A investigação de ameaças é importante porque ameaças sofisticadas podem passar pela segurança cibernética automatizada. Embora as ferramentas de segurança automatizadas e os analistas dos centros de operações de segurança (SOC) de camada 1 e 2 sejam capazes de lidar com cerca de 80% das ameaças, você ainda precisa se preocupar com os outros 20%, que têm maior probabilidade de incluir ameaças sofisticadas que causam danos consideráveis. Com tempo e recursos suficientes, elas invadem qualquer rede e evitam ser detectadas por uma média de até 280 dias. A investigação de ameaças eficiente reduz o tempo desde a invasão até a descoberta, reduzindo os danos.
Os invasores muitas vezes se escondem por semanas, ou mesmo meses, antes de serem descobertos. Eles esperam pacientemente para extrair dados e descobrir informações confidenciais ou credenciais e desbloquear mais acessos, preparando o terreno para uma violação considerável. Quantos danos podem ser causados por possíveis ameaças? De acordo com o "Relatório do Custo de uma Violação de Dados," uma violação de dados custa à empresa, em média, quase US$ 4 milhões, e os efeitos prejudiciais podem se prolongar por anos. Quanto maior for o tempo entre a falha do sistema e a resposta, maior será o prejuízo.
Um programa de investigação de ameaças bem-sucedido se baseia na fertilidade dos dados de um ambiente. Em outras palavras, uma empresa deve primeiro ter um sistema de segurança empresarial instalado e coletando dados. As informações coletadas fornecem pistas valiosas para os investigadores de ameaças.
Os investigadores de ameaças cibernéticas agregam uma visão humana à segurança empresarial, complementando os sistemas automatizados. Eles são profissionais qualificados em segurança de TI que pesquisam, registram, monitoram e neutralizam as ameaças antes que elas possam causar problemas sérios. Esses profissionais costumam ser analistas de segurança do departamento de TI que conhecem bem as operações, mas também podem ser analistas externos.
A arte da investigação de ameaças encontra as incógnitas do ambiente. Ela vai além das tecnologias tradicionais de detecção, como o gerenciamento de eventos e informações de segurança (SIEM), a detecção e a resposta de endpoints (EDR) e outras. Os investigadores de ameaças examinam com cuidado os dados de segurança. Eles procuram malware escondido ou invasores e um padrão de atividade suspeito que um computador possa ter deixado passar ou considerado resolvido. Eles também corrigem o sistema de segurança de uma empresa para evitar a repetição desse tipo de ataque cibernético.
Os investigadores começam com uma hipótese baseada em dados de segurança ou um acionador. Esses itens servem como pontos de partida para uma investigação mais detalhada dos possíveis riscos. As investigações são de investigação estruturada, não estruturada e situacional.
Uma investigação estruturada tem como base um indicador de ataque (IoA) e táticas, técnicas e procedimentos (TTPs) de um invasor. Todas as investigações são alinhadas e baseadas nos TTPs dos agentes da ameaça. Portanto, o investigador geralmente identifica um agente de ameaça antes que o invasor cause danos ao ambiente. Esse tipo de investigação usa o framework MITRE Adversary Tactics Techniques and Common Knowledge (ATT&CK) (link fora de ibm.com), usando tanto a estrutura PRE-ATT&CK quanto a estrutura empresarial.
Uma investigação não estruturada é iniciada com base em um acionador, um dos muitos indicadores de comprometimento (IoC). Esse acionador muitas vezes orienta um investigador a procurar padrões anteriores e posteriores à detecção. Orientando a abordagem, o investigador pesquisa até onde a retenção de dados e as violações anteriormente associadas permitem.
Uma hipótese situacional vem da avaliação de risco interna de uma empresa ou de uma análise de tendências e vulnerabilidades exclusivas do ambiente de TI. As pistas orientadas por entidades provêm de dados de ataques de origem coletiva (crowdsourcing) que, quando analisados, revelam os últimos TTPs das atuais ameaças cibernéticas. Um investigador de ameaças procura esses comportamentos no ambiente.
A investigação baseada em inteligência é um modelo reativo de investigação (link fora de ibm.com) que usa IoCs de fontes de inteligência de ameaças. A investigação segue regras pré-definidas estabelecidas pelo SIEM e pela inteligência de ameaças.
As investigações baseadas em inteligência usam IoCs, valores de hash, endereços IP, nomes de domínio, redes ou artefatos de host fornecidos por plataformas de compartilhamento de inteligência, como equipes de resposta a emergências em informática (CERT). Um alerta automatizado pode ser exportado dessas plataformas e inserido no SIEM como expressão estruturada de informações de ameaça (STIX) (link fora de ibm.com) e troca automatizada confiável de informações de inteligência (TAXII) (link fora de ibm.com). Quando o SIEM recebe o alerta baseado em um IoC, o investigador de ameaças pode investigar a atividade maliciosa antes e depois do alerta para identificar comprometimento no ambiente.
A investigação de hipóteses é um modelo de investigação proativa que usa uma biblioteca de investigação de ameaças. Ela está alinhada com o framework MITRE ATT&CK e usa playbooks de detecção global para identificar grupos avançados de ameaças persistentes e ataques de malware.
As investigações baseadas em hipóteses usam os IoAs e os TTPs dos invasores. O investigador identifica os agentes de ameaça com base no ambiente, no domínio e nos comportamentos de ataque para criar uma hipótese alinhada com o framework MITRE. Quando um comportamento é identificado, o investigador de ameaças monitora os padrões de atividade para detectar, identificar e isolar a ameaça. Assim, é possível detectar proativamente os agentes da ameaça antes que eles causem danos a um ambiente.
A investigação personalizada é baseada na consciência situacional e em metodologias de investigação baseadas no setor. Ela identifica anomalias nas ferramentas de SIEM e EDR e pode ser personalizada com base nas especificações do cliente.
As investigações personalizadas ou situacionais são baseadas nas especificações dos clientes ou executadas proativamente com base em situações, como questões geopolíticas e ataques direcionados. Essas atividades de investigação podem seguir modelos de investigação baseados em inteligência e em hipóteses usando informações do IoA e do IoC.
Os investigadores usam dados de ferramentas de MDR, SIEM e análise de segurança como base para a investigação. Eles também podem usar outras ferramentas, como analisadores de pacotes, para fazer investigações baseadas em rede. Entretanto, o uso de ferramentas de SIEM e MDR exige que todas as fontes e ferramentas essenciais em um ambiente sejam integradas. Essa integração garante que as pistas do IoA e do IoC direcionem a investigação de forma adequada.
A MDR aplica a inteligência de ameaças e a investigação proativa de ameaças a fim de identificar e corrigir ameaças avançadas. Esse tipo de solução de segurança pode ajudar a reduzir o tempo de permanência dos ataques na rede e fornecer respostas rápidas e decisivas a eles.
Ao combinar o gerenciamento de informações de segurança (SIM) e o gerenciamento de eventos de segurança (SEM), o gerenciamento de eventos e informações de segurança (SIEM) oferece monitoramento e análise de eventos em tempo real, bem como rastreamento e criação de log de dados de segurança. O SIEM pode descobrir anomalias no comportamento do usuário e outras irregularidades que forneçam pistas essenciais para uma investigação mais profunda.
A análise de segurança vai além dos sistemas de SIEM básicos para oferecer insights mais profundos sobre os dados de segurança. Combinando o big data coletado pela tecnologia de segurança com aprendizado de máquina e IA mais rápidos, sofisticados e integrados, a análise de segurança acelera as investigações de ameaças porque fornece dados detalhados de observabilidade para a investigação de ameaças cibernéticas.
A inteligência de ameaças é um conjunto de dados sobre tentativas de invasão ou invasões bem-sucedidas, geralmente coletados e analisados por sistemas de segurança automatizados com aprendizado de máquina e IA.
A investigação de ameaças usa essa inteligência para fazer uma busca completa de agentes mal-intencionados em todo o sistema. Em outras palavras, a investigação começa no ponto onde a inteligência de ameaças termina. Uma investigação eficiente identifica ameaças ainda não detectadas.
Além disso, a investigação usa indicadores de ameaça como pista ou hipótese. Os indicadores de ameaça são impressões digitais virtuais deixadas por malwares, invasores, endereços IP estranhos, e-mails de phishing ou outros tráfegos de rede incomuns.
Melhore significativamente as taxas de detecção e reduza o tempo para detectar, investigar e corrigir ameaças. Saiba como iniciar seu próprio programa de investigação de ameaças cibernéticas.
O IBM Security Managed Detection and Response (MDR) oferece um recurso inovador e 24/7 para prevenção, detecção e resposta a ameaças. Os investigadores de ameaças proativos da IBM trabalham com organizações para identificar os ativos e as preocupações mais importantes.
Crie sua base de SIEM e desenvolva um programa abrangente que possa ser ampliado de acordo com as mudanças. Identifique ameaças internas, rastreie dispositivos de endpoint, proteja a nuvem e gerencie a conformidade com a IBM Security.
A detecção de ameaças é apenas a metade da equação de segurança. Para melhorar seu centro de operações de segurança (SOC), você também deve considerar uma resposta inteligente a incidentes e uma plataforma única e integrada de orquestração, automação e resposta de segurança (SOAR) com serviços gerenciados.
Encontre e corrija as vulnerabilidades mais críticas, conhecidas e desconhecidas, com a ajuda da X-Force® Red. Essa equipe autônoma de hackers veteranos trabalha com a IBM para testar a segurança e descobrir pontos fracos que podem ser explorados por invasores.
Leia artigos sobre investigação de ameaças cibernéticas, inclusive inteligência de ameaças, novas táticas e defesas.
O que é MDR e como você alinha as melhores práticas com sua equipe de segurança? Saiba como um serviço de MDR eficiente ajuda as empresas a atingir os objetivos, como a investigação de ameaças.
Entenda o risco de ciberataques com uma visão geral do cenário de ameaças
O Relatório do Custo de uma Violação de Dados mostra os impactos financeiros e as medidas de segurança que ajudam sua empresa a evitar uma violação de dados ou reduzir os custos de uma.
Saiba como a Dairy Gold melhorou a postura de segurança ao implementar o IBM® QRadar® devido aos seus recursos de integração e detecção e o IBM BigFix para descoberta e gerenciamento de endpoints.