{"id":18317,"date":"2021-10-21T08:30:04","date_gmt":"2021-10-21T11:30:04","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18317"},"modified":"2021-10-25T07:27:23","modified_gmt":"2021-10-25T10:27:23","slug":"ask-the-analyst","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/ask-the-analyst\/18317\/","title":{"rendered":"Pergunte aos especialistas da Kaspersky"},"content":{"rendered":"

Frequentemente, os funcion\u00e1rios dos centros de opera\u00e7\u00e3o de seguran\u00e7a e departamentos de seguran\u00e7a da informa\u00e7\u00e3o procuram os experts da Kaspersky para obter ajuda especializada. Analisamos os motivos mais comuns para essas solicita\u00e7\u00f5es e criamos um servi\u00e7o personalizado que auxilia o cliente a fazer perguntas diretamente a um especialista na \u00e1rea que deseja.<\/p>\n

Por que voc\u00ea pode precisar de ajuda especializada<\/h2>\n

A amea\u00e7a de ciberataques est\u00e1 crescendo o tempo todo, \u00e0 medida que os criminosos encontram cada vez mais maneiras de atingir seus objetivos, descobrindo novas vulnerabilidades de hardware e software em aplicativos, servidores, gateways VPN e sistemas operacionais e os transformando imediatamente em armas. Centenas de milhares de novas amostras de malware surgem todos os dias, e uma ampla variedade de organiza\u00e7\u00f5es, incluindo grandes corpora\u00e7\u00f5es e at\u00e9 ag\u00eancias governamentais, s\u00e3o v\u00edtimas de ataques de ransomware. Al\u00e9m disso, novas amea\u00e7as sofisticadas e golpes de APT tamb\u00e9m s\u00e3o descobertas regularmente.<\/p>\n

Nesse cen\u00e1rio, o threat intelligence<\/a> (ou a intelig\u00eancia de amea\u00e7as em tradu\u00e7\u00e3o livre) desempenha um papel vital. Somente com informa\u00e7\u00f5es oportunas sobre as ferramentas e t\u00e1ticas dos atacantes, \u00e9 poss\u00edvel construir um sistema de prote\u00e7\u00e3o adequado e, no caso de um incidente, conduzir uma investiga\u00e7\u00e3o eficaz, detectar intrusos na rede, retir\u00e1-los e determinar o vetor do ataque prim\u00e1rio para evitar uma repeti\u00e7\u00e3o.<\/p>\n

Implementar intelig\u00eancia de amea\u00e7as em uma determinada organiza\u00e7\u00e3o requer um especialista interno qualificado que possa usar os dados do provedor na pr\u00e1tica. Esse especialista, portanto, torna-se o ativo mais valioso em qualquer investiga\u00e7\u00e3o. No entanto, contratar, treinar e manter analistas de seguran\u00e7a cibern\u00e9tica \u00e9 caro e nem todas as empresas podem manter uma equipe de especialistas.<\/p>\n

Perguntas frequentes<\/h2>\n

V\u00e1rios departamentos da Kaspersky ajudam os clientes a lidar com incidentes cibern\u00e9ticos. Resumidamente, eles s\u00e3o a Equipe Global de Pesquisa e An\u00e1lise (GReAT, sigla em ingl\u00eas), a Equipe Global de Resposta a Emerg\u00eancias (GERT, sigla em ingl\u00eas) e a Equipe de Pesquisa de Amea\u00e7as Kaspersky. Ao todo, reunimos mais de 250 analistas e especialistas de classe mundial. As equipes recebem regularmente muitas solicita\u00e7\u00f5es de clientes relacionadas \u00e0s ciberamea\u00e7as. Depois de analisar os pedidos recentes, identificamos as seguintes categorias.<\/p>\n

An\u00e1lise de malware ou software suspeito<\/h3>\n

Um cen\u00e1rio que encontramos com bastante frequ\u00eancia envolve o acionamento da l\u00f3gica de detec\u00e7\u00e3o na seguran\u00e7a do endpoint ou nas regras de ca\u00e7a a amea\u00e7as<\/a>. O servi\u00e7o de seguran\u00e7a da empresa ou o security operations center (SOC, sigla em ingl\u00eas) investiga o alerta, encontra um objeto malicioso ou suspeito, mas n\u00e3o tem os recursos para conduzir um estudo detalhado. A empresa ent\u00e3o pede a nossos especialistas para determinar a funcionalidade do objeto detectado, qu\u00e3o perigoso ele \u00e9 e como garantir que o incidente seja resolvido ap\u00f3s sua remo\u00e7\u00e3o.<\/p>\n

Se nossos especialistas puderem identificar rapidamente o que o cliente enviou (temos uma base de conhecimento gigantesca de ferramentas t\u00edpicas de invasores e mais de um bilh\u00e3o de amostras exclusivas de malware), eles responder\u00e3o imediatamente. Caso contr\u00e1rio, nossos analistas precisam investigar e, em casos complexos, isso pode demorar um pouco.<\/p>\n

Informa\u00e7\u00f5es adicionais sobre indicadores de comprometimento<\/h3>\n

A maioria das empresas usa uma variedade de fontes para indicadores de comprometimento (IoCs, sigla em ingl\u00eas). O valor dos IoCs reside em grande parte na disponibilidade de contexto \u2013 ou seja, informa\u00e7\u00f5es adicionais sobre o indicador e seu significado. No entanto, esse contexto nem sempre est\u00e1 dispon\u00edvel. Portanto, tendo detectado um determinado IoC no sistema SIEM, por exemplo, os analistas do SOC podem ver a presen\u00e7a de um gatilho e perceber que um incidente \u00e9 poss\u00edvel, mas n\u00e3o t\u00eam as informa\u00e7\u00f5es para investigar mais.<\/p>\n

Nesses casos, eles podem nos enviar uma solicita\u00e7\u00e3o para fornecer informa\u00e7\u00f5es sobre o IoC detectado e, em muitos casos, esses IoCs tornam-se interessantes. Por exemplo, certa vez recebemos um endere\u00e7o IP que foi encontrado no feed de tr\u00e1fego de uma empresa (ou seja, acessado da rede corporativa). Entre as coisas hospedadas no endere\u00e7o estava um servidor de gerenciamento de software chamado Cobalt Strike, uma poderosa ferramenta de administra\u00e7\u00e3o remota (ou, simplesmente, uma backdoor), que todos os tipos de cibercriminosos usam. Sua detec\u00e7\u00e3o quase certamente significa que a empresa j\u00e1 est\u00e1 sob ataque (real ou em treinamento). Nossos especialistas forneceram informa\u00e7\u00f5es adicionais sobre a ferramenta e recomendaram o in\u00edcio imediato da resposta a incidentes (IR, sigla em ingl\u00eas) para neutralizar a amea\u00e7a e determinar a causa raiz do comprometimento.<\/p>\n

Solicita\u00e7\u00e3o de dados sobre t\u00e1ticas, t\u00e9cnicas e procedimentos<\/h3>\n

Os IoCs n\u00e3o s\u00e3o, de forma alguma, tudo o que uma empresa precisa para impedir um ataque ou investigar um incidente. Uma vez que o grupo cibercriminoso por tr\u00e1s do ataque tenha sido determinado, os analistas do SOC normalmente exigem dados sobre as t\u00e1ticas, t\u00e9cnicas e procedimentos (TTPs) do grupo; eles precisam de descri\u00e7\u00f5es detalhadas do modus operandi do grupo para ajudar a determinar onde e como os invasores podem ter penetrado na infraestrutura, as informa\u00e7\u00f5es sobre os m\u00e9todos que os invasores normalmente usam para se enraizar na rede, bem como sobre como eles exfiltram dados. Fornecemos essas informa\u00e7\u00f5es como parte de nosso servi\u00e7o de Relat\u00f3rio de Intelig\u00eancia de Amea\u00e7as.<\/p>\n

Os m\u00e9todos dos cibercriminosos, mesmo dentro do mesmo grupo, podem ser muito diversos, e descrever todos os detalhes poss\u00edveis n\u00e3o \u00e9 vi\u00e1vel, mesmo em um relat\u00f3rio altamente detalhado. Portanto, os clientes de TI que usam nossos relat\u00f3rios de APT e de amea\u00e7as de crimeware \u00e0s vezes nos solicitam informa\u00e7\u00f5es adicionais sobre um aspecto espec\u00edfico de uma t\u00e9cnica de ataque em um contexto espec\u00edfico de relev\u00e2ncia para o cliente.<\/p>\n

Temos fornecido esse tipo de resposta, e muitas outras, por meio de servi\u00e7os especiais ou dentro da estrutura limitada de suporte t\u00e9cnico. No entanto, observando um aumento no n\u00famero de solicita\u00e7\u00f5es e entendendo o valor da experi\u00eancia e conhecimento de nossas unidades de pesquisa, decidimos lan\u00e7ar um servi\u00e7o dedicado chamado Kaspersky Ask the Analyst, oferecendo acesso r\u00e1pido a nossa consultoria especializada por meio de um \u00fanico ponto de entrada.<\/p>\n

Kaspersky Ask the Analyst<\/h2>\n

Nosso novo servi\u00e7o permite que os representantes dos clientes (principalmente analistas do SOC e funcion\u00e1rios da infosec) obtenham conselhos dos especialistas da Kaspersky, reduzindo assim seus custos de investiga\u00e7\u00e3o. Compreendemos a import\u00e2ncia de informa\u00e7\u00f5es recentes e assertivsas sobre amea\u00e7as; portanto, temos um SLA em vigor para todos os tipos de solicita\u00e7\u00f5es. Com o Kaspersky Ask the Analyst, os especialistas em infosec podem:<\/p>\n