Busca de ameaças: quando fazer e por quem deve ser feita

Algumas ideias sobre como localizar ciberameaças em infraestruturas corporativas

Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é – e quais técnicas compreende. Ao indicar a utilização do livro How to Hunt for Security Threats (Como procurar por ameaças de segurança), formalizam a conceituação da atividade como um processo centrado no analista que permite que organizações descubram ameaças avançadas ocultas que não tenham sido identificadas pelos controles de prevenção e detecção automatizados.
Com base nessa definição, a busca de ameaças deveria ser realizada por um especialista em cibersegurança; o processo não pode ser automatizado. No entanto, após a procura por anomalias feita pelos peritos, esses resultados contribuirão para o aprimoramento dos sistemas de detecção automáticos, que aprendem a rastrear cenários de perigos que antes exigiam um olhar humano.

Quando buscar?

Para os especialistas, a pergunta “há adversários em sua rede?” não importa, porque certamente eles existem. Basicamente, querem dizer que você já deveria estar caçando. Esperamos que isso não seja sempre verdade, o que não significa que você não deveria procurar – especialmente se tiver uma enorme infraestrutura corporativa distribuída.

Entretanto, a busca de ameaças é uma prática de segurança avançada que requer alguns recursos e um certo nível de sistemas de segurança. É por isso que, se tiver que escolher entre organizar um processo de busca de ameaças e empregar um sistema maduro de detecção e resposta, você definitivamente deve escolher o segundo.

Sistemas maduros de detecção e resposta não apenas permitem que você tire do escopo da busca de ameaças as pequenas e menos perigosas, como também fornecem informações muito mais úteis para quem está caçando.

Sua empresa está preparada para as ameaças sofisticadas?

Quem deveria buscar?

A principal questão aqui é se o caçador deve ser um especialista interno ou externo. Cada opção tem seus prós e contras. Um perito interno possui um conhecimento único sobre a arquitetura de rede local e suas especificidades, já um profissional de cibersegurança externo tem uma vasta sabedoria sobre o cenário de ameaças, mas vai precisar de algum tempo para conhecer a infraestrutura local. Ambos os aspectos são importantes. Em um mundo ideal, você deve alternar entre os dois (se permitido, é claro – e se já tiver um especialista interno).

Grande parte das redes corporativas se parece uma com a outra, até certo ponto. É claro, existem exceções, mas são raras. Um profissional externo que realize buscas de ameaças regularmente para várias organizações ficará à vontade com as pequenas variações de uma empresa para outra.

Outro ponto dessa questão para os candidatos internos é que a busca constante por ameaças traz uma boa dose de tédio para os seus dias. Analisar logs para descobrir onde está escondido um processo contraditório é uma ocupação monótona que vai desgastar até os profissionais de TI mais entusiasmados. Então, é interessante alternar especialistas do seu centro de operações de segurança, ao invés de ter um único caçador de ameaças.

Quanto às qualidades pessoais do candidato, procure alguém atento, paciente e com experiência em ciberameaças. Contudo, intuição também é muito importante. Pode ser complicado encontrar essa pessoa, já que a intuição não pode ser medida e raramente aparece nos currículos.

Para o caso de um profissional externo, podemos oferecer os serviços dos nossos próprios especialistas em busca de ameaças. Eles podem explorar sua infraestrutura para identificar quaisquer sinais presentes ou históricos de comprometimento, ou providenciar o monitoramento 24 horas por dia e a análise contínua dos seus dados de ciberameaças. Para saber mais sobre os serviços de Busca de Ameaças da Kaspersky, visite essa página.

Dicas