Q:
Quais são os principais benefícios da caça às ameaças?
UMA:Vamos começar entendendo o que é a busca por ameaças: é um processo de procurar - linha por linha e evento por evento - indicadores de ameaças muito específicas. Não se trata de procurar o que pode ser uma anomalia. É o ato de detectar indicadores do que sabemos estar acontecendo. É como verificar se há carrapatos depois de andar pela floresta. Se você tem um bom motivo para acreditar que há carrapatos na floresta, verifique se algum deles pegou carona. O benefício de procurá-los é que você pode encontrá-los e se livrar deles antes que eles o mordam e o deixem doente.
Dito isto, como precursor da caça às ameaças, você precisa ter uma idéia do que está procurando. Isso requer três coisas: análise, consciência situacional e inteligência. As informações brutas podem vir de muitas fontes diferentes, e os especialistas de uma equipe de busca de ameaças podem analisar essas informações e extrair significado delas. Qual é a conversa na dark web? Alguém está falando sobre segmentar uma empresa ou tecnologia específica? Existem discussões sobre novas tradecraft ou metodologias de exploração?
Os analistas de ameaças da equipe de busca de ameaças podem reunir grandes quantidades de inteligência bruta, e é aí que a conscientização situacional ajuda a identificar quais problemas são relevantes para diferentes organizações e usuários. Informações que identificam um modo de ataque contra um estúdio de cinema, por exemplo, podem ser uma preocupação menos imediata para um fabricante de automóveis. As técnicas usadas em um ataque a um estúdio podem ser viáveis como técnicas para atacar um fabricante de automóveis, mas se a inteligência sugerir que o foco do ataque é local para os estúdios de cinema, as equipes de TI dos fabricantes de automóveis devem manter o foco no ameaças dirigidas a eles. Isso remonta à caminhada na floresta: se os carrapatos são um problema na floresta em que você caminha, mas os escorpiões não, então você precisa se preocupar com os carrapatos, não com os escorpiões.
Depois que os analistas de ameaças identificam as ameaças, os caçadores de ameaças podem começar a caçar. Eles podem estar procurando evidências de vulnerabilidades específicas - um roteador configurado incorretamente, por exemplo - ou podem estar procurando fragmentos de código ou scripts específicos incorporados em sua rede. E se encontrarem os elementos pelos quais estão caçando, poderão realizar as ações apropriadas e proteger a empresa contra ataques.
