Threat Hunting já se tornou crucial para empresas com alta maturidade de segurança. A habilidade de coletar, minerar e extrair os metadados vai se tornar um pilar da estratégia de segurança das empresas.

As empresas precisam garantir que que os threat hunters não fiquem confinados a apenas uma área, eles devem se espalhar e possuir diferentes habilidades. Você não pode ter hunters apenas na equipe de resposta a incidentes. O Threat Hunting deve ser parte da resposta a incidentes, do desenvolvimento, de gerenciamento de produto e outras áreas correlatas ao negócio.

Contudo, threat hunting não é uma skill facilmente disponível e aprendida. Quando paramos para ver e avaliar a verdadeira quantidade de threat hunters, descobrimos que são bem poucos.

O Machine Learning se torna importante nesse cenário, pois é parte essencial para automatizar alguns processos e tornar a tarefa mais fácil, especialmente quando o hunter lida e é confrontado por uma quantidade enorme de dados e que continuam se expandindo.

Mas, no final do dia, o aspecto humano do threat hunting é um processo que não vai se encerrar, existem certas complexidades e nuances que as máquinas não conseguem copiar e inserir na equação.

Quando se trata de boas práticas de threat hunting, tudo se inicia com ter completa visibilidade. É a habilidade de monitorar todas as portas e protocolos, a habilidade de coletar todo o tráfego e toda a atividade no endpoint. O motivo disso é que, sem essas informações, o hunter está impedido de enxergar pontos importantes.

Portanto, um bom threat hunting necessariamente precisa contar com um conjunto de soluções que tenham a capacidade de entregar as informações básicas, tendo visibilidade completa sobre o ambiente. Sem a automação, é impossível que essas soluções tenham sucesso em grandes ambientes.

Portanto, a conclusão para a pergunta inicial do artigo é: a automação possui atualmente um papel fundamental no processo de Threat Hunting. Contudo, não significa que a inteligência artificial vá substituir o trabalho de bons analistas. Essas duas partes devem se integrar para que as empresas tenham um verdadeiro Threat Hunting em curso.