Threat Hunting na Thales
O que é a Threat Hunting?
A threat hunting é uma prática proativa de cibersegurança na qual analistas qualificados procuram ativamente sinais de atividades maliciosas na rede de uma organização. Ao contrário das medidas tradicionais de cibersegurança, que dependem de sistemas automatizados e regras predefinidas para detetar ameaças, a threat hunting adota uma abordagem mais prática e investigativa. Como explica Frederic HOARAU, especialista em cibersegurança da Thales, esta prática permite que as organizações descubram ameaças ocultas antes que se agravem, fortalecendo assim a resiliência geral contra ciberataques sofisticados.
Diferentes abordagens para o threat hunting
📌 Hunting baseada em hipóteses: esta abordagem começa com uma hipótese baseada em threat intelligence ou padrões de ataque conhecidos. De seguida, os analistas procuram evidências para apoiar ou refutar a hipótese.
📌 Hunting de indicadores de compromisso (IOC): este método envolve a procura de indicadores específicos que sugiram que um sistema foi comprometido, como tráfego de rede incomum ou alterações em ficheiros.
📌 Hunting comportamental: Os analistas procuram comportamentos anormais na rede que se desviem da norma, o que pode indicar atividade maliciosa.
Por que é necessária a Threat Hunting?
Os métodos tradicionais de cibersegurança, como firewalls, software antivírus e sistemas de deteção de intrusão, são essenciais, mas muitas vezes reativos. Dependem de assinaturas de ameaças conhecidas e regras predefinidas para identificar ameaças. No entanto, atacantes sofisticados podem contornar essas defesas usando técnicas avançadas que os métodos tradicionais podem não detetar.
A threat hunting aborda essas lacunas ao:
▪️ Identificar ameaças de forma proativa: Em vez de esperar por alertas, os threat hunters procuram ativamente ameaças potenciais, muitas vezes descobrindo ameaças ocultas ou emergentes que os sistemas automatizados podem ignorar.
▪️ Aprimorar os recursos de deteção: Ao correlacionar dados de várias fontes e compreender os aspectos únicos da rede, os threat hunters podem identificar sinais subtis de comprometimento.
▪️ Reduzir o tempo de permanência: O tempo que uma ameaça permanece sem ser detetada dentro de uma rede é crítico. O threat hunting ajuda a reduzir esse tempo de permanência, minimizando os danos potenciais.
▪️ Cobrir pontos cegos: A hipótese de que um incidente ocorreu com base na threat intelligence permite que os caçadores de ameaças verifiquem se essa ameaça ou tipo de ameaça teria sido detetada dentro da organização se tivesse realmente ocorrido e, assim, detetar potenciais pontos cegos.
▪️ Forense: Investigar ameaças não detetadas, como após um teste de intrusão, permite-nos compreender onde a infraestrutura de cibersegurança falhou em detetar o ataque e como isso poderia ser detetado no futuro.
Em resumo, a threat hunting é uma componente crucial de uma estratégia robusta de cibersegurança. Complementa os métodos tradicionais, adicionando uma camada proativa de defesa, garantindo que as organizações se mantenham à frente de ciberameaças sofisticadas.
O que requer a Threat Hunting?
Para começar a implementar o threat hunting dentro de uma organização, são essenciais vários elementos-chave.
Em primeiro lugar, é necessário pessoal altamente qualificado, incluindo analistas de cibersegurança com vasta experiência e profundo conhecimento do panorama das ameaças. Esses profissionais devem possuir uma ampla gama de competências, desde segurança de rede e resposta a incidentes até análise de malware, engenharia de monitorização e investigação forense.
A threat intelligence é outro componente crítico, fornecendo o contexto e os insights necessários para identificar ameaças potenciais. A organização também deve ter uma postura de cibersegurança madura, com políticas, procedimentos e tecnologias bem estabelecidos.
Fontes de dados de qualidade são vitais, pois os threat hunters dependem de dados precisos e abrangentes para detetar anomalias e indicadores de comprometimento.
Além disso, o threat hunting é um processo demorado, que requer tempo e recursos dedicados para conduzir investigações e análises completas.
Um conhecimento sólido de várias frameworks, como MITRE, HMM, PEAK, Cyber Kill Chain etc., é obrigatório para estruturar a metodologia de threat hunting Um conhecimento perfeito da infraestrutura, políticas e operações da organização permite a identificação de cenários, deteção, pontos cegos e correção.
Ao combinar esses elementos, uma organização pode efetivamente embarcar numa jornada proativa de threat hunting, aumentando a sua segurança geral e resiliência contra ciberameaças.
Threat Hunting na Thales: uma solução de cibersegurança entre serviços
Em resposta às necessidades dos clientes, a Thales criou uma capacidade multifuncional de threat hunting , unindo os pontos fortes de quatro equipas de especialistas: CSIRT, NetSec, Cloud Security e SOC Engineering and Monitoring.
📌 CSIRT traz profunda experiência em resposta a incidentes e threat intelligence, apoiada pelos nossos CERTs dedicados, como TCS-CERT, CSIRT SOC e CSIRT France, garantindo proteção abrangente em todos os domínios.
📌 A NetSec contribui com conhecimento técnico e operacional sobre a infraestrutura do cliente e a segurança da rede.
📌 A Cloud Security garante a cobertura contra ameaças em ambientes de cloud e mitiga os riscos nativos da cloud.
📌 A SOC Engineering and Monitoring lida com engenharia de deteção, gestão de logs e sistemas de alerta.
Essa sinergia permite-nos oferecer novos recursos unificados de deteção e resposta a ameaças, adaptados aos cenários de ataque modernos.
O envolvimento ativo de cada equipa promove uma colaboração focada na entrega que é ágil e impactante. Juntos, não estamos apenas a responder às ameaças, estamos a caçá-las proativamente, melhorando a postura de segurança dos nossos clientes e oferecendo valor operacional real. Ao aproveitar os pontos fortes de cada equipa, criamos uma estrutura de segurança abrangente que se adapta ao cenário de ameaças em constante evolução.
A nossa abordagem colaborativa garante que nos mantemos à frente dos potenciais riscos, permitindo-nos identificar vulnerabilidades antes que possam ser exploradas. Sessões de formação regulares e iniciativas de partilha de conhecimento mantêm as nossas equipas informadas sobre as últimas tendências em cibersegurança, garantindo que estamos sempre equipados com as informações e ferramentas mais atuais.
Ao combinar os seus esforços, estas equipas estão a desenvolver e a implementar novas competências que reforçam significativamente a postura de cibersegurança dos nossos clientes. Esta abordagem unificada garante que nos mantemos à frente das ameaças emergentes e continuamos a fornecer segurança de alto nível.
Cada equipa e interveniente participa nesta forte cooperação e coesão baseada na entrega. Juntos, não estamos apenas a reagir às ameaças. Estamos ativamente à procura delas para criar um ambiente mais seguro para os nossos clientes.
Acrónimos
CSIRT: Equipa de resposta a incidentes de cibersegurança.
Uma equipa especializada responsável por lidar e responder a incidentes de cibersegurança dentro de uma organização.
CSIRT SOC: Centro de operações de segurança para CSIRT em Espanha e Portugal
Uma unidade que monitoriza, deteta e responde a ameaças de segurança para o CSIRT nestes países.
CSIRT França: Equipa de Resposta a Incidentes de cibersegurança França
A filial francesa do CSIRT, com foco na resposta a incidentes e operações de cibersegurança.
NetSec: Segurança de Rede
Refere-se às medidas e práticas utilizadas para proteger a integridade, confidencialidade e disponibilidade das redes informáticas.
SOC: Centro de Operações de Segurança
Uma instalação centralizada onde profissionais de segurança monitorizam, analisam e respondem a ameaças de cibersegurança em tempo real.
