Threat Hunting é uma atividade essencial a ser realizada em uma empresa com boa maturidade de segurança. Mudar o mindset de reagir aos incidentes para ativamente buscá-los na rede traz um novo olhar sobre os controles e processos em curso. Contudo, o threat hunting pode ser uma atividade exaustiva, já que demanda a revisão de uma quantidade imensurável de dados.

Veja a seguir 7 dicas que podem auxiliar você nessa tarefa. Confira!

 

1 Procure por comunicações tuneladas

Uma boa fonte de atividade suspeita para caçar são indicações de comando e controle (C2). Mais especificamente, observe atividades que estejam tentando emular o tráfego normal, como comunicações tuneladas, onde um protocolo de rede é usado para levar outro. Por exemplo, atores maliciosos vão esconder suas comunicações no tráfego DNS porque muitas empresas permitem tráfego DNS outbound sem filtragem.

 

2 Identifique atributos específicos

Quando você identificar uma ameaça, pesquise em seguida as características dessa ameaça e busque por atributos únicos como a URL usada. QUanto mais atributos específicos você encontrar, mais fácil será para identificar quando você organizar e filtrar os dados posteriormente. Se a sua empresa utiliza algum red team ou pentest, esse grupo pode ajudar a produzir artefatos forenses que auxiliam na identificação desses atributos específicos.

 

3 Estabeleça parâmetros para os dados

Logs de rede, logs de dados ou mesmo o SIEM são boas fontes de dados para o threat hunting, contudo você deve colocar parâmetros sobre o volume de dados que você vai vasculhar. O ideal é uma semana em termos de volume, e certamente não mais do que um mês. A chave é escolher dados que são mais prováveis de fazerem sentido com a atividade que você está procurando.

 

4 Dê uma olhada geral sobre os dados primeiro

Antes de vasculhar os dados no detalhe, é importante dar uma olhada geral no primeiro momento. Isso deve servir para você marcar o que parecer mais interessante e então priorizar esses pontos depois que você fizer essa primeira análise geral. Esse processo evita você de entrar de cara na primeira coisa que lhe chamar atenção, ignorando outros possíveis locais de busca.

 

5 Utilize técnicas de organização para melhorar a caçada

Organização é essencial para separar os dados e direcionar os esforços de caçada. Por exemplo, organize os dados do menor ao maior volume e então centre os esforços nos arquivos maiores. Outra técnica é organizar pelo método HTTP. Por exemplo, PUT é um método HTTP disponível que não é muito usado para tráfego web, o que torna isso uma boa dica para organizar os dados para o threat hunting.

 

6 Filtre o que já sabe ser “não-malicioso”

Uma vez que você der a primeira olhada no grupo de dados, terá uma boa posição para filtrar e descartar o que já sabe ser “não-malicioso”. Isso pode ser um tráfego de rede de fontes e destinos já conhecidos, classificado como comunicação normal.

 

7 Procure por anomalias de serviço

Anomalias de serviço são anomalias de rede – ou portas e protocolos sendo usados de uma forma pouco usual. Por exemplo, a Porta 443 é usualmente usada para tráfego SSL. Então, o tráfego HTTP na Porta 443, ou tráfego SSL que não esteja nessa porta são bons exemplos de anomalias.

 

Aumente a sua capacidade de cibersegurança no geral

Uma vez que você está buscando atividade maliciosa, o processo de threat hunting vai permitir que você tenha a chance de examinar o TI como um todo na perspectiva de um atacante. Nem sempre você encontrará uma ameaça ao longo das pesquisas, mas certamente irá encontrar configurações erradas, anomalias de rede e vulnerabilidades potenciais. O conhecimento adquirido na caça dessas ameaças é valioso porque você pode usá-lo justamente para melhorar a cibersegurança como um todo.