Ações proativas de Threat Hunting conduzidas por especialistas em segurança cibernética podem gerar grandes benefícios para sua empresa. Veja como esse tipo de serviço funciona.

No cenário de segurança cibernética de hoje, se você confia unicamente em medidas preventivas, você não está seguro. É a triste realidade. Uma enorme parte das ameaças são bloqueadas por antivírus ou dispositivos de Firewall ou IDS, mas aquelas poucas que não são bloqueadas acabam se provando as mais perigosas.

Elas são as ameaças conduzidas por hackers especializados que têm um alvo claro (você) e todas as ferramentas, métodos e recursos que precisam. Para piorar, algumas ameaças sequer precisam se infiltrar, porque elas já estão dentro do ambiente (Insider Threats). Então, como se proteger delas?

A resposta é caçar e neutralizar proativamente esses atores maliciosos, um processo chamado Cyber Threat Hunting.

Essa atividade pode ser realizada pelo seu próprio time com tecnologias avançadas de segurança cibernética. Ou ainda, para compensar a falta de ambos (um desafio que a maioria das empresas enfrenta hoje), ela pode ser contratada como serviço.

Neste artigo, focaremos em Threat Hunting como serviço, também conhecido no mercado como Serviço Gerenciado de Detecção e Resposta (em inglês Managed Detection and Response – MDR), e em como esse tipo de contrato ajuda a proteger sua organização.

Definição, benefícios e métodos de serviços de Threat Hunting

O objetivo de uma ação de Threat Hunting é revelar ameaças cibernéticas que evadiram ferramentas comuns de segurança.

Ela fornece respostas para perguntas como: “Há alguém espionando minhas comunicações?” ou “Como eu sei se um funcionários está obtendo e vazando dados que não deveria?”. Em um framework de Detecção e Resposta, Threat Hunting é realizado durante a fase de detecção e possibilita a fase de resposta.

A forma exata como isso é feito varia de provedor para provedor do serviço, mas o conceito de Threat Hunting pode ser resumido da seguinte maneira:

“Cyber Threat Hunting é a atividade na qual especialistas em segurança cibernética conduzem buscas proativas por agentes maliciosos (sejam internos ou externos) infiltrados em um ambiente digital.”

Empresas que contratam serviços de Threat Hunting normalmente esperam por:

• Resultados rápidos sem necessidade de aquisição e implementação de novas soluções;
• Auxílio especializado para compensar a falta de profissionais de segurança cibernética nos seus quadros;
• Instruções claras e assertivas sobre como mitigar as ameaças encontradas, corrigir vulnerabilidades e evitar incidentes semelhantes no futuro, reduzindo riscos.

O Threat Hunting pode ser realizado por diferentes métodos, mas geralmente envolve os seguintes passos:

1. Análise de dados;
2. Detecção e investigação das ameaças;
3. Notificação das ameaças para possibilitar a resposta e contenção.

O primeiro passo envolve observar o ambiente com um olhar cirúrgico e as ferramentas certas. Isso é feito com dados: dados de logs, dados de comportamento de usuários, dados de tráfego de rede (Wire Data). E a tecnologia utilizada para fazer isso importa muito. Ferramentas limitadas demorarão mais para serem implementadas e fornecerão menos informações.

Soluções como o Zerum Lynx integram Network Traffic Analysis (NTA), Security Analytics e detecção de ameaças com Inteligência Artificial em um appliance Plug & Play. Isso permite que os especialistas filtrem milhares de eventos em poucos cliques, acelerando e tornando mais precisa a identificação das ameaças.

Uma vez que uma trilha suspeita é encontrada, o “caçador” vai rastreá-la para descobrir com que tipo de ameaça está lidando, o quão crítica ela é e qual a extensão dos sistemas comprometidos.

Novamente, a capacidade da ferramenta utilizada é determinante para o sucesso da ação. Serviços de Threat Intelligence e fontes de enriquecimentos de dados, quando integrados diretamente às plataformas de NTA/Security Analytics, ajudam a contextualizar a ameaça em tempo real, por exemplo.

Finalmente, assim que a ameaça é descoberta e confirmada, especialistas notificam os stakeholders e prosseguem com a neutralização da ameaça, seja diretamente ou através de instruções para a equipe do cliente. Seguindo esse protocolo o serviço elimina as ameaças mais nocivas que não acionaram os alarmes convencionais, ajudando a empresa a interromper incidentes em andamento.

Serviços de Threat Hunting Zerum

Na Zerum, fornecemos o serviço de Threat Hunting forma continuada (24/7/365) ou ações específicas, sob demanda, que geram resultados decisivos em poucos dias.

Veja como nosso serviço sob demanda de Threat Hunting funciona, etapa por etapa:

Briefing

Definição de prioridades, pontos de espelhamento de demais detalhes para instalação do Zerum Lynx e início das atividades.

Dia 1

O Zerum Lynx é implementado e os dados de tráfego de rede começam a ser coletados. Sua tecnologia Plug & Play siginifica que a instalação é feita em poucos minutos, sem interromper a operação. Além disso, ele não causa overhead nos demais sistemas, operando de forma não-intrusiva.

A solução traz todos os recursos que nosso especialista precisará para caçar agentes maliciosos, incluindo: Network Traffic Analysis (NTA), Security Analytics, Inteligência Artificial (User & Entities Behavior Analytics – UEBA), Threat Intelligence e nosso exclusivo Database Behavior Analytics, entre outros.

Dia 2

Nossos especialistas iniciam a análise de dados e a ação de Threat Hunting. Isso é feito ao longo de todo o cronograma. De acordo com a criticidade dos incidentes encontrados, stakeholders são notificados imediatamente para possibilitar a contenção.

Dia 5

Resultados preliminares são apresentados aos stakeholders, incluindo instruções para ação e remoção das ameaças.

Dia 12

O relatório final, abrangendo todas as ameaças detectadas, é apresentado aos stakeholders, junto com evidências para auxiliar em ações legais e esforços de compliance, além de instruções para endurecer as defesas e evitar futuros incidentes.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para saber mais, entre em contato.