Como os ataques de cibersegurança acontecem com mais frequência e se tornam cada vez mais perturbadores, é essencial que as pessoas percebam que correm mais risco de tais eventos do que imaginam. No entanto, a caça a ameaças é uma parte crítica de uma estratégia forte de segurança na Internet.

Então, o que a caça à ameaça realmente significa? Como ele difere do teste de penetração? E como a caça a ameaças fortalece sua segurança online?

O que é Threat Hunting?

A caça de ameaças envolve a busca ativa de sinais de atividades perigosas e indesejadas. É o oposto de esperar para receber um alerta da plataforma de segurança sobre sinais de problemas.

Algumas pessoas inicialmente pensam que os testes de penetração (pen) são iguais aos exercícios de caça à ameaça. No entanto, um pen test tem como objetivo encontrar todas as vulnerabilidades e determinar os riscos de deixá-las sem solução. A caça de ameaças assume que um ataque aconteceu e o objetivo é conter seu progresso.

No entanto, os resultados da caça às ameaças também costumam revelar vulnerabilidades. Isso é especialmente verdadeiro quando os profissionais de segurança cibernética aprendem mais sobre pontos de entrada e métodos de ataque.

Quanto os caçadores de ameaças ganham por seus esforços? O salário-base médio nos Estados Unidos é mais do que $ 110.000 por ano, indicando que esses serviços estão em alta demanda.

Como as pessoas se envolvem na caça às ameaças?

Caçadores de ameaças procuram Indicadores de compromisso (IoC) e Indicadores de Ataque (IoA). Um IoC se concentra no que os hackers desejam realizar invadindo a rede. Então, o IoA é uma atividade suspeita que pode ser um sinal de um ataque.

Uma pessoa que pratica a caça às ameaças avalia o ambiente usando vários métodos possíveis. Por exemplo, uma abordagem baseada em dados analisa recursos como logs de proxy e evidências de grandes volumes de transmissão de dados.

A caça a ameaças baseada em Intel depende de fontes de dados abertas e comerciais que mostram os riscos de segurança cibernética e os sintomas de tais problemas.

Os caçadores de ameaças também podem se concentrar nas táticas, técnicas e procedimentos (TTP) de um invasor. Por exemplo, quais ferramentas um hacker usa para invadir a rede? Quando e como os implantam?

A caça a ameaças com base em comportamento é uma técnica mais recente, mas extremamente útil para detectar possíveis riscos internos. Os caçadores de ameaças estabelecem uma linha de base para as ações esperadas dos usuários da rede e, em seguida, procuram os desvios.

A importância das informações relevantes

O sucesso com essas técnicas exige que o caçador de ameaças tenha amplo conhecimento da atividade esperada em uma rede.

À medida que a força de trabalho de hoje se torna mais distribuída, os firewalls de uma empresa costumam ser insuficientes para proteger uma rede. Contudo, especialistas acreditam há uma necessidade contínua de verificar se as pessoas que tentam acessar os recursos da empresa são as partes autorizadas. É por isso que as empresas costumam autenticar os funcionários com várias informações.

Relacionado: Qual é o princípio de menor privilégio e como ele pode prevenir ataques cibernéticos?

As equipes de caça a ameaças precisam de grandes quantidades de dados de registro coletados ao longo do tempo. Obter essas informações de várias fontes os ajuda a proceder com eficiência e detectar sinais de problemas. Os dados do endpoint são geralmente os mais valiosos para os caçadores de ameaças porque estão mais próximos do evento indesejado.

A caça a ameaças fortalece sua segurança cibernética

A caça de ameaças não é algo para fazer uma vez e considerar o trabalho concluído. A iteração contínua torna os esforços de detecção mais produtivos. Depois que os caçadores de ameaças aprendem o que constitui uma atividade normal, os eventos incomuns se tornam mais óbvios.

Quanto mais conhecimento adquirido sobre um ambiente e rede de TI, mais forte será a entidade contra as tentativas de ataques cibernéticos.

Pior do que phishing: o que é um ataque cibernético de baleeiras?

Enquanto os ataques de phishing visam indivíduos, os ataques cibernéticos de caça às baleias visam empresas e organizações. Aqui está o que você deve procurar.

Leia a seguir

CompartilhadoTweetO email
Tópicos relacionados
  • Segurança
  • Segurança Online
  • Cíber segurança
  • Dicas de Segurança
Sobre o autor
Shannon Flynn (42 artigos publicados)

Shannon é um criador de conteúdo localizado em Philly, PA. Ela tem escrito na área de tecnologia por cerca de 5 anos após se formar em TI. Shannon é editora-chefe da ReHack Magazine e cobre tópicos como segurança cibernética, jogos e tecnologia empresarial.

Mais de Shannon Flynn

Assine a nossa newsletter

Junte-se ao nosso boletim informativo para dicas de tecnologia, análises, e-books grátis e ofertas exclusivas!

Clique aqui para se inscrever