Série sobre Busca de Ameaças para MSPs: Ajudamos Você a Capitalizar as Oportunidades
Quando falamos em operações de threat hunting, as atividades envolvidas podem ser extenuantes ou até mesmo impossíveis de conduzir sem os dados, a tecnologia, os processos e o conhecimento necessários.
As operações de threat hunting são agrupadas nestas três categorias principais:
- Abordagem orientada por análises: com o uso de métodos estatísticos, o processo real de threat hunting muitas vezes envolve o exame de fatos atípicos e a realização de análises sistemáticas. Dessa forma, é possível detectar algo que não foi visto antes ou identificar irregularidades que podem ser maliciosas a partir de dados da linha de base no ambiente.
- Abordagem baseada em hipóteses: é onde os caçadores de ameaças de elite têm a oportunidade de ser criativos e pensar como o inimigo. Envolve o desenvolvimento e o teste de teorias sobre onde e como um determinado invasor pode tentar operar, se mover na rede e usar técnicas Living-off-the-Land (LotL), sem ser visto até que decida que é o melhor momento para atacar.
- Abordagem baseada em inteligência: por fim, esta é a operação mais comum e envolve o uso de inteligência contra ameaças, atualizada para pesquisar dados históricos em busca de sinais de invasões.
O uso da inteligência para a busca de ameaças não deve se limitar a esses IoCs (indicadores de comprometimento). Um dos tipos de inteligência contra ameaças mais importantes para os analistas é chamado de táticas, técnicas e procedimentos (TTPs). Os TTPs podem ser definidos como “padrões de atividades ou métodos associados a uma ameaça ou grupo de ameaças específico”.
Esses padrões são muito mais difíceis de ser alterados por um invasor quando comparados aos indicadores de comprometimento. Os inimigos reutilizam seus TTPs em ataques enquanto mudam os binários ou a infraestrutura de comando e controle (C&C). Por exemplo, alterar um endereço IP de comando e controle é algo trivial. No entanto, mudar o protocolo de comunicação em uso é bem mais desafiador porque requer muito trabalho de programação. A estrutura MITRE ATT&CK tenta mapear esses TTPs para que possam ser utilizados.
Serviço de Threat Hunting da WatchGuard como uma Extensão da sua Equipe
Uma abordagem colaborativa e coordenada é a chave para impedir as violações atuais e fornecer o mais alto nível de segurança gerenciada para seus clientes de forma contínua.
Nosso Serviço de Threat Hunting, incluído no WatchGuard EDR e no WatchGuard EPDR, disponibiliza uma ferramenta poderosa que permite a detecção precoce de técnicas mais comuns de Living-off-the-Land (LotL), reduzindo o tempo de permanência e melhorando as defesas contra ataques futuros.
Nossos parceiros podem expandir rapidamente os serviços, aproveitando os resultados do Serviço de Threat Hunting, com validação dos IoAs (indicadores do ataque) e respostas ao ataque.
O WatchGuard EDR e o WatchGuard EPDR podem notificar os parceiros imediatamente quando surge um novo IoA. Esses indicadores são aprimorados com uma lista de ações recomendadas para bloquear, corrigir e evitar ataques futuros usando os mesmos TTPs como ponto de partida para os parceiros.
Além disso, cada IoA é mapeado com a estrutura MITRE ATT&CK™, uma base de conhecimento de táticas e técnicas adversárias criada a partir de observações do mundo real, que pode ser acessada mundialmente. Usamos essa estrutura para ajudar a melhorar a produtividade do analista ao validar as IoAs identificadas nos consoles de gerenciamento WatchGuard EDR e WatchGuard EPDR.
Quer saber mais sobre o Serviço de Threat Hunting? Baixe o eBook “Seu Programa de Serviço de Threat Hunting Simplificado com a WatchGuard” e comece essa jornada de proteção com a Segurança de Endpoint Avançada da WatchGuard.
