A caça a ameaças ajuda as organizações a evitar ataques, analisando o comportamento dos invasores e identificando possíveis ameaças.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Inteligência contra ameaças
Defesa em profundidade
Vetor de ataque
Centro de operações de segurança (SOC)
Top 10 de Segurança para APIs do OWASP
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
A caça a ameaças é um termo guarda-chuva para as técnicas e ferramentas que as organizações utilizam para identificar ameaças cibernéticas. Enquanto a caça a ameaças tradicional foi um processo de investigação manual que contou com a experiência de um analista de segurança, em vez de ferramentas automatizadas, a caça a ameaças moderna depende de uma combinação das duas.
Muitas vezes, a "caça a ameaças" se refere a detecção de ameaças proativa , durante a qual as organizações avaliam antecipadamente sua rede em busca de sinais de atividade maliciosa interna ou investigam a infraestrutura do invasor que existe fora dela.Com menos frequência, o termo também descreve a detecção de ameaças reativa, durante a qual as organizações analisam sua própria infraestrutura em busca de pontos fracos após uma violação de dados ou ataque similar.
Durante o processo de caça a ameaças, as organizações buscam indicadores de ataque (IoA)* para determinar a intenção e o comportamento de possíveis invasores. Uma IoA é uma ação ou série de ações que um invasor deve realizar para completar o ataque com sucesso, por exemplo, enganar um alvo para abrir um e-mail de phishing, fazendo com que ele clique em um link malicioso, execute um download de malware e assim por diante. A compreensão das táticas e procedimentos específicos de um invasor pode ajudar as organizações a criar uma defesa mais proativa contra ameaças.
Um indicador de comprometimento (IoC) é uma evidência de atividade maliciosa: uma anomalia no tráfego da rede, logins suspeitos, atualizações inesperadas nas contas ou arquivos em nível de administrador, ou outros sinais de que uma organização tenha sido violada. Os IoCs são componentes úteis dos processos de caça a ameaças reativos, pois normalmente indicam que uma organização já foi comprometida.
*Isto também é referido como tática, técnicas e procedimentos (TTPs) de um invasor .
Os procedimentos de caça a ameaças variam com base nas necessidades de uma organização e nas capacidades de sua equipe de segurança, mas geralmente se enquadram em uma das três categorias: caça estruturada, caça não estruturada, ou caça situacional.
Para visualizar a diferença entre esses processos, imagine que o Bob está tentando identificar aves usando três técnicas diferentes de observação de aves. Uma metodologia pode exigir muito planejamento: análise dos padrões de migração de uma ave, rituais de acasalamento, horários de alimentação e quaisquer fatores comportamentais adicionais que possam ajudar a restringir onde e quando é possível a ave ser avistada. Isto é semelhante à caça estruturada, que se concentra em descobrir as táticas e comportamentos conhecidos de um invasor.
Usando outra metodologia, o Bob pode visitar uma floresta e procurar ninhos, excrementos ou outras evidências físicas da presença de uma ave. Isto é semelhante à caça não estruturada, que muitas vezes é acionada quando um IoC é detectado.
Uma terceira metodologia pode exigir que o Bob priorize o rastreamento de aves ameaçadas de extinção em relação às espécies mais comuns, e depois adapte sua abordagem à ave específica que ele está tentando identificar. Isto é semelhante à caça situacional, que utiliza uma estratégia personalizada para identificar ameaças a alvos de alto risco.
O processo tradicional de caça a ameaças dependia dos analistas de segurança para examinar manualmente a rede, infraestrutura e sistemas de uma organização, depois criar e testar hipóteses para detectar ameaças externas e internas (como uma violação de dados ou movimento lateral malicioso).
A caça a ameaças moderna, por comparação, usa ferramentas de segurança cibernética para ajudar a automatizar e agilizar o processo de investigação. Algumas das ferramentas mais comuns incluem:
A caça a ameaças é o processo de descobrir e analisar o comportamento de invasores, evidências de ataques cibernéticos, ou outras possíveis ameaças enfrentadas por uma organização. O objetivo da caça a ameaças não é apenas descobrir vulnerabilidades dentro da infraestrutura de uma organização, mas detectar ameaças e ataques que ainda não foram realizados.
Em contraste, a inteligência contra ameaças é um conjunto de dados sobre ataques cibernéticos, tanto possíveis ameaças como ataques que já ocorreram. Muitas vezes, esses dados são compilados em um feed de inteligência contra ameaças, que as organizações podem usar para atualizar seus processos de caça a ameaças e procedimentos de segurança.
Em resumo, a caça a ameaças é semelhante à realização de uma investigação de cena de crime, enquanto a inteligência contra ameaças é a evidência que é coletada na cena do crime.
Para saber mais sobre as categorias e objetivos da inteligência contra ameaças, consulte O que é inteligência contra ameaças?
A Central de Segurança da Cloudflare oferece recursos de investigação de ameaças projetados para ajudar as equipes de segurança a identificar, rastrear e mitigar possíveis ataques a partir de uma interface única e unificada. Dentro do portal de investigação de ameaças, os usuários podem consultar endereços de IP específicos, hostnames e sistemas autônomos (AS) para identificar a origem das ameaças emergentes.
Saiba mais sobre a Central de Segurança da Cloudflare.