Busca de ameaças: quando fazer e por quem deve ser feita

Um dos principais temas da RSA 2018 foi a busca de ameaças. Os especialistas concordam que essa é uma prática necessária para conter ataques de APTs, mas nem sempre compactuam sobre o que realmente é – e quais técnicas compreende. Ao indicar a utilização do livro How to Hunt for Security Threats (Como procurar por ameaças de segurança), formalizam a conceituação da atividade como um processo centrado no analista que permite que organizações descubram ameaças avançadas ocultas que não tenham sido identificadas pelos controles de prevenção e detecção automatizados.

Com base nessa definição, a busca de ameaças deveria ser realizada por um especialista em cibersegurança; o processo não pode ser automatizado. No entanto, após a procura por anomalias feita pelos peritos, esses resultados contribuirão para o aprimoramento dos sistemas de detecção automáticos, que aprendem a rastrear cenários de perigos que antes exigiam um olhar humano.

Quando buscar?

Para os especialistas, a pergunta “há adversários em sua rede?” não importa, porque certamente eles existem. Basicamente, querem dizer que você já deveria estar caçando. Esperamos que isso não seja sempre verdade, o que não significa que você não deveria procurar – especialmente se tiver uma enorme infraestrutura corporativa distribuída.

Entretanto, a busca de ameaças é uma prática de segurança avançada que requer alguns recursos e um certo nível de sistemas de segurança. É por isso que, se tiver que escolher entre organizar um processo de busca de ameaças e empregar um sistema maduro de detecção e resposta, você definitivamente deve escolher o segundo.

Sistemas maduros de detecção e resposta não apenas permitem que você tire do escopo da busca de ameaças as pequenas e menos perigosas, como também fornecem informações muito mais úteis para quem está caçando.

Quem deveria buscar?

A principal questão aqui é se o caçador deve ser um especialista interno ou externo. Cada opção tem seus prós e contras. Um perito interno possui um conhecimento único sobre a arquitetura de rede local e suas especificidades, já um profissional de cibersegurança externo tem uma vasta sabedoria sobre o cenário de ameaças, mas vai precisar de algum tempo para conhecer a infraestrutura local. Ambos os aspectos são importantes. Em um mundo ideal, você deve alternar entre os dois (se permitido, é claro – e se já tiver um especialista interno).

Grande parte das redes corporativas se parece uma com a outra, até certo ponto. É claro, existem exceções, mas são raras. Um profissional externo que realize buscas de ameaças regularmente para várias organizações ficará à vontade com as pequenas variações de uma empresa para outra.

Outro ponto dessa questão para os candidatos internos é que a busca constante por ameaças traz uma boa dose de tédio para os seus dias. Analisar logs para descobrir onde está escondido um processo contraditório é uma ocupação monótona que vai desgastar até os profissionais de TI mais entusiasmados. Então, é interessante alternar especialistas do seu centro de operações de segurança, ao invés de ter um único caçador de ameaças.

Quanto às qualidades pessoais do candidato, procure alguém atento, paciente e com experiência em ciberameaças. Contudo, intuição também é muito importante. Pode ser complicado encontrar essa pessoa, já que a intuição não pode ser medida e raramente aparece nos currículos.

A Raidbr conta comum time de especialistas que pode ajudar a proteger sua empresa de ameaças!
Agende uma avaliação gratuita, ligue (54)3204-7777 ou nos chame no WHATSAPP.

Fonte: https://www.kaspersky.com.br/blog/threat-hunting-rsa-2018/10527/

Comentários

Menu