Serviços de Threat Hunting: Guia Rápido

Ações proativas de Threat Hunting conduzidas por especialistas em segurança cibernética podem gerar grandes benefícios para sua empresa. Veja como esse tipo de serviço funciona.

No cenário de segurança cibernética de hoje, se você confia unicamente em medidas preventivas, você não está seguro. É a triste realidade. Uma enorme parte das ameaças são bloqueadas por antivírus ou dispositivos de firewall ou IDS, mas aquelas poucas que não são bloqueadas acabam se provando as mais perigosas.

Elas são as ameaças conduzidas por hackers especializados que têm um alvo claro (você) e todas as ferramentas, métodos e recursos que precisam. Para piorar, algumas ameaças sequer precisam se infiltrar, porque elas já estão dentro do ambiente (Insider Threats). Então, como se proteger delas?

A resposta é caçar proativamente e neutralizar esses atores maliciosos, um processo chamado Cyber Threat Hunting. Essa atividade pode ser realizada pelo seu próprio time, o que requer especialistas e tecnologias avançadas de segurança cibernética. Ou, para compensar a falta de ambos (um desafio que a maioria das empresas enfrenta hoje), pode ser contratada como serviço.

Neste artigo, focaremos em Threat Hunting como serviço, e em como ele entrega valor para sua organização. Vamos entender melhor.

Definição, benefícios e métodos de serviços de Threat Hunting

O objetivo de uma ação de Threat Hunting é revelar ameaças cibernéticas que evadiram ferramentas comuns de segurança. Ela fornece respostas para perguntas como: “Tem alguém espionando minhas comunicações?” ou “Como eu sei se um funcionários está obtendo e vazando dados que ele não deveria?”. Em um framework de Detecção e Resposta, Threat Hunting é realizado durante a fase de detecção e possibilita a fase de resposta.

A forma exata como isso é feito varia de provedor para provedor do serviço, mas Threat Hunting pode ser definido da seguinte maneira:

“Cyber Threat Hunting é uma atividade na qual especialistas em segurança cibernética conduzem buscas proativas por agentes maliciosos infiltrados em um ambiente digital (sejam internos ou externos).”

Empresas que contratam serviços de Threat Hunting normalmente esperam por:

  • Resultados rápidos sem necessidade de aquisição e implementação de novas soluções;

  • Auxílio especializado para compensar a falta de profissionais de segurança cibernética;

  • Instruções claras e assertivas sobre como mitigar as ameaças encontradas e corrigir vulnerabilidades.

Mas como eles funcionam, exatamente? Threat Hunting pode ser realizada por diferentes métodos, mas geralmente envolvem os seguintes passos:

    • Análise de dados;

    • Detecção e investigação das ameaças;

    • Notificação das ameaças para possibilitar a resposta e contenção.

O primeiro passo envolve observar o ambiente com um olhar cirúrgico e as ferramentas certas. Isso é feito com dados: dados de logs, dados de comportamento de usuários, dados de tráfego de rede (Wire Data). E a tecnologia usada para fazer isso importa muito. Ferramentas limitadas demorarão mais para serem implementadas e fornecerão menos informações.

Tecnologias como o Zerum Lynx integram Network Traffic Analysis (NTA), Security Analytics e funcionalidade de IA em um dispositivo Plug & Play, permitindo que os especialistas filtrem milhares de eventos em poucos cliques. Isso acelera a detecção e a torna mais precisa.

Uma vez que uma trilha suspeita é encontrada, o “caçador” vai rastreá-la para descobrir com que tipo de ameaça está lidando, o quão crítica ela é e qual a extensão dos sistemas comprometidos. Novamente, as ferramentas são essenciais. Serviços de Threat Intelligence e outros enriquecimentos de dados, quando integrados diretamente à plataformas de Security Analytics, ajudam a contextualizar a ameaça em tempo real.

Finalmente, assim que a ameaças é descoberta e confirmada, especialistas notificam os stakeholders e prosseguem com sua neutralização, seja diretamente ou através de instruções para a equipe do cliente. No fim, o serviço erradica aquelas ameaças mais nocivas que não soaram alarmes, ajudando empresas a evitar grandes perdas ou mitigar e interromper incidentes em andamento.

Serviços de Threat Hunting Zerum

Nós fornecemos o serviço de forma continuada (24/7/365) ou ações específicas, sob demanda, que geram resultados decisivos em poucos dias. Veja como nosso serviço sob demanda de Threat Hunting funciona com este infográfico:

Infográfico demonstrado o cronograma de serviço de Threat Hunting On Demand

Briefing

Definição de prioridades, pontos de espelhamento de demais detalhes para instalação do Zerum Lynx e início das atividades.

Dia 1

O Zerum Lynx é implementado e os dados de tráfego de rede começam a ser coletados. Sua tecnologia Plug & Play siginifica que a instalação é feita em poucos minutos, sem interromper a operação. Além disso, ele não causa overhead nos demais sistemas, operando de forma não-intrusiva.

A solução traz todos os recursos que nosso especialista precisará para caçar agentes maliciosos, incluindo: Network Traffic Analysis (NTA), Security Analytics, Inteligência Artificial (User & Entities Behavior Analytics – UEBA) e Threat Intelligence, entre outros.

Dia 2

Nosso especialista inicia a análise de dados e a ação de Threat Hunting. Isso é feito ao longo de todo o cronograma. De acordo com a criticidade dos incidentes encontrados, stakeholders são notificados imediatamente para possibilitar a contenção.

Dia 5

Resultados preliminares são apresentados aos stakeholders, incluindo instruções para ação e remoção das ameaças.

Dia 12

O relatório final, abrangendo todas as ameaças detectadas, é apresentado aos stakeholders, junto com evidências para auxiliar em ações legais e esforços de compliance, além de instruções para endurecer as defesas e evitar futuros incidentes.