Diante de um cenário em que cada vez mais empresas são vítimas de ataques cibernéticos, a necessidade por novas abordagens de defesa é igualmente crescente. Nesse sentido, o threat hunting, ou “caça de ameaças”, em tradução livre para o Português, se destaca por defender uma postura mais ativa e ostensiva na prevenção de incidentes.
Baseada na busca constante por brechas e falhas de segurança, em busca de eliminá-las antes que causem danos ou prejuízos, essa estratégia tem se popularizado. No entanto, para adotá-la de forma eficiente, é preciso ter método, capacitação e uma infraestrutura tecnológica que auxilie na detecção e neutralização dos problemas.
Via de regra, a implementação se concentra num único agente, o hunter, colaborador responsável por investigar e endereçar as ameaças. Ainda assim, nada impede que também se organize um verdadeiro batalhão entre os funcionários da companhia, conscientizando e instruindo-os sobre como lidar com situações potencialmente danosas.
Interessou? Então siga com a leitura deste artigo e entenda mais sobre como funciona o threat hunting, de quais formas é possível implementá-lo e as vantagens de fazê-lo o quanto antes. Aproveite e veja também:
- O que é threat hunting?
- O papel do hunter (caçador) nessa estratégia de defesa
- Medidas ostensivas são resposta direta ao crescimento dos ataques
- A importância da tecnologia na caça às ameaças
O que é threat hunting?
Conforme o próprio nome aduz, o threat hunting consiste em múltiplas técnicas, sejam essas manuais ou suportadas por softwares inteligentes, que têm por objetivo a detecção preventiva de falhas e brechas de segurança cibernética.
Mais do que isso, de acordo com especialistas na área, as tarefas também incluem o acompanhamento dos novos gêneros de ataque digital que surgem no mundo e até mesmo o envio de armadilhas para contra-atacar potenciais invasores.
Tal como é possível observar, portanto, muito embora variem em forma e método, todas essas estratégias têm em comum o fato de serem ostensivas e preventivas. Ou seja, em vez de reagir a uma ação iminente ou em curso, as medidas se antecipam às ameaças, razão pela qual o threat hunting é tão bem sucedido na defesa.
De modo geral, esse trabalho é feito a partir de uma junção de componentes e elementos. O personagem central, entretanto, é o hunter, ou caçador, um profissional totalmente dedicado a encontrar pro-ativamente possíveis brechas no ecossistema da organização. Trata-se de uma tarefa minuciosa e extremamente difícil, uma vez que nem o colaborador sabe ao certo o que está buscando.
Muito embora seja possível adotar a estratégia transversalmente entre os times de tecnologia, o caçador é o grande protagonista. Isso porque, além de ser uma tarefa que exige dedicação, também requer criatividade e sólidos conhecimentos em segurança da informação.
Por fim, ainda que existam diversas ferramentas para apoiar o hunter em suas rotinas, apenas a expertise desse profissional é capaz de potencializá-las. Por esse e outros motivos, ter um posto dedicado é fundamental para a boa execução do método.
“Caça” ocorre, também, nos limites da própria empresa
Além da natureza preventiva, outro diferencial do threat hunting em relação às medidas de defesa convencionais é o seu alcance. Assim, em vez de se limitar aos riscos e danos ocasionados por agentes externos, também é trabalho do caçador investigar a conduta da empresa, bem como do seu corpo de funcionários, no tocante à segurança cibernética.
Por exemplo, tem sido recorrente que funcionários insatisfeitos, ou em vias de deixarem suas posições, vendam credenciais das companhias em que trabalham. Da mesma forma, os ataques baseados em phishing e engenharia social exploram vulnerabilidades inerentes às pessoas, não havendo modo efetivo de contê-los que não passe pela conscientização dos usuários.
Nestes casos, também é papel do hunter, como investigador, estar ciente de como os processos e métodos da companhia podem dar margem para invasões – sejam de origem externa ou não.
LEIA MAIS: Cibersegurança: ameaças e tendências para estar atento em 2022
Ascensão da estratégia é resposta direta ao crescimento dos ciberataques
Desde o início da crise sanitária, em 2020, a incidência de ameaças do tipo ransomware cresceu 92% no Brasil, de acordo com um estudo realizado pela companhia Infoblox. A mesma pesquisa mostrou que o prejuízo desse tipo de ação foi de US$ 20 bilhões no mundo inteiro, em 2020-2021.
Nos Estados Unidos, 31% das empresas que tiveram algum problema do gênero fecharam as portas nos últimos meses, conforme destacou a Forbes, em julho de 2021. Como se já não bastasse, tal cenário tende a ser cada vez mais recorrente, visto que, em média, segundo a Cybersecurity Ventures, um novo ataque ocorre em algum lugar do globo a cada 11 segundos.
Não por acaso, em abril de 2021, o equivalente estadunidense do nosso Banco Central, o Federal Reserve, emitiu um alerta que tornou o assunto ainda mais sensível ao comércio e negócios globais.
Segundo seu presidente, Jerome Powell, os ataques cibernéticos são as principais ameaças do sistema financeiro mundial, muito mais do que os empréstimos e a liquidez que ocasionaram a crise de 2008, por exemplo.
Ou seja, à medida em que as tentativas de invasão se tornam mais frequentes, ao passo em que seus danos também aumentam, as respostas a serem fornecidas por agentes públicos e privados devem alcançar o mesmo patamar.
Em termos práticos, já não basta apenas investir em soluções de cibersegurança mais sofisticadas, é preciso adotar uma cultura de prevenção e detecção de ameaças, o que começa com o threat hunting.
Futuramente, não seria exagero considerar que, assim como as flutuações do mercado afetam as decisões das empresas, o surgimento de novos riscos cibernéticos deverá ter o mesmo impacto. Para isso, porém, são necessárias frentes de monitoramento e resposta, o que também se concentra na figura do “caçador”.
Como adotar o threat hunting no seu negócio
O threat hunting é uma estratégia ampla. Dessa forma, há diversos meios e elementos para implementá-lo. No cenário ideal, a instituição é capaz de manter um funcionário dedicado e que, além do respaldo de um currículo sólido na área, pode contar com ferramentas modernas.
Entretanto, não é difícil imaginar que manter esse tipo de posto pode custar caro (ou não fazer parte do planejamento da companhia). É neste contexto em que entram os parceiros.
Ter o apoio de um fornecedor externo é fundamental quando a caça às ameaças não pode ser iniciada “de dentro”. Em outros casos, pode ser até mesmo mais interessante fazê-lo com o apoio de terceiros, da mesma forma que, por vezes, são contratadas auditorias e agências de compliance externas à organização.
Além disso, não é incomum que quem disponibiliza esse tipo de serviço também ofereça times de respostas a incidentes – isto é, a serem acionados quando a invasão já aconteceu.
Trata-se de um tipo de contratação as a service (ou “como serviço”, em português), que consiste em contar temporariamente com uma equipe direcionada à resolução de adversidades, tanto no que diz respeito aos vazamentos quanto à forma como isso é externado.
Na prática, esses profissionais irão se voltar para o que aconteceu, em quais ambientes se localizam as falhas e quais técnicas deverão ser usadas para conter e erradicar o problema. Com um pensamento estratégico e, frequentemente, com mais experiência que a organização atacada, eles também irão consolidar as lições aprendidas, elaborando boas práticas para evitar que um incidente do gênero ocorra novamente.
ARTIGO DE ESPECIALISTA: A evolução da gestão de eventos e informações de segurança (SIEM) e sua relevância para o CISO
Estratégia deve ser parte de um conjunto maior de medidas
Apesar de efetivo, o threat hunting é somente uma parte de uma estratégia de cibersegurança multivalente. Dessa forma, se engana quem pensa que apenas abrir um cargo de Cybersecurity Threat Analyst, nome usualmente dado ao posto, irá resolver todos os problemas, ou substituir todas as demais medidas.
Conforme aponta o IT Forum, em seu artigo sobre o tema, o diferencial do caçador na personificação de uma tática de defesa proativa e ostensiva é o seu pensamento crítico e analítico. Ou seja, é a partir das circunstâncias e, sobretudo, dos recursos que esse profissional tem à disposição, que ele será capaz de monitorar e, consequentemente, erradicar situações potencialmente danosas.
Naturalmente, essa capacidade de “conectar os pontos” que ligam uma situação de risco ao real potencial de um ataque estão para além do que uma Inteligência Artificial é pode fazer nos dias de hoje. No entanto, garantir que esse profissional tenha ferramentas atualizadas e inteligentes aumenta a produtividade e eficácia do seu trabalho, inclusive na detecção de falsos positivos.
De forma análoga a um analista de dados, que utiliza seu conhecimento sobre a realidade do negócio, mas também depende de meios efetivos para coletar, consolidar e organizar as informações, o caçador é o componente pensante de uma estratégia baseada na investigação e contenção de lacunas cibernéticas.
“O threat hunter irá focar na procura por adversários que componham três fatores: intenção, capacidades e oportunidade. Ele procura essas características onde haja atividades anormais em servidores, endpoints e dispositivos de rede ou em ativos que demonstrem algum sinal de comprometimento, intrusão ou exfiltração de dados.“
TIInside
Adoção do Threat Hunting requer planejamento
Conforme visto ao longo deste artigo, o papel do threat hunter é essencial para uma cibersegurança mais proativa, outro fator que, por si só, tem se tornado mandatório para as empresas. Para além disso, entretanto, é necessário avaliar, com cuidado, a melhor forma de implementar a estratégia no seu negócio.
Em alguns casos, não será possível manter uma infraestrutura própria ou dedicada. Ainda assim, o trabalho de um fornecedor externo pode ser facilmente complementado com soluções que se encarreguem das ameaças mais comuns. Como exemplo, as ferramentas de segurança na nuvem monitoram todo o sistema de Cloud Computing da companhia, mesmo em operações remotas.
Ao final, como de costume quando falamos em proteção digital, o importante é manter-se no mesmo ritmo em que os riscos. Ou seja, evoluindo as defesas dia após dia.
Além de promover a transformação digital dos negócios, a Vivo Empresas entende que a melhor forma de fazê-lo é com certitude. Por isso, mais do que manter um portfólio amplo e diversificado no tocante à proteção cibernética, a companhia se esforça para que cada uma de suas tecnologias, da conectividade à Internet das Coisas (IoT), tenha esse atributo como prioridade.
Gostou deste conteúdo? Então siga com a leitura dos artigos recomendados a seguir e saiba mais sobre as inovações tecnológicas em segurança digital:
- Como a democratização da segurança digital ajuda a construir ecossistema mais seguro para todos
- Segurança digital para PMES: como se prevenir e preparar para ataques?
- Conheça o Zero Trust: um conceito de segurança com base em recursos e não na localização física