A busca de ameaças é uma função de segurança que combina metodologia proativa, tecnologia inovadora e inteligência de detecção de ameaças para localizar e deter atividades maliciosas.

Para as empresas que estão prontas para adotar um enfoque de segurança cibernética mais proativo, aquelas que tentam impedir os ataques antes que eles se aprofundem, o próximo passo lógico é adicionar a busca de ameaças.

Após solidificar as estratégias de segurança de endpoints e de resposta a incidentes para mitigar os ataques de malware conhecidos, que são inevitáveis atualmente, as organizações podem começar a contra-atacar. Elas estão prontas para aprofundar-se e descobrir o que ainda não foi detectado, e esse é exatamente o objetivo da busca de ameaças.

A busca de ameaças é uma tática agressiva que funciona a partir da premissa da "suposição da violação", de que os invasores já invadiram a rede de uma organização, a monitoram secretamente e se movem por ela. Isso pode parecer absurdo, mas, na realidade, os invasores podem ficar dentro de uma rede por dias, semanas e até meses a fio, preparando e executando ataques, como ameaças persistentes avançadas, sem nenhuma defesa automatizada que detecte sua presença. A busca de ameaças interrompe esses ataques procurando indicadores ocultos de comprometimento (IOCs, pela sigla em inglês), para que eles possam ser mitigados antes que os ataques atinjam seus objetivos.

O objetivo da busca de ameaças é monitorar as atividades diárias e o tráfego na rede e investigar possíveis anomalias para identificar atividades maliciosas que ainda não foram descobertas e podem levar a uma violação completa. Para atingir esse nível de detecção precoce, a busca de ameaças incorpora quatro componentes igualmente importantes:

Metodologia. Para serem bem-sucedidas na busca de ameaças, as empresas devem se comprometer com um enfoque proativo, contínuo e em constante evolução. Uma perspectiva reativa e ad hoc do tipo "quando tivermos tempo" será contraproducente e gerará apenas resultados mínimos.

Tecnologia. A maioria das empresas já tem soluções abrangentes de segurança de endpoints com detecção automatizada. A busca de ameaças vai além disso e adiciona tecnologias avançadas para identificar anomalias, padrões incomuns e outros rastros de invasores que não deveriam estar presentes em sistemas e arquivos. A nova plataforma de proteção de endpoints (EPP, pela sigla em inglês) nativa da nuvem, que utiliza técnicas de análise de big data, pode capturar e analisar grandes volumes de dados de endpoint não filtrados. Já as técnicas de análise comportamental e a inteligência artificial podem fornecer visibilidade ampla e de alta velocidade dos comportamentos maliciosos que parecem normais no início.

Equipe dedicada e altamente qualificada. Os caçadores de ameaças, ou analistas de ameaças à segurança cibernética, são uma classe à parte. Esses especialistas não apenas sabem como usar a tecnologia de segurança mencionada, mas também são incansáveis no contra-ataque, recorrendo a recursos forenses de resolução de problemas intuitivos para descobrir e mitigar ameaças ocultas.

Inteligência de detecção de ameaças. Ter acesso à inteligência global com base em evidências utilizada por especialistas de todo o mundo melhora e acelera ainda mais a busca por IOCs já existentes. Os caçadores contam com informações como classificações de ataques para identificação de malware e grupos de ameaças, bem como com indicadores de ameaças avançadas, que podem ajudar a identificar IOCs maliciosos.

O 2018 Threat Hunting Report da Crowd Research Partners confirma a importância desses recursos de busca de ameaças. Quando solicitados a classificar as principais descobertas da pesquisa:

69% escolheram a inteligência de detecção de ameaças

57% escolheram técnicas de análise de comportamento

56% escolheram a detecção automática

54% escolheram o aprendizado de máquina e as técnicas de análise automatizadas

Os caçadores de ameaças procuram por invasores que passem despercebidos, por meio de vulnerabilidades que uma empresa possivelmente sequer sabe que existem. Esses invasores dedicam muito tempo planejando e fazendo o reconhecimento do terreno, agindo apenas quando sabem que podem invadir a rede sem aviso prévio. Eles também criam e desenvolvem malwares que ainda não foram reconhecidos ou usam técnicas que não dependem de malware, a fim de se estabelecerem com uma base persistente para atacar.

Então, o que é necessário para driblar até mesmo os invasores mais inteligentes?

Os caçadores de ameaças cibernéticas são incansáveis e capazes de encontrar até mesmo o menor rastro deixado pelos invasores cibernéticos.

Os caçadores de ameaças usam suas habilidades para se concentrarem nas pequenas alterações que ocorrem à medida que os invasores se movem por um sistema ou arquivo.

Os melhores caçadores de ameaças confiam em seus instintos para detectar os movimentos furtivos dos invasores mais maliciosos.