O QUE É THREAT HUNTING?

A Segurança da Informação/SI é uma área já consolidada e cada vez mais requisitada no cenário atual, com uma crescente demanda por serviços, integrações e maior agilidade, todavia, são crescentes também as notícias sobre vazamento de informações, grandes infecções de malwares, invasões e pichações de sites, evidenciando, assim, a existência de gaps em diversas áreas da defesa contra ameaças.

Nesse contexto, o conceito de Cyber Defense surge para focar exclusivamente na parte defensiva da Segurança da Informação, objetivando que os profissionais de segurança da informação possam aumentar o nível de defesa das organizações em que atuam.

No entanto, a forma mais comum da área de SI operar ainda é a reativa, ou seja, ainda nos baseamos em assinaturas de antivírus, ainda trabalhamos no alerta do antivírus “nosso de cada dia”, no alerta de Firewall, Intrusion Prevention System/IPS e Indicators of Compromise/IoC.

Assim, se temos muitos incidentes de malware dentro de uma rede e ficamos apenas na reatividade resolvendo estes incidentes, é certo que o problema estará longe de ser resolvido. Porém, se pró-ativamente colhermos informações que nos deem inteligência como: de onde essas infecções veem, qual o tipo de usuário que a mais causa, quais políticas de segurança podem suportar decisões de programas de conscientização e melhorias nas defesas de perímetro; é certo que conseguiremos uma diminuição deste tipo de ameaça de forma mais consistente e benéfica a longo prazo.

O que significa que quanto mais pró-ativos formos, menos reativos precisaremos ser.

E se por um lado é quase impossível saber do “crime antes que ele ocorra”, por outro, é possível mitigar as ameaças ou, ainda, identificar as ameaças antes que elas causem um dano maior à Organização, e é aí, justamente, que surge o conceito de Threat Hunting.

A definição mais usual/recorrente de Threat Hunting é a que a situa como a forma pró-ativa de achar e identificar ameaças desconhecidas[1] em uma rede e sistemas de computadores, ajudando a diminuir o tempo entre uma exploração e sua detecção (dwell time), construindo assim, uma melhor inteligência para o Cyber Defense.

A esta definição inicial, propomos aqui um olhar mais ampliado, adicionando ainda a este conceito a função de endereçar, qualificar e reportar ameaças de forma que o processo de hunting seja de alto valor para a organização.

Threat Hunting é como achar agulhas de diferentes tamanhos em “palheiros” de diferentes tamanhos e para tal, é preciso mais que apenas técnicas de procura para obter sucesso, é necessário, uma visão estratégica para saber qual agulha e em qual “palheiro” começar a procurar. Basicamente o hunting utiliza hipóteses aliada a técnicas para achar e identificar o atacante e suas técnicas de ataque.

E se no jogo de ataque e defesa, alguém sempre fica em desvantagem, e é fato que a parte atacante sempre terá mais vantagens sobre a parte que defende, vide o futebol, onde existem pelo menos dois atacantes, para um só goleiro que tem a responsabilidade de proteger uma área imensamente maior que a si.

Nesse sentido, se ataque e defesa é um jogo infinito, assim, como no jogo de futebol, vence cada partida o time que estiver melhor preparado.

Neste portal trataremos de vários tópicos relativos a Threat Hunting, desde técnicas práticas até seu uso estratégico para empresas.

[1] Seja desconhecida para a Organização ou ainda desconhecida de forma geral no mundo.