De acordo com John Collins, analista do Gartner, os melhores threat hunters fazem perguntas difíceis, pensam de forma criativa e vão contra a maré. Bons analistas de cybersecurity dependem de playbooks, processos e procedimentos, mas os threat hunters devem seguir seus instintos e desenvolver habilidades de improviso. Eles tem uma abordagem da segurança que é semelhante à criatividade dos atores maliciosos, constantemente formando e testando novas hipóteses para identificar ataques e atacantes escondidos.

Engenheiros podem treinar ferramentas automatizadas de threat hunting para detectar e marcar muitas anomalias de acordo com os dados, mas nenhuma ferramenta ainda pode rivalizar um humano com boa intuição quando o assunto é reconhecimento de ameaças pouco usuais ou desconhecidas.

De acordo com o Gartner, as tecnologias de automação de threat hunting dificilmente serão iguais a seres humanos na habilidade de ligar os pontos e diferenciar uma anomalia simples de um alerta grave.

 

O que fazem os threat hunters

Threat Hunting é uma prática sofisticada de cybersecurity que depende de uma combinação de humanos e tecnologias para proativamente descobrir ameaças que os processos e controles padrão não conseguem. Os threat hunters buscam ao longo do ambiente por sinais sutis de intrusão, formando hipóteses sobre o comportamento dos atores maliciosos com o objetivo de encontrar e corrigir os problemas.

Enquanto algumas empresas possuem threat hunters dedicados em seu staff, muitas empresas não possuem os recursos para conduzir um threat hunting agressivo internamente. Essas empresas acabam buscando parceiros terceirizados para auxiliar neste processo.

 

Como se tornar um threat hunter

A barreira de entrada para o threat hunting é relativamente baixa. Qualquer um com acesso ao endpoint, telemetria de rede ou segurança pode realizar threat hunting ao usar os dados para testar hipóteses ou responder perguntas que interessam.

Threat hunters, assim como outros profissionais de segurança, devem considerar o aprendizado de código e script em linguagens como Python, Go, Perl e assim conquistar um nível de autonomia tecnológica. Em resumo, aprenda algo que permita você a criar queries e ir além do que a ferramenta está mostrando. Alguns dos melhores hunters sentam, fazem alguns scripts e buscam dados de forma ad-hoc se não estiverem disponíveis para eles.

Aspirantes a threat hunters também devem construir conhecimento em nuvem uma vez que muitas empresas estão tendo problemas graves de resposta a incidentes e threat hunting nestes ambientes. Essa é uma oportunidade e um conjunto de habilidades que será ainda mais valorizado no futuro.

Em adição a reconhecimento de padrões, habilidade de dedução, codificação e conhecimentos em nuvem, os futuros threat hunters devem também ter conhecimentos em:

  • análise forense
  • resposta a incidentes
  • administração de redes
  • análise de tráfego de rede
  • administração de sistemas

 

Habilidades de comunicação e de colaboração também são importantes para qualquer interessado em se tornar um threat hunter.  Os melhores profissionais são proativos e pensam de forma independente, mas não são lobos solitários, trabalhar com outros profissionais de TI é importante para acessar os dados da operação e identificar pistas. Uma vez que os hunters descobrem uma ameaça ou vulnerabilidade, eles também devem se comunicar de forma eficiente com o restante da equipe de segurança e outros stakeholders para mitigar o problema.