Introdução ao Threat Hunting
Boas-vindas, viajante! Pega um cafezinho e senta que lá vem conhecimento. Nesse artigo, falo de forma bem resumida e breve sobre o Threat Hunting e seus benefícios no mundo cibernético.
Last updated
Boas-vindas, viajante! Pega um cafezinho e senta que lá vem conhecimento. Nesse artigo, falo de forma bem resumida e breve sobre o Threat Hunting e seus benefícios no mundo cibernético.
Last updated
Bom, como o próprio nome sugere, o conceito de Threat Hunting nada mais é que buscar, de forma proativa, por possíveis ameaças circundando um ambiente tecnológico através dos logs, antes que tais ameaças venham a causar um grande impacto em uma organização.
Para que possamos efetivamente encontrar alguma ameaça, precisamos saber o que procurar, onde procurar e como procurar. A partir da disposição de hipóteses - ou seja, suposições de que determinado tipo de ataque possam estar deixando rastros em uma rede -, podemos realizar a busca proativa nos logs analisados. Abaixo, podemos ver alguns exemplos do que podemos caçar em um ambiente monitorado:
Eventos de adição de usuários em grupos administrativos (Windows)
Potenciais varreduras de portas realizadas por endereços de IP externos (Redes)
Ameaças identificadas por um antivírus que não foram limpas (Antimalware)
Tentativas de execução remota de código em URLs de requisições maliciosas (Web)
Etc etc etc.
Existe uma base de conhecimento mundialmente utilizada por profissionais de segurança, denominada . Santo ATT&CK. Através desse projeto, podemos associar diversos tipos de ataque a determinadas táticas, técnicas, categorias e sub-categorias, para que formas específicas de detecção sejam modeladas e que identifiquemos em qual estágio um ator malicioso provavelmente se encontra, de acordo com a .
A Cyber Kill Chain é um conceito militar que define a estrutura de um ataque. Esse conceito nos permite enxergar em qual estágio um ataque provavelmente se encontra. Dessa forma, conseguimos nos preparar para a provável próxima fase do ataque, impedindo que ele aconteça antes que haja um impacto significativo no ambiente. Por exemplo:
Se eu encontrei logs de uma possível varredura de portas no ambiente, posso constatar que o ator malicioso encontra-se no estágio de Reconnaissance:
Caso haja logs desse mesmo endereço de IP tentando subir algum arquivo malicioso a partir de um RFI (Remote File Inclusion) por exemplo, talvez ele esteja na fase de Weaponization (Armamento);
Utilizando os conceitos do MITRE ATT&CK unificados aos conceitos da Cyber Kill Chain, conseguimos categorizar e identificar os estágios aos quais as ameaças se encontram.
Assim como para um SOC, um serviço de SIEM é estritamente necessário para o hunting. Através do SIEM, todos os logs dos sistemas monitorados podem ser normalizados e visualizados de forma mais legível e sumarizada.
Além dos SIEM, regras de detecção (ou "casos de uso") também são imprescindíveis, pois é através das regras que automatizamos buscas proativas já realizadas anteriormente. Com as regras já modeladas, podemos fazer com que alertas sejam gerados mediante a chegada de determinados logs.
As possibilidades de detecção são quase que infinitas. Podemos encontrar um IP malicioso tentando realizar um portscan, podemos encontrar um servidor de testes com uma porta aberta acidentalmente para a Internet, podemos descobrir que um computador foi vítima de ransomware, etc.
Um exemplo para detecção de varredura de portas é se um mesmo endereço de IP externo enviar requisições para 10 portas distintas de um mesmo ativo presente no seu ambiente, em um determinado período de tempo.
Dessa forma, você consegue assegurar que qualquer próxima ocorrência de portscan será detectada pela sua regra e um alerta será disparado.
Peace!
