Caso de uso: Threat Hunting
Cliente neutraliza ameaças infiltradas com Zerum Threat Hunting

Ação sob demanda ajudou a melhorar a segurança e evitar danos à imagem de uma das maiores empresas de processos seletivos do país.

Para uma das maiores empresas de provas do país, reputação e segurança de dados são praticamente sinônimos. A cada concurso, milhares de candidatos confiam suas informações pessoais a ela e, juntamente com as organizações envolvidas, esperam processos seletivos justos, livres de fraudes. Se a empresa não consegue garantir isso, ela perde contratos. Na teoria, é simples. Na prática, nem tanto.

Com tantas informações valiosas, a empresa vinha sofrendo ataques cibernéticos (internos e externos) constantes, com uma lista cada vez maior de incidentes graves: editais foram acessados sem autorização; dados de candidatos vazaram; gabaritos foram vendidos ilegalmente antes das provas; certames inteiros chegaram a ser anulados. Para a gestão, estava claro que algo precisava ser feito para evitar mais danos. Veja como a ajudamos a superar esse desafio.

Cliente

Empresa de processos seletivos de grande porte, com cerca de 900 funcionários e atuação em nível nacional. Todos os meses, milhões de usuários acessam seu portal para realizar inscrições, consultar editais e verificar resultados de provas.

Desafios

Ferramentas preventivas (como antivírus, firewall e IPS) adotadas pelo cliente bloqueavam as ameaças básicas, mas não impediam incidentes mais graves. Seu primeiro desafio era superar esse gap e detectar ameaças cibernéticas avançadas de forma proativa;

Sem investimento prévio em detecção e resposta a incidentes e com a iminência de novas crises, o cliente precisava ainda:

  • Resultados rápidos sem necessidade de aquisição e implementação de novas soluções;

  • Eliminar ameaças infiltradas rapidamente, para evitar mais danos à imagem.

Por que a Zerum?

Ajudar clientes a superarem casos críticos como esse é o que nos motiva. É o que guia o desenvolvimento de todas as nossas tecnologias, a começar pelo Zerum Lynx, nossa ferramenta de segurança cibernética. Ela trouxe a solução para o primeiro desafio do cliente, oferecendo:

Além disso, o cliente precisava de resultados antes mesmo de investir em novas ferramentas ou pessoal. Por isso a abordagem escolhida foi nosso serviço sob demanda de Threat Hunting, que proporciona:

  • Busca proativa por ameaças, realizada por especialistas em segurança cibernética;

  • Cronograma de ação bem definido para geração de resultados em poucos dias;

  • Utilização de tecnologia Plug & Play e não-intrusiva, o que elimina a necessidade de aquisição de novas ferramentas.

Resultados

Com o escopo e o cronograma definidos, a ação teve início, começando com a implementação Plug & Play do Zerum Lynx. A tecnologia é instalada sem interromper a operação do cliente ou causar overhead. A ferramenta analisa o tráfego da rede permitindo que nosso especialista designado encontre ameaças rapidamente. Em questão de horas, o primeiro incidente foi detectado, e diversos outros nos dias seguintes, incluindo:

  • Tentativas de execução de comandos para “sequestrar” servidores;

  • Exfiltração automatizada de dados;

  • Adulteração/desvio malicioso de servidores DNS;

  • Criptojacking: sistemas haviam sido infectados para minerar criptomoedas de maneira furtiva, roubando recursos computacionais e energia.

E ainda mais preocupante foi a descoberta de indícios de uma Insider Threat (ameaça interna) agindo no ambiente. A análise revelou um incidente com alto nível de criticidade:

  • Acesso suspeito à rede Tor: máquinas dentro da empresa eram usadas para acessar uma das principais redes conhecidas como Dark Web sem conhecimento da direção. Essa rede tem foco no anonimato e costuma ser utilizada para fins ilegais, como compra e venda de dados sigilosos ou até mesmo distribuição de pornografia infantil.

Todas as detecções foram prontamente reportadas pelo nosso especialista, acompanhadas de evidências como IPs de origem/destino, horários e geolocalização, entre outras. Também foram fornecidas instruções para identificação, resposta e mitigação de cada um dos incidentes.

Um dia antes do início da ação, seria impossível para o cliente encontrar aquelas ameaças, e sua reputação continuaria ameaçada. Ao final do cronograma do serviço, a operação estava mais segura, livre de uma série de ataques internos e externos que as ferramentas tradicionais não haviam detectado.