O que é a caça a ameaças?

A caça a ameaças ajuda as organizações a evitar ataques, analisando o comportamento dos invasores e identificando possíveis ameaças.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "caça a ameaças".
  • Comparar modelos comuns de caça a ameaças
  • Comparar caça a ameaças e inteligência contra ameaças

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é a caça a ameaças?

A caça a ameaças é um termo guarda-chuva para as técnicas e ferramentas que as organizações utilizam para identificar ameaças cibernéticas. Enquanto a caça a ameaças tradicional foi um processo de investigação manual que contou com a experiência de um analista de segurança, em vez de ferramentas automatizadas, a caça a ameaças moderna depende de uma combinação das duas.

Muitas vezes, a "caça a ameaças" se refere a detecção de ameaças proativa , durante a qual as organizações avaliam antecipadamente sua rede em busca de sinais de atividade maliciosa interna ou investigam a infraestrutura do invasor que existe fora dela.Com menos frequência, o termo também descreve a detecção de ameaças reativa, durante a qual as organizações analisam sua própria infraestrutura em busca de pontos fracos após uma violação de dados ou ataque similar.

O que é um indicador de ataque (IoA)?

Durante o processo de caça a ameaças, as organizações buscam indicadores de ataque (IoA)* para determinar a intenção e o comportamento de possíveis invasores. Uma IoA é uma ação ou série de ações que um invasor deve realizar para completar o ataque com sucesso, por exemplo, enganar um alvo para abrir um e-mail de phishing, fazendo com que ele clique em um link malicioso, execute um download de malware e assim por diante. A compreensão das táticas e procedimentos específicos de um invasor pode ajudar as organizações a criar uma defesa mais proativa contra ameaças.

Um indicador de comprometimento (IoC) é uma evidência de atividade maliciosa: uma anomalia no tráfego da rede, logins suspeitos, atualizações inesperadas nas contas ou arquivos em nível de administrador, ou outros sinais de que uma organização tenha sido violada. Os IoCs são componentes úteis dos processos de caça a ameaças reativos, pois normalmente indicam que uma organização já foi comprometida.

*Isto também é referido como tática, técnicas e procedimentos (TTPs) de um invasor .

Como funciona a caça a ameaças?

Os procedimentos de caça a ameaças variam com base nas necessidades de uma organização e nas capacidades de sua equipe de segurança, mas geralmente se enquadram em uma das três categorias: caça estruturada, caça não estruturada, ou caça situacional.

  1. A caça estruturada identifica e analisa comportamentos e táticas específicas do invasor, ou IoA.Ela usa um modelo de caça baseado em hipóteses, no qual uma hipótese é criada de acordo com um manual de caça a ameaças (por exemplo, a estrutura MITRE ATT&CK).O objetivo principal de uma caça estruturada é identificar proativamente o comportamento de um invasor antes que um ataque contra uma organização seja realizado.
  2. A caça não estruturada é desencadeada pela descoberta de um IoC, em outras palavras, evidência de atividade maliciosa, que pode indicar um ataque recente ou passado no qual alguma parte da organização foi comprometida.Uma caça não estruturada utiliza um modelo de caça reativo e baseado em informações que examina endereços de IP, nomes de domínio, valores de hash e outros dados fornecidos por plataformas de compartilhamento de inteligência.Seu objetivo principal é investigar as vulnerabilidades existentes na infraestrutura e nos sistemas de uma organização.
  3. A caça situacional, também chamada caça dirigida por entidades, concentra-se em sistemas, ativos, contas ou dados específicos que estão em risco de comprometimento.Por exemplo, uma conta com privilégios administrativos pode estar sob maior risco de um ataque cibernético em comparação com uma conta com menos privilégios, já que a conta anterior pode ter acesso a dados e sistemas mais confidenciais.Uma caça situacional usa um modelo de caça a ameaças personalizado que pode ser adaptado às necessidades de uma organização, uma vez que seu objetivo principal é proteger alvos de alto risco e compreender que ameaças eles provavelmente enfrentarão, em vez de examinar IoAs ou IoCs em toda uma organização.

Para visualizar a diferença entre esses processos, imagine que o Bob está tentando identificar aves usando três técnicas diferentes de observação de aves. Uma metodologia pode exigir muito planejamento: análise dos padrões de migração de uma ave, rituais de acasalamento, horários de alimentação e quaisquer fatores comportamentais adicionais que possam ajudar a restringir onde e quando é possível a ave ser avistada. Isto é semelhante à caça estruturada, que se concentra em descobrir as táticas e comportamentos conhecidos de um invasor.

Usando outra metodologia, o Bob pode visitar uma floresta e procurar ninhos, excrementos ou outras evidências físicas da presença de uma ave. Isto é semelhante à caça não estruturada, que muitas vezes é acionada quando um IoC é detectado.

Uma terceira metodologia pode exigir que o Bob priorize o rastreamento de aves ameaçadas de extinção em relação às espécies mais comuns, e depois adapte sua abordagem à ave específica que ele está tentando identificar. Isto é semelhante à caça situacional, que utiliza uma estratégia personalizada para identificar ameaças a alvos de alto risco.

Tipos de ferramentas de caça a ameaças

O processo tradicional de caça a ameaças dependia dos analistas de segurança para examinar manualmente a rede, infraestrutura e sistemas de uma organização, depois criar e testar hipóteses para detectar ameaças externas e internas (como uma violação de dados ou movimento lateral malicioso).

A caça a ameaças moderna, por comparação, usa ferramentas de segurança cibernética para ajudar a automatizar e agilizar o processo de investigação. Algumas das ferramentas mais comuns incluem:

  • Gerenciamento de informações de segurança e eventos (SIEM): é uma solução de segurança que fornece agregação de dados de log, monitoramento de alertas, análise de incidentes de segurança, relatórios de conformidade, entre outros recursos.
  • Detecção e resposta gerenciadas (MDR): é um tipo de centro de operações de segurança gerenciado (SOC) que rastreia a atividade da rede, cria alertas, investiga possíveis ameaças, remove falsos positivos dos alertas, oferece análises de dados avançadas e ajuda a remediar incidentes de segurança.
  • A análise de comportamento de usuários e entidades (UEBA) é um serviço de segurança que agrega dados de usuários e endpoints, estabelece uma linha de base de comportamento normal e detecta e analisa anomalias em todos os sistemas de uma organização.

Caça a ameaças versus inteligência contra ameaças

A caça a ameaças é o processo de descobrir e analisar o comportamento de invasores, evidências de ataques cibernéticos, ou outras possíveis ameaças enfrentadas por uma organização. O objetivo da caça a ameaças não é apenas descobrir vulnerabilidades dentro da infraestrutura de uma organização, mas detectar ameaças e ataques que ainda não foram realizados.

Em contraste, a inteligência contra ameaças é um conjunto de dados sobre ataques cibernéticos, tanto possíveis ameaças como ataques que já ocorreram. Muitas vezes, esses dados são compilados em um feed de inteligência contra ameaças, que as organizações podem usar para atualizar seus processos de caça a ameaças e procedimentos de segurança.

Em resumo, a caça a ameaças é semelhante à realização de uma investigação de cena de crime, enquanto a inteligência contra ameaças é a evidência que é coletada na cena do crime.

Para saber mais sobre as categorias e objetivos da inteligência contra ameaças, consulte O que é inteligência contra ameaças?

A Cloudflare fornece serviços de caça a ameaças?

A Central de Segurança da Cloudflare oferece recursos de investigação de ameaças projetados para ajudar as equipes de segurança a identificar, rastrear e mitigar possíveis ataques a partir de uma interface única e unificada. Dentro do portal de investigação de ameaças, os usuários podem consultar endereços de IP específicos, hostnames e sistemas autônomos (AS) para identificar a origem das ameaças emergentes.

Saiba mais sobre a Central de Segurança da Cloudflare.