O que é a caça às ciberameaças?
A caça às ciberameaças é o processo de procura proactiva de ameaças desconhecidas ou não detetadas na rede, nos terminais e nos dados de uma organização.
Como funciona a caça às ciberameaças
A caça às ciberameaças utiliza caçadores de ameaças para procurar preventivamente potenciais ameaças e ataques num sistema ou rede. Isto permite respostas ágeis e eficientes a ciberataques cada vez mais complexos e operados por humanos. Enquanto os métodos tradicionais de cibersegurança identificam as violações de segurança após o facto, a caça às ciberameaças parte do princípio de que ocorreu uma violação e pode identificar, adaptar e responder a potenciais ameaças imediatamente após a deteção.
Os atacantes sofisticados podem invadir uma organização e permanecer sem serem detetados durante longos períodos de tempo - dias, semanas ou mesmo mais. Acrescentar a caça às ciberameaças ao seu perfil atual de ferramentas de segurança, como a deteção e resposta de pontos finais (EDR) e a gestão de informações e eventos de segurança (SIEM), pode ajudá-lo a prevenir e remediar ataques que, de outra forma, poderiam não ser detetados por ferramentas de segurança automatizadas.
Caça automatizada a ameaças
Os caçadores de ciberameaças podem automatizar certos aspetos do processo utilizando a aprendizagem automática, a automatização e a IA. Tirar partido de soluções como o SIEM e o EDR pode ajudar os caçadores de ameaças a simplificar os procedimentos de caça, monitorizando, detetando e respondendo a potenciais ameaças. Os caçadores de ameaças podem criar e automatizar diferentes manuais para responder a diferentes ameaças, aliviando assim o fardo das equipas de TI sempre que surgem ataques semelhantes.
Ferramentas e técnicas para a caça às ciberameaças
Os caçadores de ameaças têm inúmeras ferramentas à sua disposição, incluindo soluções como SIEM e XDR, que são concebidas para trabalhar em conjunto.
- SIEM: Uma solução que recolhe dados de várias fontes com análise em tempo real, o SIEM pode fornecer aos caçadores de ameaças pistas sobre potenciais ameaças.
- Deteção e resposta alargada (XDR): Os caçadores de ameaças podem utilizar o XDR, que fornece informações sobre ameaças e interrupção automatizada de ataques, para obter uma maior visibilidade das ameaças.
- EDR: O EDR, que monitoriza os dispositivos dos utilizadores finais, também fornece aos caçadores de ameaças uma ferramenta poderosa, dando-lhes uma visão das potenciais ameaças em todos os terminais de uma organização.
Três tipos de caça às ciberameaças
A caça às ciberameaças assume normalmente uma das três formas seguintes:
Estruturada: Numa caçada estruturada, os caçadores de ameaças procuram táticas, técnicas e procedimentos (TTPs) suspeitos que sugerem potenciais ameaças. Em vez de abordar os dados ou o sistema e procurar os infratores, o caçador de ameaças cria uma hipótese sobre o método de um potencial atacante e trabalha metodicamente para identificar os sintomas desse ataque. Uma vez que a caça estruturada é uma abordagem mais proactiva, os profissionais de TI que utilizam esta tática podem frequentemente intercetar ou parar os atacantes rapidamente.
Não estruturado: Numa caçada não estruturada, o caçador de ciberameaças procura um indicador de compromisso (IoC) e efectua a pesquisa a partir deste ponto de partida. Como o caçador de ameaças pode voltar atrás e procurar padrões e pistas nos dados históricos, as caçadas não estruturadas podem, por vezes, identificar ameaças anteriormente não detetadas que podem ainda colocar a organização em risco.
Situação: A caça às ameaças situacionais dá prioridade a recursos ou dados específicos no ecossistema digital. Se uma organização avaliar que determinados funcionários ou ativos constituem os riscos mais elevados, pode direcionar os caçadores de ciberameaças para concentrarem esforços na prevenção ou correção de ataques contra essas pessoas, conjuntos de dados ou pontos finais vulneráveis.
Etapas e implementação da caça às ameaças
Os caçadores de ameaças cibernéticas seguem frequentemente estes passos básicos quando investigam e corrigem ameaças e ataques:
- Criar uma teoria ou hipótese sobre uma potencial ameaça. Os caçadores de ameaças podem começar por identificar as TTPs comuns de um atacante.
- Realizar investigação. Os caçadores de ameaças investigam os dados, sistemas e atividades da organização - uma solução SIEM pode ser uma ferramenta útil - e recolhem e processam informações relevantes.
- Identifique o acionador. Os resultados da investigação e outras ferramentas de segurança podem ajudar os caçadores de ameaças a distinguir um ponto de partida para a sua investigação.
- Investigue a ameaça. Os caçadores de ameaças utilizam as suas pesquisas e ferramentas de segurança para determinar se a ameaça é maliciosa.
- Responder e remediar. Os caçadores de ameaças tomam medidas para resolver a ameaça.
Tipos de ameaças que os caçadores podem detetar
A caça às ameaças cibernéticas tem a capacidade de identificar uma vasta gama de ameaças diferentes, incluindo as seguintes:
- Malware e vírus: O malware impede a utilização de dispositivos normais ao obter acesso não autorizado a dispositivos de ponto final. Os ataques de phishing, o spyware, o adware, os trojans, os worms e o ransomware são exemplos de malware. Os vírus, algumas das formas mais comuns de malware, são concebidos para interferir com o funcionamento normal de um dispositivo, gravando, corrompendo ou eliminando os seus dados antes de se propagarem a outros dispositivos numa rede.
- Ameaças internas: As ameaças internas provêm de indivíduos com acesso autorizado à rede de uma organização. Quer através de ações maliciosas, quer através de comportamentos inadvertidos ou negligentes, estes infiltrados utilizam indevidamente ou causam danos às redes, dados, sistemas ou instalações da organização.
- Ameaça avançada persistente: Os atores sofisticados que violam a rede de uma organização e permanecem sem serem detetados durante um período de tempo representam ameaças persistentes avançadas. Estes atacantes são qualificados e, muitas vezes, dispõem de bons recursos.
Ataques de engenharia social: Os ciberataques podem utilizar a manipulação e o engano para induzir os funcionários de uma organização a cederem acesso ou informações sensíveis. Os ataques comuns de engenharia social incluem phishing, baiting e scareware.
Melhores práticas de caça às ciberameaças
Ao implementar um protocolo de caça a ameaças cibernéticas na sua organização, tenha em mente as seguintes práticas recomendadas:
- Dê aos caçadores de ameaças visibilidade total da sua organização. Os caçadores de ameaças são mais bem sucedidos quando compreendem o panorama geral.
- Manter ferramentas de segurança complementares como SIEM, XDR e EDR. Os caçadores de ciberameaças confiam nas automatizações e nos dados fornecidos por estas ferramentas para identificar ameaças mais rapidamente e com maior contexto para uma resolução mais rápida.
- Manter-se informado sobre as últimas ameaças e táticas emergentes. Os atacantes e as suas táticas estão em constante evolução - certifique-se de que os seus caçadores de ameaças têm os recursos mais atualizados sobre as tendências atuais.
- Formar os empregados para identificar e comunicar comportamentos suspeitos. Reduza a possibilidade de ameaças internas, mantendo o seu pessoal informado.
- Implemente a gestão de vulnerabilidades para reduzir a exposição geral do risco da sua organização.
Porque é que a caça às ameaças é importante para as organizações
À medida que os agentes maliciosos se tornam cada vez mais sofisticados nos seus métodos de ataque, é vital que as organizações invistam na caça proativa às ameaças cibernéticas. Complementar a formas mais passivas de proteção contra ameaças, a caça às ciberameaças colmata as lacunas de segurança, permitindo às organizações remediar ameaças que, de outra forma, não seriam detetadas. A intensificação das ameaças de atacantes complexos significa que as organizações devem reforçar as suas defesas para manter a confiança na sua capacidade de tratar dados sensíveis e reduzir os custos associados às violações de segurança.
Produtos como o Microsoft Sentinel podem ajudá-lo a manter-se à frente das ameaças, recolhendo, armazenando e acedendo a dados históricos à escala da nuvem, simplificando as investigações e automatizando tarefas comuns. Estas soluções podem fornecer aos caçadores de ameaças cibernéticas ferramentas poderosas para ajudar a manter a sua organização protegida.
Saiba mais sobre o Microsoft Security
Microsoft Sentinel
Veja e pare ameaças em toda a sua empresa com a análise de segurança inteligente.
Especialistas do Microsoft Defender para Procura
Expanda a investigação de ameaças proativa que vai além dos pontos finais.
Informações sobre Ameaças do Microsoft Defender
Ajude a proteger a sua organização contra ameaças e adversários modernos, como ransomware.
Perguntas mais frequentes
-
Um exemplo de caça às ciberameaças é uma caça baseada em hipóteses, na qual o caçador de ameaças identifica as táticas, técnicas e procedimentos suspeitos que um atacante poderá utilizar e, em seguida, procura provas dos mesmos na rede de uma organização.
-
A deteção de ameaças é uma abordagem ativa, frequentemente automatizada, à cibersegurança, enquanto a caça às ameaças é uma abordagem proactiva, não automatizada.
-
Um centro de operações de segurança (SOC) é uma função ou equipa centralizada, no local ou subcontratada, responsável por melhorar a postura de cibersegurança de uma organização e prevenir, detetar e responder a ameaças. A caça às ciberameaças é uma das táticas que os SOCs utilizam para identificar e remediar ameaças.
-
As ferramentas de caça às ciberameaças são recursos de software à disposição das equipas de TI e dos caçadores de ameaças para ajudar a detetar e remediar as ameaças. Exemplos de ferramentas de caça às ameaças incluem coisas como proteções antivírus e de firewall, software EDR, ferramentas SIEM e análise de dados.
-
O principal objetivo da caça às ciberameaças é detetar e remediar proactivamente ameaças e ataques sofisticados antes que estes prejudiquem a organização.
-
A inteligência contra ciberameaças é a informação e os dados que o software de cibersegurança recolhe, muitas vezes automaticamente, como parte dos seus protocolos de segurança para melhor se proteger contra ciberataques. A caça às ameaças envolve a recolha de informações a partir da inteligência sobre ameaças e a sua utilização para fundamentar hipóteses e ações de procura e correção de ameaças.
Siga o Microsoft Security