Como Threat Hunting traz valor para Segurança da Informação na empresa
Seguindo com nosso entendimento sobre Threat Hunting, é necessário agora entendermos o valor que o Threat Hunting traz para a empresa. Mais que apenas achar ameaças e pontos vulneráveis, threat hunting deve criar inteligência situacional de segurança da informação e, para isso, torna-se imperativo a criação de um processo de threat hunting estruturado capaz de coordenar as atividades de hunting, criar feedback que alimentam outros processos de análise de ameaças, entre outros. No entanto, o mais importante é criar um conjunto de informações que ajudem a empresa a tomar decisões de segurança e defesa a fim de aumentar a maturidade defensiva e fortalecer a resiliência da organização.
Teoricamente a empresa pode executar atividades de hunting sem um processo estruturado, porem a obtenção de valor a longo prazo torna-se muito difícil. Entretanto, também não realizar atividades de hunting para esperar a criação de toda a estrutura do processo de Threat Hunting pode levar à obscuridade da visibilidade do cenário de ameaças a qual a empresa estará exposta.
Neste post falaremos de alguns pontos do processo de threat hunting para esclarecer esse valor:
Determinar as entradas e saídas das ações de hunting: Este ponto é importante para determinar em que momento a equipe responsável pela hunting será acionada. Algumas empresas podem adotar reuniões mensais para determinar o que deverá ser “caçado” naquele determinado mês, outras podem determinar que o início do processo se de através de iniciativas chamadas de AdHoc onde o analista cria a hipótese e inicia o hunting ou ainda podem usar indicadores prévios para determinar onde procurar. O importante é que as diversas entradas e saídas do processo de hunting estejam bem definidas e acordadas com as demais equipes envolvidas na resolução do incidente.
Documentação do Hunting: Um ponto crucial ao processo de hunting é a documentação sistemática dos achados durante o processo de hunting. Esses achados, também chamados de artefatos, devem contribuir para a criação de IoCs (Itens of Compromise – Itens de comprometimento) que podem ser utilizados pelos sistemas de defesa e monitoração de segurança. Além da criação dos IoCs, a documentação também servirá de base de conhecimento para equipes de resolução de problemas, revisão de huntings passados etc. O importante é que o processo de documentação possa prover informações valiosas para serem utilizadas em outras partes do processo.
Prover informações de defesa: Mesmo que IoCs sejam criados e utilizados posteriormente em outras ferramentas de defesa, o processo de Threat Hunting também pode prover informações de correção de vulnerabilidades operacionais ou processuais dentro do ambiente tecnológico da empresa. Prover insumos que aumentem a resiliência da estrutura defensiva é um ponto de muito valor gerado pelo processo, pois continuamente ajuda demais processos a melhorarem. O importante é que o em cada hunting bem sucedido seja recomendado uma reavaliação em algum processo de defesa que possa ter permitido uma determinada ameaça entrar na rede da empresa.
Melhorar a monitoração e detecção de ameaças: Ao final do hunting, as informações coletadas devem ser convertidas em informações de inteligência de ameaças (Threat Inteligence) para serem adicionadas dentro dos sistemas de monitoração e detecção, em um SIEM. Essa ação fará com que casos de uso agora já estruturados sejam criados a partir dos resultados do hunting para que alertas em tempo real sejam acionados quando aquela ameaça ou IoC for encontrado em algum log coletado. O importante é que cada hunting bem sucedido seja o início de um novo processo de, por exemplo, criação de casos de uso para um SIEM passar a monitorar ameaças agora conhecidas.
Enriquecimento das ações de resposta a incidentes: Ao se criar uma base de conhecimento através dos artefatos identificados pelo hunting, utilizar estas informações durante a resposta a incidentes para enriquecimento de alertas e incidentes de forma automatizada reduzirá o tempo gasto na resolução do incidente, facilitando sua resolução. Ao associar o que foi descoberto e documentado com processos de automatização de resposta de incidentes, a empresa passará a ter uma agilidade e eficiência operacional superior garantindo que novas ameaças conhecidas sejam resolvidas com menos esforço do time técnico.
Revisão periódica dos huntings: Este talvez seja um dos pontos mais relevantes do processo de Threat Hunting. Retornar a huntings executados no passado para reavaliar se há alguma nova ameaça que não fora antes . Geralmente esse ponto é pensando nos huntings que não encontraram alguma ameaça. Em um post posterior trataremos desse assunto com mais detalhe. O importante é que ,de tempos em tempos, atividades de huntings passados sejam revisitadas para garantia da efetividade as ações.
Como mencionado acima, esses são apenas alguns pontos de um universo maior de itens que podem ser agregados ao processo de Threat Hunting.
É importante ressaltar que não há o certo ou errado sobre cada item dentro do processo, pois cada empresa terá sua particularidade na condução das atividades de hunting, mas é certo que esses pontos contribuem para que o valor final do processo de Threat Hunting seja benéfico para as tomadas de decisão sobre os rumos de Cyber Defense da empresa.
Mas como efetivamente isso pode ocorrer? Todos os pontos descritos acimas têm um objetivo final de fazer com que o processo de Threat Hunting possa gerar indicadores situacionais para o CISO, como, por exemplo, quantidade de ameaças mitigadas, percentual de incremento da maturidade de defesa, percentual de cobertura de sistemas, informações dos sistemas mais atacados, entre outros.
O valor do Threat Hunting está em prover ao CISO informações de tomada de decisões, futuras ou imediatas, porém baseadas em um processo estruturado, controlado e repetitivo.