O que é a caça às ameaças?
A caça às ameaças é uma abordagem de defesa proativa para detectar ameaças que escapam às soluções de segurança existentes.
Por que caçar ameaças?
As funções de firewall, IDS/IPS, SWG, ZTNA e CASB ajudam a proteger os ativos da empresa contra ameaças conhecidas.
Os fornecedores de segurança desenvolvem proteção para ameaças conhecidas e implementam essas proteções atualizando regularmente os serviços de segurança com vários feeds de proteção.
As proteções incluem impedir que os usuários visitem sites ruins, impedir explorações por meio de assinaturas e impedir conexões de/para endereços IP e domínios conhecidos por hospedar C&C ou com má reputação.
Quase todas as funções de segurança também protegem os ativos, interrompendo fluxos indesejados por meio de ACLs (Access Control Lists, listas de controle de acesso).
A sofisticação dos agentes de ameaças está aumentando significativamente a cada ano devido a patrocínios estatais e ganhos financeiros.
As empresas que são atingidas por ameaças desconhecidas devem ter uma maneira de detectar qualquer comprometimento para conter os danos.
De acordo com o relatório M-trends de 2022, o tempo médio de permanência (tempo de permanência é o número de dias em que um invasor está presente em um ambiente de vítima sem ser detectado) é de 21 dias em 2021.
Em algumas regiões geográficas, a média é de até 40 dias.
O mais preocupante é que, em 47% das vezes, as vítimas ficam sabendo das ameaças por meio de notificações externas.
As vítimas tomam conhecimento dos comprometimentos por meio de extorsões dos atacantes, da divulgação pública de informações confidenciais e, algumas vezes, de seus clientes.
É importante que as empresas detectem a presença de ameaças de forma proativa e interna para reduzir os danos e tomar medidas de correção mais cedo.
Esse processo de detecção de ameaças presentes no ambiente é o “Threat Hunting”.
Quais são os métodos do caçador de ameaças?
A caça a ameaças é feita por analistas de segurança.
Embora a prática da caça a ameaças já exista há algum tempo, em teoria ela não é nova.
Os caçadores tendem a procurar anomalias, criar hipóteses e realizar análises mais profundas para identificar quaisquer sinais de comprometimento.
O que realmente mudou nos últimos anos foi o aumento da colaboração entre caçadores de diferentes empresas, como o compartilhamento de táticas, técnicas e procedimentos (TTPs) e o acesso a feeds de inteligência de ameaças comerciais e de código aberto.
Essa riqueza de informações está ajudando os caçadores a caçar com mais eficiência.
A inteligência sobre ameaças é valiosa, mas a grande quantidade de dados pode ser esmagadora para os caçadores analisarem.
É importante que os caçadores filtrem para obter os relatórios mais relevantes com base nos ativos, software, sistemas de hardware e serviços em nuvem que a empresa utiliza.
Depois de filtrados, os caçadores de ameaças podem usar TTPs para identificar padrões em seu ambiente.
Os caçadores de ameaças coletam informações usando uma combinação de métodos, incluindo:
- Orientado por análises: As anomalias observadas no tráfego de rede, no tráfego de protocolo, no tráfego iniciado pelo usuário, no tráfego de aplicativos, no comportamento de login do usuário, no comportamento de acesso do usuário, no endpoint e no comportamento do aplicativo podem ser bons indicadores para iniciar a busca.
- Orientado por inteligência: Os feeds de inteligência contra ameaças, como reputação de IP/domínio/arquivo/URL de entidades comerciais e de código aberto, podem ajudar os caçadores a procurar esses indicadores em seu ambiente e iniciar a caça se forem observados.
- Orientado pela consciência situacional: Os resultados das avaliações regulares de riscos corporativos e da análise de joias da coroa nos ativos podem ajudar os caçadores a criar hipóteses e iniciar a caçada.
Os caçadores de ameaças usam uma combinação dos métodos acima para restringir as caçadas a serem iniciadas.
Como parte do processo de caça, os analistas contam com sistemas de observabilidade para realizar uma análise mais profunda e identificar qualquer comprometimento.
Se alguma ameaça for encontrada, os caçadores bem-sucedidos podem publicar TTPs para ajudar outros caçadores.
Qual é a função do SASE na busca de ameaças?
Os Indicators of Compromise (IoCs) são pistas que podem ser usadas para identificar e detectar atividades mal-intencionadas em uma rede ou endpoint.
Eles costumam ser usados por caçadores de ameaças para criar hipóteses sobre possíveis incidentes de segurança e para concentrar suas investigações.
Os IoCs incluem itens como endereços IP, nomes de domínio, URLs, arquivos e endereços de e-mail associados a agentes mal-intencionados ou malwares conhecidos.
Várias anomalias, como tráfego, comportamento do usuário, comportamento do serviço e outras associadas, também são bons indicadores de preocupação para que os caçadores criem hipóteses sobre possíveis incidentes de segurança.
A análise profunda é a próxima etapa da caça às ameaças e é usada para reunir mais informações sobre um possível incidente, como o escopo, o impacto e as origens do ataque.
Esse tipo de análise geralmente envolve a utilização de várias ferramentas e técnicas para extrair e analisar dados de várias fontes, como tráfego de rede, logs de sistema e dados de endpoint.
Espera-se que as soluções SASE ajudem os caçadores de ameaças nos estágios de identificação e investigação da caça a ameaças.
E espera-se que a observabilidade mais abrangente faça parte das futuras soluções SASE com recursos como análise comportamental, monitoramento em tempo real e alertas.
Identificação por meio de indicadores de comprometimento e indicadores de preocupação
Abaixo estão algumas das anomalias e IoCs de ameaças que as soluções SASE podem ajudar os caçadores de ameaças a iniciar as caçadas.
Alguns exemplos de como a SASE/SDWAN pode ajudar a encontrar as anomalias de tráfego são apresentados a seguir.
- Padrões de tráfego incomuns em comparação com os padrões de tráfego observados anteriormente.
Eles podem incluir anomalias no volume de tráfego e no número de conexões para o seguinte.- Tráfego corporativo site a site
- Tráfego de/para sites para a Internet
- Tráfego de/para aplicativos
- Tráfego em vários protocolos
- Tráfego de/para usuários
- Tráfego de/para segmentos
- E com a combinação dos itens acima – Site + Aplicativo + Usuário + Protocolo + Segmento.
As soluções SASE, com segurança de rede, podem ajudar a encontrar vários tipos de anomalias e explorações:
- Anomalias de acessos a aplicativos corporativos a partir de padrões anteriores ou padrões de linha de base, como
- Acessos a aplicativos internos de localizações geográficas anteriormente desconhecidas
- Acesso a aplicativos internos de usuários que raramente os acessam
- Acesso a aplicativos internos de usuários em horários estranhos
- Acesso a vários recursos críticos de aplicativos (como recursos administrativos) de usuários privilegiados de locais geográficos previamente desconhecidos, de usuários que raramente os administram, em horários estranhos
- Acesso negado de usuários a aplicativos e recursos.
- Anomalias de acessos à Internet e SaaS em relação a padrões anteriores ou padrões de linha de base, como as anomalias de acesso descritas acima.
- Acesso a várias categorias de URL por usuários individuais
- Acesso a sites da Internet que não foram visitados anteriormente pelos usuários
- Uso de largura de banda e número de anomalias de transações HTTP por usuário
- Acesso dos usuários aos sites fora do horário comercial.
- Acesso negado a sites/categorias da Internet
- Acesso a várias funções de vários serviços SaaS por usuário.
- Vários tipos de explorações: De acordo com o relatório da M-Trends, o “vetor de infecção inicial” usado pelos atacantes é a exploração de vulnerabilidades no software e na configuração.
Muitos agentes de ameaças instalam primeiro diferentes tipos de malwares explorando as vulnerabilidades de software.
Estruturas de exploração populares, como Metasploit e BEACON, agrupam vários scripts de exploração conhecidos.
Essas estruturas parecem ser populares entre os agentes de ameaças.
Qualquer exploração observada no tráfego pode ser um bom indicador de que algo ruim está para acontecer. - Anomalias de protocolo: Qualquer dado anormal de protocolo, mesmo que seja legítimo do ponto de vista da especificação do protocolo, pode ser uma boa indicação de preocupação.
Os exemplos de anomalias nos protocolos DNS e HTTP são apresentados a seguir.- No caso do DNS
- Não é normal ver muitos subdomínios no domínio consultado
- Não é normal ver um domínio muito longo
- Não é normal ver uma mistura de letras maiúsculas e minúsculas no nome de domínio.
- Não é normal ver caracteres não alfanuméricos.
- Não é normal ver outras consultas além de A, AAAA, PTR.
- No caso de HTTP:
- Não é normal ver URIs muito longos e um grande número de parâmetros de consulta.
- Codificações de URI que não são comumente usadas.
- Não é normal ver muitos cabeçalhos de solicitação e cabeçalhos de resposta.
- Não é normal ver instruções SQL, comandos de shell e scripts em parâmetros de consulta de URI, cabeçalhos de solicitação e corpos de solicitação
- Não é normal ver transações HTTP sem um cabeçalho de solicitação de host.
- Não é normal ver caracteres CRLF em URIs e cabeçalhos.
- Não é normal ver vários parâmetros com o mesmo nome
- E muito mais…
- Acesso a sites de má reputação: Um único incidente de acesso ou vários acessos a sites com endereços IP, domínios e URLs ruins também são bons indicadores de preocupações para iniciar a busca.
- No caso do DNS
Investigação
Como parte da caça, os caçadores esperam que os sistemas SASE os ajudem a se aprofundar para uma investigação mais detalhada, pelo menos do ponto de vista da rede.
Os caçadores, para obter visibilidade e investigação abrangentes de ponta a ponta, talvez também precisem trabalhar com sistemas de observabilidade de plataformas de endpoint, aplicativos, virtualização e conteinerização.
As expectativas dos caçadores em relação à observabilidade do SASE para investigações são principalmente sobre recursos de pesquisa mais profundos.
Por exemplo, ao detectar o tráfego de exploração, os caçadores podem querer investigar se a máquina/o software que foi explorado está fazendo alguma conexão com outros sistemas internos que normalmente não são feitos por esse sistema ou se baixou algum arquivo de outros sistemas que normalmente não são esperados e se esse sistema está fazendo upload de algum malware para outros sistemas etc.
Resumo
A caça às ameaças está se tornando uma prática normal em muitas empresas.
Normalmente, ela envolve a detecção de indicadores de comprometimento (IoCs) e a investigação usando plataformas de observabilidade para endpoints, aplicativos, virtualização e Secure Access Service Edge (SASE).
É necessário um SASE unificado que combine a SDWAN (Software-Defined Wide Area Network, rede de longa distância definida por software), várias funções de segurança de rede e ameaças e observabilidade abrangente para permitir o gerenciamento abrangente do ciclo de vida da caça às ameaças.
-
Blog CTO Insights
A série de blogs Aryaka CTO Insights oferece liderança de pensamento para tópicos de rede, segurança e SASE.
Para obter as especificações dos produtos Aryaka, consulte as fichas técnicas da Aryaka.