Threat Hunting, ou caça a ameaças cibernéticas, é o processo de busca proativa em redes para identificar ameaças que escapam das soluções de segurança já implementadas por uma organização.

Esse trabalho complementa as ferramentas automatizadas presentes no ambiente e deve ser realizado por caçadores de ameaças humanos, que conseguem pensar como um atacante faria.

No entanto, o sucesso de uma iniciativa de Threat Hunting depende da qualidade dos dados disponíveis. Idealmente, uma empresa já deve utilizar soluções de segurança de endpoint (EDR ou XDR) e sensores de rede que monitoram tudo o que ocorre na rede. Todos esses dados devem estar disponíveis em um sistema de gerenciamento para facilitar o acesso, mas o caçador pode ir além do que está facilmente disponível nesses sistemas, se necessário.

Por que o Threat Hunting é necessário? 

O Threat Hunting é frequentemente associado aos desafios impostos por Ameaças Persistentes Avançadas (APTs). Esse termo descreve atacantes sofisticados que realizam ataques direcionados – ou seja, escolhem seus alvos e ajustam suas estratégias de acordo. Isso contrasta com ataques oportunistas que não visam um alvo específico e não são únicos.

Os adversários com APTs podem usar ferramentas personalizadas e implantar malwares projetados para contornar ou escapar das soluções de segurança presentes no ambiente (também podem passar despercebidos quando as equipes de segurança não têm tempo para revisar todos os alertas). Dessa forma, conseguem se infiltrar em uma rede corporativa sem serem detectados.

Enquanto ameaças avançadas como essas eram vistas como raras no passado – frequentemente associadas a agências de inteligência e outros atores estatais – isso não é mais o caso.

O aumento do ransomware e das fraudes realizadas com dados corporativos levou a uma mudança no comportamento de criminosos comuns. Em vez de fraudar indivíduos diretamente, os criminosos desenvolveram esquemas envolvendo roubo de identidade, extorsão, comprometimento de e-mails corporativos e outros tipos de fraude, tornando os dados corporativos mais valiosos do que antes.

Com essa nova abordagem, esses adversários agora veem um motivo para escolher e estudar seus alvos, que geralmente são empresas. Eles querem garantir que possam permanecer na rede pelo maior tempo possível, exfiltrando dados enquanto conseguem ou se movendo lateralmente para implantar ransomware da forma mais destrutiva possível.

Em outras palavras, os atacantes podem estar especificamente buscando evitar ferramentas automatizadas e até mesmo os esforços de inteligência de ameaças baseados em compartilhamento de dados, fazendo algo único em cada um de seus alvos. Ao introduzir um elemento humano nas defesas da rede, o caçador de ameaças pode detectar, isolar e neutralizar essas ameaças antes que causem danos graves.

A relevância dos dados para o Threat Hunting

Como o Threat Hunting visa descobrir a presença de um adversário ainda não detectado, não há uma resposta definitiva sobre quando uma linha de investigação deve ser descartada.

O Threat Hunting pode ser um esforço contínuo e constante, e não encontrar ameaças é esperado quando não há ameaças a serem encontradas. Quando os dados não estão disponíveis ou não são confiáveis, a busca pode demorar mais ou produzir resultados imprecisos que levam a conclusões erradas.

Para garantir que o processo de caça seja robusto e completo, os analistas devem buscar fontes de dados de alta qualidade, tanto dentro quanto fora da organização.

Cibersegurança externa e Threat Hunting 

A plataforma Axur está introduzindo um painel de Threat Hunting para oferecer aos caçadores de ameaças o poder de consultar os dados coletados pela nossa plataforma usando os critérios de busca que mais necessitam, com fontes externas.

Muitas credenciais corporativas são vendidas na Dark Web. Essas combinações de usuário/senha podem ser usadas para infiltrar uma rede (incluindo VPNs e plataformas web utilizadas por trabalhadores remotos). Um caçador de ameaças pode usar essas informações para buscar atividades maliciosas na rede e encontrar quaisquer ameaças que possam ter passado despercebidas – incluindo o malware que pode ter roubado essas informações inicialmente.

Por essa razão, nomes de usuários, nomes de domínio e URLs de login são todos pesquisáveis em nosso painel.

Nosso painel de Threat Hunting também pode ser utilizado em cenários de resposta a incidentes ou forense. Uma consulta em nossa plataforma pode ajudar a identificar qual credencial foi usada por um atacante, ou que alguém estava usando um cartão de crédito roubado e quando esse cartão foi visto.

Malwares que roubam credenciais costumam relatar o endereço IP e o sistema operacional do computador de onde roubaram os dados. Essa informação é útil quando os caçadores de ameaças precisam saber se um sistema estava presente na cadeia de ataque e onde estava conectado, por isso nosso painel inclui um operador de busca para ambos os campos.

Embora a plataforma Axur seja uma solução de cibersegurança externa, ela pode e deve apoiar a cibersegurança interna, incluindo os valiosos esforços de Threat Hunting necessários para combater as ameaças mais desafiadoras da atualidade.