{"id":10527,"date":"2018-07-20T18:27:14","date_gmt":"2018-07-20T21:27:14","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10527"},"modified":"2020-05-19T18:15:19","modified_gmt":"2020-05-19T21:15:19","slug":"threat-hunting-rsa-2018","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/threat-hunting-rsa-2018\/10527\/","title":{"rendered":"Busca de amea\u00e7as: quando fazer e por quem deve ser feita"},"content":{"rendered":"<p>Um dos principais temas da RSA 2018 foi a busca de amea\u00e7as. Os especialistas concordam que essa \u00e9 uma pr\u00e1tica necess\u00e1ria para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente \u00e9 \u2013 e quais t\u00e9cnicas compreende. Ao indicar a utiliza\u00e7\u00e3o do livro <em>How to Hunt for Security Threats (Como procurar por amea\u00e7as de seguran\u00e7a)<\/em>, formalizam a conceitua\u00e7\u00e3o da atividade como um processo centrado no analista que permite que organiza\u00e7\u00f5es descubram amea\u00e7as avan\u00e7adas ocultas que n\u00e3o tenham sido identificadas pelos controles de preven\u00e7\u00e3o e detec\u00e7\u00e3o automatizados.<br>\nCom base nessa defini\u00e7\u00e3o, a busca de amea\u00e7as deveria ser realizada por um especialista em ciberseguran\u00e7a; o processo n\u00e3o pode ser automatizado. No entanto, ap\u00f3s a procura por anomalias feita pelos peritos, esses resultados contribuir\u00e3o para o aprimoramento dos sistemas de detec\u00e7\u00e3o autom\u00e1ticos, que aprendem a rastrear cen\u00e1rios de perigos que antes exigiam um olhar humano.<\/p>\n<h3>Quando buscar?<\/h3>\n<p>Para os especialistas, a pergunta \u201ch\u00e1 advers\u00e1rios em sua rede?\u201d n\u00e3o importa, porque certamente eles existem. Basicamente, querem dizer que voc\u00ea j\u00e1 deveria estar ca\u00e7ando. Esperamos que isso n\u00e3o seja sempre verdade, o que n\u00e3o significa que voc\u00ea n\u00e3o deveria procurar \u2013 especialmente se tiver uma enorme infraestrutura corporativa distribu\u00edda.<\/p>\n<p>Entretanto, a busca de amea\u00e7as \u00e9 uma pr\u00e1tica de seguran\u00e7a avan\u00e7ada que requer alguns recursos e um certo n\u00edvel de sistemas de seguran\u00e7a. \u00c9 por isso que, se tiver que escolher entre organizar um processo de busca de amea\u00e7as e empregar um sistema maduro de detec\u00e7\u00e3o e resposta, voc\u00ea definitivamente deve escolher o segundo.<\/p>\n<p>Sistemas maduros de detec\u00e7\u00e3o e resposta n\u00e3o apenas permitem que voc\u00ea tire do escopo da busca de amea\u00e7as as pequenas e menos perigosas, como tamb\u00e9m fornecem informa\u00e7\u00f5es muito mais \u00fateis para quem est\u00e1 ca\u00e7ando.<\/p>\n<blockquote class=\"wp-embedded-content\" data-secret=\"qmJulG5Zjn\"><p><a href=\"https:\/\/www.kaspersky.com.br\/blog\/endpoint-security-evolution\/10251\/\" target=\"_blank\" rel=\"noopener\">Sua empresa est\u00e1 preparada para as amea\u00e7as sofisticadas?<\/a><\/p><\/blockquote>\n<p><iframe class=\"wp-embedded-content\" sandbox=\"allow-scripts\" security=\"restricted\" style=\"position: absolute; clip: rect(1px, 1px, 1px, 1px);\" title=\"\u201cSua empresa est\u00e1 preparada para as amea\u00e7as sofisticadas?\u201d \u2014 Daily - Portuguese - Brasil - www.kaspersky.com.br\/blog\" src=\"https:\/\/www.kaspersky.com.br\/blog\/endpoint-security-evolution\/10251\/embed\/#?secret=E6wJ0Lda6r#?secret=qmJulG5Zjn\" data-secret=\"qmJulG5Zjn\" width=\"500\" height=\"282\" frameborder=\"0\" marginwidth=\"0\" marginheight=\"0\" scrolling=\"no\"><\/iframe><\/p>\n<h3>Quem deveria buscar?<\/h3>\n<p>A principal quest\u00e3o aqui \u00e9 se o ca\u00e7ador deve ser um especialista interno ou externo. Cada op\u00e7\u00e3o tem seus pr\u00f3s e contras. Um perito interno possui um conhecimento \u00fanico sobre a arquitetura de rede local e suas especificidades, j\u00e1 um profissional de ciberseguran\u00e7a externo tem uma vasta sabedoria sobre o cen\u00e1rio de amea\u00e7as, mas vai precisar de algum tempo para conhecer a infraestrutura local. Ambos os aspectos s\u00e3o importantes. Em um mundo ideal, voc\u00ea deve alternar entre os dois (se permitido, \u00e9 claro \u2013 e se j\u00e1 tiver um especialista interno).<\/p>\n<p>Grande parte das redes corporativas se parece uma com a outra, at\u00e9 certo ponto. \u00c9 claro, existem exce\u00e7\u00f5es, mas s\u00e3o raras. Um profissional externo que realize buscas de amea\u00e7as regularmente para v\u00e1rias organiza\u00e7\u00f5es ficar\u00e1 \u00e0 vontade com as pequenas varia\u00e7\u00f5es de uma empresa para outra.<\/p>\n<p>Outro ponto dessa quest\u00e3o para os candidatos internos \u00e9 que a busca constante por amea\u00e7as traz uma boa dose de t\u00e9dio para os seus dias. Analisar logs para descobrir onde est\u00e1 escondido um processo contradit\u00f3rio \u00e9 uma ocupa\u00e7\u00e3o mon\u00f3tona que vai desgastar at\u00e9 os profissionais de TI mais entusiasmados. Ent\u00e3o, \u00e9 interessante alternar especialistas do seu centro de opera\u00e7\u00f5es de seguran\u00e7a, ao inv\u00e9s de ter um \u00fanico ca\u00e7ador de amea\u00e7as.<\/p>\n<p>Quanto \u00e0s qualidades pessoais do candidato, procure algu\u00e9m atento, paciente e com experi\u00eancia em ciberamea\u00e7as. Contudo, intui\u00e7\u00e3o tamb\u00e9m \u00e9 muito importante. Pode ser complicado encontrar essa pessoa, j\u00e1 que a intui\u00e7\u00e3o n\u00e3o pode ser medida e raramente aparece nos curr\u00edculos.<\/p>\n<p>Para o caso de um profissional externo, podemos oferecer os servi\u00e7os dos nossos pr\u00f3prios especialistas em busca de amea\u00e7as. Eles podem explorar sua infraestrutura para identificar quaisquer sinais presentes ou hist\u00f3ricos de comprometimento, ou providenciar o monitoramento 24 horas por dia e a an\u00e1lise cont\u00ednua dos seus dados de ciberamea\u00e7as. Para saber mais sobre os <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/cybersecurity-services\" target=\"_blank\" rel=\"noopener\">servi\u00e7os de Busca de Amea\u00e7as da Kaspersky, visite essa p\u00e1gina<\/a>.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-gartner\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Algumas ideias sobre como localizar ciberamea\u00e7as em infraestruturas corporativas<\/p>\n","protected":false},"author":700,"featured_media":10528,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1656],"tags":[1503,1569,1185,1570,676,1549],"class_list":{"0":"post-10527","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-smb","10":"tag-klrsac18","11":"tag-busca-de-ameacas","12":"tag-business","13":"tag-expertise","14":"tag-rsa","15":"tag-rsa2018"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/threat-hunting-rsa-2018\/10527\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/threat-hunting-rsa-2018\/13178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/threat-hunting-rsa-2018\/15939\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/threat-hunting-rsa-2018\/15526\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/threat-hunting-rsa-2018\/22131\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/threat-hunting-rsa-2018\/10355\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/threat-hunting-rsa-2018\/16506\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/threat-hunting-rsa-2018\/9637\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/threat-hunting-rsa-2018\/20219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10527","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=10527"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10527\/revisions"}],"predecessor-version":[{"id":15240,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/10527\/revisions\/15240"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/10528"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=10527"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=10527"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=10527"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}