais, torná-las disponíveis uma vez, e então serem capazes de traduzir automaticamente regras e consultas com precisão para a sintaxe adequada, então por que não? Os benefícios dessa abordagem são óbvios — independentemente da tecnologia, sua equipe interna de detecção de ameaças acaba de ganhar um novo superpoder.
E por mais legal que o Sigma seja, foi preciso o Threat Detection Marketplace de código aberto e neutro em termos de fornecedor da SOC Prime para alinhar finalmente as estrelas em análises comportamentais. E hoje, qualquer profissional de cibersegurança no mundo pode se beneficiar dos resultados do trabalho dos melhores pesquisadores, assim que for publicado. Esse é o poder da comunidade global, e é por isso que a detecção comportamental de ameaças finalmente está no ponto de ser uma capacidade indispensável no arsenal de qualquer defensor cibernético.
