Encontre ameaças e investigue incidentes com o Threat Hunting

A plataforma Axur agora conta com uma solução de Threat Hunting. Isso proporciona um mecanismo de busca muito poderoso para encontrar ameaças à sua organização com base em dados expostos coletados pelo nosso sistema.

Criminosos estão constantemente invadindo sistemas corporativos e de usuários finais, compartilhando esses dados com outros agentes de ameaças. Esses dados podem ajudar os atacantes de diversas maneiras:

• Credenciais vazadas podem levar os agentes de ameaças diretamente ao ambiente de tecnologia corporativa. As credenciais vazadas podem incluir tokens de sessão que ignoram a autenticação multifator.
• A reutilização de senhas permite que os atacantes acessem sistemas corporativos usando senhas que foram vazadas para diferentes serviços ou sistemas.
• Dados pessoais expostos podem ser utilizados em ataques de phishing ou para coagir funcionários a fornecer suas senhas ou desativar a MFA.
• Cartões de crédito expostos podem ser usados para pedidos fraudulentos em lojas online, deixando os comerciantes vulneráveis a estornos e reclamações de clientes.
  
  

As organizações podem detectar ameaças proativamente a partir de dados expostos. Ao estender investigações em andamento com uma verificação de exposição ou criar um processo rotineiro para consultar esses dados, é possível detectar riscos e mitigá-los antes que um incidente se materialize, evitando que incidentes em andamento se agravem.

Os dados de ameaças também podem ser inestimáveis para a coleta de inteligência de segurança, como ao analisar pedidos suspeitos de um cliente ou para a segurança de fornecedores. Durante auditorias de segurança, as informações sobre ameaças e exposição podem ajudar a identificar a fonte de um vazamento e confirmar se sua empresa foi violada.

O cenário atual de cibersegurança é muito desafiador, por isso é essencial aprimorar os processos com dados e inteligência de ameaças. Com o Axur Threat Hunting, estamos oferecendo uma ferramenta muito poderosa para melhorar o uso de dados de ameaças em qualquer aspecto da cibersegurança.

Axur Threat Hunting: visão geral

Em essência, nossa solução de Threat Hunting funciona como um mecanismo de busca que permite investigar incidentes envolvendo credenciais expostas, cartões de crédito, máquinas infectadas e URLs e domínios.

O Threat Hunting é sobre identificar pontos de dados específicos que podem indicar riscos, ameaças ou até mesmo incidentes que já possam estar em andamento.

Para começar a pesquisar, é necessário selecionar um dos bancos de dados para consulta:

• Credenciais – credenciais expostas são provenientes de vazamentos de dados publicados e logs de malware infostealer que são rotineiramente compartilhados por cibercriminosos na Deep & Dark Web, bem como em fóruns de vazamento de dados e outros canais.
• Cartões de crédito – Este banco de dados contém informações relacionadas a cartões de crédito expostos.
• Máquinas infectadas – Esta opção consulta os metadados disponíveis nos arquivos de log de malware.
• URLs e Domínios – Este banco de dados permite buscar ameaças de phishing e sites maliciosos, identificando atividades suspeitas na web.

O próximo passo é inserir os parâmetros e operadores de pesquisa.

Os parâmetros permitem consultar pontos de dados específicos com base nos critérios escolhidos. Por exemplo, você pode verificar se um determinado usuário teve suas credenciais expostas ou buscar todos os cartões de crédito com um BIN especificado.

Existem muitos parâmetros de pesquisa disponíveis para que você possa encontrar os dados relevantes para você. Alguns exemplos estão disponíveis na própria página do mecanismo de busca, mas existem ainda mais parâmetros para consultas avançadas.

Alguns dos parâmetros disponíveis incluem:

• Credenciais: nome de usuário, nomes de domínio, senha (ocultada), fonte do vazamento.
• Cartões de crédito: número do cartão, número de identificação do banco (BIN), nome do titular, data do vazamento, data de validade.
• Máquinas infectadas: usuário do sistema, IP, hardware, sistema operacional.
• URLs e Domínios: marcas imitadas, logotipos de empresas, datas de detecção, referências de domínio, portas abertas e registros DNS.
  
  

Os operadores funcionam da mesma forma que em qualquer mecanismo de busca convencional. Você pode combinar vários parâmetros com "OU" para que qualquer resultado que corresponda a um dos critérios seja retornado, ou usar "E" para que os resultados sejam retornados apenas quando corresponderem a dois ou mais critérios.

Toda ferramenta poderosa como o nosso Threat Hunting tem alguma complexidade, mas isso não é um problema aqui. O AI Query Builder pode ajudar você a construir sua consulta, mesmo que não esteja familiarizado com os parâmetros ou operadores necessários. No prompt de IA, você pode descrever o que está procurando e a IA criará a consulta apropriada. Você também pode ajustar a consulta gerada antes de executá-la.

O AI Query Builder é uma ótima ferramenta tanto para novos usuários quanto para os experientes. Ele também funciona para explorar as possibilidades disponíveis dentro do Threat Hunting e para aprender novos parâmetros com os quais você ainda não esteja familiarizado. Novos membros da equipe podem se atualizar rapidamente usando o AI Query Builder e aproveitar muitas das funcionalidades do Threat Hunting imediatamente.

Quando e como o Threat Hunting pode ajudar

Nem todas as organizações usarão o threat hunting da mesma forma. Existem muitas situações em que os dados que disponibilizamos em nossa plataforma podem ser aproveitados para ajudar a explicar uma tentativa de intrusão ou encontrar a causa raiz de um incidente, mas muitos casos de uso não envolvem ameaças diretas — como ao realizar avaliações de risco para um fornecedor ou contrato.

Aqui estão alguns exemplos:

Analisando riscos
Nosso Threat Hunting funciona como um mecanismo de busca, portanto, você pode usar os dados que disponibilizamos para muitas tarefas de análise de risco.

• • Fornecedor ou cliente: Você pode encontrar dados ou exposições de credenciais relacionadas a fornecedores ou clientes. Isso pode ser usado ao integrar fornecedores, em auditorias ou ao calcular o risco para um contrato.
  • Aplicações e plataformas: Existem muitas plataformas, aplicativos ou ofertas de Software como Serviço (SaaS) que não oferecem contratos individuais para cada cliente. O threat hunting ajuda a abordar isso ao descobrir vazamentos de dados e exposições, fornecendo insights valiosos para a avaliação de riscos.
  • Cartões de crédito: Mesmo quando um número de cartão de crédito não está disponível, você pode buscar cartões de crédito expostos com base no nome do titular. Isso pode ser usado por lojas online para liberar ou bloquear transações suspeitas.
    
    

Encontrando a origem de uma violação
As informações dos usuários geralmente são armazenadas por muitos serviços. Muitos desses dados são duplicados, e os usuários podem reutilizar senhas. Quando ocorrem vazamentos, os usuários podem reclamar com você, acreditando que foi a sua empresa que sofreu uma violação.

Os dados do Threat Hunting podem ajudar a descobrir a verdadeira fonte do vazamento.

Alguns parâmetros que podem ser úteis para isso são:

• user=email@dominio.exemplo.com ou user=nome_de_usuario
  Retorna todos os vazamentos de credenciais conhecidos relacionados ao endereço de e-mail ou ID de usuário. Os resultados podem conter informações indicando a fonte do vazamento (um malware infostealer, um vazamento de dados, etc.).
• password=senha
  Retorna todos os vazamentos com a senha especificada. Pode detectar casos de reutilização de senhas.

Detectando fraudes e tentativas de phishing

Algumas empresas enfrentam ataques complexos de phishing ou sites falsos, muitos dos quais não utilizam explicitamente o nome da marca no domínio ou no conteúdo. Nossa plataforma resolve isso ao detectar até as ameaças mais ocultas.

Com a busca por "URLs & domínios", os usuários podem realizar investigações personalizadas que identificam páginas maliciosas com base em pesquisas de conteúdo específicas, mesmo que a marca não seja mencionada diretamente.

Você pode investigar ameaças de phishing usando diversos parâmetros, como:

• Imitação de marca por elementos visuais: identifique sites que imitam marcas conhecidas ou exibem logotipos específicos. Por exemplo, detecte níveis variados de imitação de "NomeDaMarca" ou encontre sites que exibam o "LogoDaMarca".
• Tipo de conteúdo e solicitações de dados sensíveis: pesquise sites de phishing por tipo de conteúdo, como páginas de login, páginas de erro ou sites de e-commerce. Você também pode identificar aqueles que solicitam informações sensíveis, como senhas ou dados de pagamento.
• Análise de domínio e ciclo de vida: investigue domínios com base nas datas de criação ou expiração, ou filtre os resultados por datas de detecção recentes para focar em novas ameaças.
• Referências e atributos de URL: examine URLs ou referências específicas e filtre por atributos de domínio, subdomínio ou domínio de topo (TLD) para refinar sua busca.
• Indicadores de rede e rastreamento de origem: identifique ameaças analisando portas abertas ou rastreando suas origens, como coletores ou fontes de inteligência de ameaças.
• Ameaças específicas de idioma e região: restrinja suas investigações a determinados idiomas ou regiões para identificar campanhas de phishing mais localizadas.

Esses parâmetros permitem investigações direcionadas, revelando sites de phishing e atividades fraudulentas mesmo quando os indicadores são sutis.

Investigando incidentes

Ao investigar um incidente de segurança, você pode utilizar o Threat Hunting para saber se os atacantes usaram informações expostas para realizar sua campanha. Você também pode identificar se um incidente tem o potencial de se espalhar para outras partes da rede (devido a credenciais ligadas, reutilização de senhas e outros riscos).

Aqui estão alguns parâmetros úteis para investigar incidentes de cibersegurança:

• emailDomain=suaempresadominio.exemplo.com
  Localiza credenciais expostas com o nome de domínio da sua organização. Você também pode usar o operador "OU" para incluir domínios adicionais.
• user=contacomprometida@suaempresadominio.exemplo.com
  Assim como acima, encontra quaisquer credenciais expostas pertencentes ao usuário especificado.
• password=senha
  Ao investigar tentativas de acesso falhas ou suspeitas, você também pode usar este parâmetro para descobrir se a senha usada na tentativa de acesso já foi vazada.
• ip=0.0.0.0
  Isso pode localizar máquinas que tinham um certo endereço IP quando foram infectadas por um malware infostealer. Você pode encontrar máquinas infectadas que relataram um endereço IP dentro da sua rede corporativa. Também pode ser usado para rastrear uma violação vinculada a uma rede suspeita.
  
  

Vale destacar que, embora você possa consultar esses dados proativamente, a plataforma Axur pode alertar automaticamente sobre eventos de alto risco, como quando uma credencial corporativa pode estar comprometida. O Threat Hunting, como o nome sugere, se destaca quando você está ativamente tentando descobrir (ou "caçar") dados de ameaças e encontrar a causa raiz de um incidente.

Veja o Threat Hunting em ação
Se você quiser explorar mais a fundo, pode começar com nosso plano gratuito e experimentar o poder do threat hunting em primeira mão. Entre em contato conosco — estamos ansiosos para ajudar a proteger o seu negócio.