Tópicos técnicos

O que é a caça a ameaças cibernéticas?

Ilustração de itens de TI com foco em um laptop

Visão geral

A caça às ameaças cibernéticas é uma abordagem voltada para o futuro da segurança na Internet, na qual os caçadores de ameaças procuram proativamente os riscos de segurança ocultos na rede de uma organização. Diferentemente das estratégias de caça à segurança cibernética mais passivas - como os sistemas automatizados de detecção de ameaças -, a caça às ameaças cibernéticas busca ativamente ameaças anteriormente não detectadas, desconhecidas ou não corrigidas que poderiam ter escapado dos sistemas de defesa automatizados da sua rede.

Caça às ameaças cibernéticas

O que é TI híbrida?

Os criminosos cibernéticos estão se tornando mais sofisticados do que nunca, o que faz da caça às ameaças cibernéticas um componente essencial das estratégias robustas de segurança de redes, endpoints e conjuntos de dados. Se um invasor externo avançado ou uma ameaça interna escapar dos sistemas iniciais de defesa de rede, ele pode permanecer sem ser detectado por meses. Durante esse tempo, eles podem coletar dados confidenciais, comprometer informações confidenciais ou proteger credenciais de login que lhes permitam se infiltrar lateralmente em seu ambiente de rede.

A equipe de segurança não pode mais se dar ao luxo de sentar e esperar que os sistemas automatizados de detecção de ameaças cibernéticas os notifiquem de um ataque iminente. Com a caça às ameaças cibernéticas, eles podem identificar proativamente possíveis vulnerabilidades ou ameaças antes que um ataque possa causar danos.

Como funciona a caça às ameaças cibernéticas?

A caça às ameaças cibernéticas combina o elemento humano com o poder de processamento de big data de uma solução de software. Os caçadores de ameaças humanos - que usam soluções e inteligência/dados para encontrar adversários que possam escapar das defesas típicas - apoiam-se em dados de ferramentas complexas de monitoramento e análise de segurança para ajudá-los a identificar e neutralizar ameaças de forma proativa.

A intuição humana, o pensamento estratégico e ético e a solução criativa de problemas desempenham um papel fundamental no processo de caça cibernética. Essas características humanas permitem que as organizações implementem resoluções de ameaças com mais rapidez e precisão do que se dependessem apenas de ferramentas automatizadas de detecção de ameaças.

O que é necessário para começar a caçar ameaças?

Para que a caça às ameaças cibernéticas funcione, os caçadores de ameaças devem primeiro estabelecer uma linha de base de eventos previstos ou autorizados para identificar melhor as anomalias. Usando essa linha de base e a inteligência mais recente sobre ameaças, os caçadores de ameaças podem, então, vasculhar os dados e as informações de segurança coletados pelas tecnologias de detecção de ameaças. Essas tecnologias podem incluir soluções de gerenciamento de eventos e informações de segurança (SIEM), detecção e resposta gerenciadas (MDR) ou outras ferramentas de análise de segurança.

Uma vez equipados com dados de fontes variadas, como dados de endpoint, rede e nuvem, os caçadores de ameaças podem vasculhar seus sistemas em busca de riscos potenciais, atividades suspeitas ou acionadores que se desviem do normal. Se uma ameaça conhecida ou potencial for detectada, os caçadores de ameaças poderão desenvolver hipóteses e investigações aprofundadas da rede. Durante essas investigações, os caçadores de ameaças tentam descobrir se uma ameaça é maliciosa ou benigna, ou se a rede está protegida adequadamente contra novos tipos de ameaças cibernéticas.

A caça às ameaças cibernéticas faz parte da inteligência contra ameaças?

A inteligência sobre ameaças cibernéticas concentra-se na análise, coleta e priorização de dados para melhorar nosso entendimento das ameaças enfrentadas por uma empresa.

Tipos de investigação de caça a ameaças

Há três tipos principais de investigação de caça a ameaças:

  • Estruturada: Esse tipo de caça à segurança cibernética é baseado em um indicador de ataque, bem como nas táticas, técnicas e procedimentos (TTPs) de um invasor. Usando a estrutura MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK®), a caça estruturada permite que os caçadores de ameaças identifiquem um agente mal-intencionado antes que ele possa prejudicar a rede.
  • Não estruturada: Com base em um acionador ou indicador de comprometimento (IoC), os caçadores de ameaças usam a caça não estruturada para procurar padrões perceptíveis em toda a rede, antes e depois de um acionador ou IoC ser encontrado.
  • Situacional ou baseado em inteligência de ameaças: As hipóteses são derivadas de circunstâncias situacionais, como vulnerabilidades descobertas durante uma avaliação de risco da rede. Com a mais recente inteligência contra ameaças, os caçadores de ameaças podem fazer referência a dados internos ou de crowdsourcing sobre tendências de ataques cibernéticos ou TTPs de atacantes ao analisar sua rede.

Em todos esses três tipos de investigação, os caçadores de ameaças pesquisam os eventos em busca de anomalias, pontos fracos ou atividades suspeitas fora dos eventos previstos ou autorizados. Se forem encontradas falhas de segurança ou atividades incomuns, os caçadores poderão corrigir a rede antes que ocorra ou volte a ocorrer um ataque cibernético.

As quatro etapas da caça às ameaças cibernéticas

Para iniciar efetivamente um programa de caça a ameaças cibernéticas, há quatro etapas que sua equipe de segurança deve seguir:

  • Desenvolver uma hipótese: Os caçadores de ameaças devem desenvolver uma hipótese com base nos riscos ou vulnerabilidades que possam existir na infraestrutura da organização, na inteligência atual sobre ameaças ou nas TTPs dos atacantes, ou em atividades suspeitas ou em um acionador que se desvie da atividade padrão da linha de base. Eles também podem usar seu conhecimento, experiência e habilidades criativas de solução de problemas para estabelecer uma hipótese de ameaça e decidir o caminho a seguir para testá-la.
  • Iniciar a investigação: Durante uma investigação, um caçador de ameaças pode se apoiar em conjuntos de dados complexos e históricos derivados de soluções de caça a ameaças, como SIEM, MDR e análise de comportamento de entidades de usuários. A investigação avançará até que a hipótese seja confirmada e anomalias sejam detectadas, ou até que a hipótese seja considerada benigna.
  • Descubra novos padrões: Quando são encontradas anomalias ou atividades mal-intencionadas, a próxima etapa é implementar uma resposta rápida e eficiente. Isso pode incluir a desativação de usuários, o bloqueio de endereços IP, a implementação de patches de segurança, a alteração das configurações de rede, a atualização dos privilégios de autorização ou a introdução de novos requisitos de identificação. À medida que suas equipes de segurança trabalharem para resolver as ameaças à rede de forma proativa, elas aprenderão inerentemente as TTPs dos agentes de ameaças e como poderão atenuar essas ameaças no futuro.
  • Responda, enriqueça e automatize: O trabalho de caça às ameaças não tem fim, pois os criminosos cibernéticos estão sempre avançando e criando novas ameaças à rede. A caça às ameaças cibernéticas deve se tornar uma prática diária em sua organização, operando juntamente com as tecnologias de detecção automatizada de ameaças e os processos atuais de identificação e correção de ameaças da sua equipe de segurança.

Quais são os principais desafios da caça às ameaças cibernéticas?

Como a caça a ameaças cibernéticas adota uma abordagem proativa e prática para a detecção e correção de ameaças, algumas organizações enfrentam desafios significativos ao implementar essa prática de segurança. Para que um programa de caça a ameaças cibernéticas seja bem-sucedido, a organização deve ter três componentes principais trabalhando em harmonia:

  • Caçadores de ameaças especializados: O capital humano envolvido na caça às ameaças cibernéticas é, sem dúvida, o componente mais importante. Os caçadores de ameaças devem ser especialistas no cenário de ameaças e ser capazes de identificar rapidamente os sinais de alerta de ataques sofisticados.
  • Dados abrangentes: Para procurar ameaças adequadamente, os caçadores devem ter acesso a uma grande quantidade de dados (dados atuais e históricos) que forneçam visibilidade de toda a infraestrutura. Sem esses dados agregados, os caçadores de ameaças não poderão criar hipóteses de ameaças informadas com base em seus endpoints, rede ou infraestrutura de nuvem.
  • Inteligência atualizada sobre ameaças: Os caçadores de ameaças devem estar equipados com a inteligência de ameaças mais atualizada, o que lhes permite comparar as tendências atuais de ataques cibernéticos com os dados internos. Sem saber quais são as ameaças novas ou as tendências existentes, os caçadores de ameaças não terão as informações necessárias para analisar corretamente as possíveis ameaças à rede.

A implementação desses três componentes e a garantia de que eles funcionem perfeitamente juntos requerem muitos recursos organizacionais. Infelizmente, algumas equipes de segurança não têm acesso às ferramentas, ao pessoal ou às informações certas para estabelecer um programa de caça a ameaças cibernéticas em grande escala.

Descubra a caça gerenciada de ameaças cibernéticas com OpenText Cybersecurity

A proteção bem-sucedida da infraestrutura de sua organização exige uma abordagem proativa, e não reativa. Já se foi o tempo em que as tecnologias automatizadas de detecção de ameaças eram suficientes para proteger dados ou informações confidenciais. Em vez disso, suas equipes de segurança devem implementar um programa contínuo de caça a ameaças cibernéticas que lhes permita criar hipóteses fundamentadas e identificar anomalias, riscos ou atividades suspeitas na rede antes que um invasor externo ou uma ameaça interna possa causar danos.

Procurando um serviço gerenciado para oferecer caça a ameaças cibernéticas sem a necessidade de investir em software e recursos? OpenText™ O Security Services oferece threat hunts pontuais e serviços baseados em assinatura para realizar ameaças situacionais, não estruturadas e estruturadas e identificar anomalias, pontos fracos e atividades suspeitas. Combinado com nossa experiência em risco e conformidade, perícia digital e resposta a incidentes, nossos clientes confiam no OpenText para melhorar sua resiliência cibernética.

Caça às ameaças cibernéticas

Comece hoje mesmo.

Solicite uma demonstração

Produtos relacionados

OpenText™ Cybersecurity Cloud

Proteção mais inteligente e mais simples

OpenText™ ArcSight™ Enterprise Security Manager (ESM)

Acelere a detecção e a resposta a ameaças com detecção em tempo real e SOAR nativo

OpenText™ ArcSight™ Inteligência

Detectar proativamente riscos internos, novos ataques e ameaças persistentes avançadas

ArcSight Recon por OpenText™

Simplifique o gerenciamento de registros e a conformidade e acelere a investigação forense. Caça e derrota ameaças com pesquisa, visualização e geração de relatórios de big data

ArcSight Security Open Data Platform (SODP) por OpenText™

Utilize uma plataforma aberta que coleta e enriquece dados em tempo real para obter informações organizadas que podem ser usadas sempre que necessário

ArcSight SIEM como serviço

Capacite sua equipe de SOC com: detecção de ameaças em tempo real; mitigação de ameaças internas; gerenciamento de logs, conformidade e recursos de caça a ameaças; orquestração, automação e resposta de segurança.

Veja todos os produtos relacionados

Como podemos ajudar?

Notas de rodapé