Threat Hunting e a caça as ameaças cibernéticas
De acordo com a Gartner, ainda que seja usado de forma bastante ampla por fornecedores e profissionais de segurança, o termo Threat Hunting não está bem definido no mercado.
A falta de compreensão sobre o tema, aumenta o risco de organizações terceirizarem um processo de segurança importante, e receberem um serviço que elas podem ter dificuldade de consumir, podendo até não obter os resultados desejados, o que pode deixa-las despreparadas para lidar com ameaças.
Ter capacidade de realizar Threat Hunting internas está se tornando uma necessidade para muitas organizações. Aqui estão as buscas mais comuns e como responder a incidentes.
O que realmente é Threat Hunting?
Se há uma coisa que conheço bem, são os serviços de segurança gerenciados. Portanto, posso dizer com segurança que a caça a ameaças NÃO é um serviço. Ninguém nunca disse que quero comprar algumas dessas coisas de ‘caça às ameaças’.
Os compradores de serviços de segurança devem se concentrar nos resultados, os resultados são baseados no sucesso da caça às ameaças.
Serviços que oferecem caça às ameaças como um valor agregado ou um diferencial, bem, isso é diferente. Precisamos perguntar aos nossos provedores de serviços sobre os processos que eles usam e como eles nos beneficiarão como consumidores.
Comprando um serviço de segurança baseado em inteligência? É quase certo que o fornecedor usará técnicas de caça a ameaças. Se não forem, você deve se perguntar; o que torna esse serviço muito diferente do que a tecnologia oferece sem o provedor?
Se eles disserem que sua caça à ameaça é ” automatizada “, ria nervosamente e saia lentamente da sala …
Talvez a caça às ameaças seja apenas um processo?
Este é o campo no qual me sinto bem. Na maioria dos SOCs (Centro de operações de Segurança), o processo de investigação de alertas é, na verdade, a caça de ameaças.
É verdade que muitos de nós não realizamos um trabalho complexo ao processar alertas de um SIEM ou de uma tecnologia de segurança igualmente cara.
Mas enquanto estivermos investigando, tentando; entenda o motivo do problema, identifique um caminho para a resolução e certifique-se de que respondemos, isso é caça, certo?
A ambição central de todas as equipes de operações de segurança é melhorar seus processos de caça a ameaças, só porque seu processo é imaturo ou simples, não significa que você não está caçando.
Este processo central é o motor da grande maioria das outras funções pelas quais o SOC é responsável:
- Criação de Conteúdo de Detecção
- Interpretação de Inteligência de Ameaças
- Compreensão do impacto da exposição à vulnerabilidade
- Investigação de incidentes
- Gerenciamento de resposta a incidentes
As tecnologias de segurança podem automatizar o Threat Hunting?
Tenho ouvido dois termos recentemente, “Triagem automatizada” e tecnologias de detecção que “nunca perdem nada”. Sinceramente, nunca ouvi tanto ‘bacalhau’ em toda a minha vida.
Quando comecei nas operações de SOC (Centro de operações de Segurança), havia definitivamente uma orientação para algumas coisas principais.
Torne-se mais eficiente no processo de entrega.
Seja mais preciso com detalhes de incidentes para problemas que já estávamos identificando.
Crie mais head-space para manter o SOC inovando em linha com o ritmo da equipe de desenvolvimento do invasor. Claro, havia eventos que eram binários, coisas que exigiam que fizéssemos a mesma coisa repetidamente.
Esses problemas simples e repetitivos podem ter sua identificação e resposta automatizadas, mas, na realidade, essas técnicas de ataque sairão de moda com os invasores muito rapidamente se começarem a falhar.
Os elementos de detecção e resposta podem ser automatizados, é claro. Mas e quanto ao processo pelo qual essa detecção e resposta evoluem?
Esse processo precisa de um entendimento claro da infraestrutura que você usa para operar seus negócios, quer isso signifique dados da nuvem, logs de rede ou endpoint.
É necessária uma visão interpretativa sobre o que é importante para você, o que terá o maior impacto.
Threat Hunting é um processo que orienta seu SOC a pensar fora da caixa. Isso pode realmente ser automatizado?
FONTE : Blog Gartner
