Busca de ameaças avançadas: quando e quem deve caçá-las.
Um dos principais temas da RSA Conference 2018 foi sobre a busca de ameaças. Os especialistas concordam que essa prática é necessária para conter ataques de APTs (Advanced Persist Threat), mas discordam sobre sobre conceitos e técnicas.
Ao indicar a utilização do paper How to Hunt for Security Threats (Como procurar por ameaças de segurança), os especialistas formalizaram a conceituação da atividade como um processo centrado em análises realizadas por especialistas que permitem às organizações descobrirem ameaças avançadas e ocultas que não identificadas pelos controles de prevenção e detecção automatizados.
Com base nessa definição, a busca de ameaças deveria ser realizada por um especialista em cibersegurança. O processo não poderia ser automatizado. No entanto, após a busca por anomalias realizada pelos peritos, esses resultados servirão para o aprimorar os sistemas de detecção automatizados, capazes de aprender a rastrear cenários de risco que antes exigiam a intervenção humana.
Quando caçar as ameaças?
Para os especialistas, pouco importa perguntar se “há adversários em sua rede?”, pois certamente eles existem. Ou seja, você sem perguntas, você já deveria estar caçando. É claro que isso talvez não seja sempre verdadeiro, mas isso não significa que você pode ficar inerte, sobretudo se tiver sob seus cuidados uma enorme infraestrutura corporativa distribuída.
De qualquer forma, a busca de ameaças é uma prática avançada que requer alguns recursos e um certo nível de sistemas de segurança. Portanto, se tiver que escolher entre organizar um processo de busca de ameaças e empregar um sistema confiável e maduro de detecção e resposta, sua escolha deve recair sobre o segundo.
Sistemas maduros de detecção e resposta não apenas permitem que você tire do escopo da busca de ameaças as pequenas e menos perigosas, como também fornecem informações muito mais úteis para quem está caçando.
Quem deveria caçar as ameaças?
Aqui devemos decidir é se o caçador deve ser um especialista interno ou externo. Há seus prós e contras em cada uma das opções. A vantagem de um perito interno é que ele possui um conhecimento focado sobre a arquitetura de rede local e suas especificidades, já um profissional de cibersegurança externo tem uma vasta sabedoria sobre o cenário de ameaças, mas vai gastar um tempo conhecendo a infraestrutura local. Ambos perfis são importantes. No mais ideal dos mundos, você deve alternar entre os dois (se possível, é claro – e se já tiver um especialista interno).
Até certo ponto, grande parte das redes corporativas se parece uma com a outra. Existem exceções, mas são raras. Um profissional externo que realize regularmente buscas de ameaças para várias organizações ficará à vontade com as pequenas variações de um ambiente para outro.
Um ponto interessante dessa questão para os candidatos internos se refere à rotina: a busca constante por ameaças traz uma boa dose de tédio. Analisar logs para desvendar onde se esconde um processo contraditório é uma ocupação monótona que vai desgastar até os os mais entusiasmados dos profissionais. Sendo assim, considere alternar especialistas do seu centro de operações de segurança, em vez de nomear um único caçador de ameaças.
Quanto às qualidades pessoais do candidato, alguém atento, paciente e com experiência em ciberameaças são características fundamentais. Contudo, a capacidade intuitiva também é relevante. Encontrar uma pessoa com essa última característica pode ser difícil, já que a intuição não pode ser medida e raramente está presente nos currículos.
No caso da contratação de um profissional externo, a Kaspersky Lab pode oferecer os serviços dos especialistas em busca de ameaças. Eles podem explorar sua infraestrutura para identificar quaisquer sinais presentes ou históricos de comprometimento, ou providenciar o monitoramento 24 horas por dia e a análise contínua dos seus dados de ciberameaças.
