Um Threat Hunter, também chamado de Cybersecurity Threat Analyst, é um profissional de segurança que proativamente utiliza ferramentas manuais ou automatizadas para detectar incidentes de segurança. Os Threat Hunters buscam descobrir incidentes que a empresa não teria descoberto de outras maneiras, fornecendo ao CISO e ao CIO uma linha de defesa adicional contra os APTs.

Em ordem para detectar um incidentes de segurança que os sistemas automatizados não detectaram, o threat hunter usa pensamento crítico e criatividade para observar padrões normais de comportamento e identificar anomalias na rede. Um threat hunter deve ter considerável conhecimento sobre o negócio e entendimento sobre as operações do dia-a-dia de forma a evitar falsos-positivos, além de ter boa comunicação para compartilhar resultados do hunt. É especialmente importante para o threat hunter se manter atualizado com as pesquisas mais recentes em segurança.

 

O Threat Hunter no Ambiente Corporativo

O papel do threat hunter é tanto de suplementar quanto de reforçar os sistemas automatizados. Ao passo me que os processos de review revelam padrões de início de ataques, a empresa pode usar essas informações para melhorar a detecção automatizada, retroalimentando os sistemas e gerando nova inteligência.

Uma relatório de 2017 do SANS mostrou que mais empresas estão buscando iniciativas de threat hunting, mas que em geral essas iniciativas estão confinadas às verticais de serviços financeiros, alta tecnologia, militar, governo e telecomunicações.

Os threat hunters tipicamente trabalham a partir de um Security Operations Center – SOC – e tem um papel de liderança na detecção de ameaças e atividades de resposta a incidentes. O threat hunting também pode ser designado como tarefa adicional de um ou mais analistas do SOC, ou o SOC pode contar com profissionais full-time nessa função. Opções adicionais para essa iniciativa incluem rotacionar os analistas em papéis de threat hunting de forma temporária e depois retorná-los às funções habituais no SOC.