Para ser um bom caçador de ameaças cibernéticas é preciso conhecer seu inimigo

Na
corrida contra o cibercrime, como em um jogo de xadrez, os caçadores de
ameaças estão constantemente tentando dar um passo à frente do
oponente, tentando prever o seu próximo movimento. As evidências
sugerem, no entanto, que a maioria das organizações mantém seus
defensores em posição principalmente reativa.

Um
relatório recente da Aberdeen, baseado em dados DBIR da Verizon
2014-2016, mostrou que o tempo médio para detectar um ataque é de 38
dias. São entre 5 a 6 semanas de tempo que o atacante tem contra os
defensores. Embora este número seja melhor do que o que vimos nos anos
anteriores, está longe de ser ideal. O tempo para a detecção é o ponto
de alavancagem que você deve entender para detectar a presença do
adversário e reduzir o impacto de um ataque. E para fazer isso, é
preciso entender a mente do adversário.

O
que podemos fazer para entrar na mente de um cibercriminoso? Há algumas
coisas que você precisa saber, mas a maioria delas pode ser resumida no
que eu chamo de “Três grandes conhecimentos”: conheça o inimigo,
conheça sua rede e conheça suas ferramentas.

Você
está lutando contra atacantes com uma forte motivação, seja financeira,
política ou militar. Então pense – qual é a força motriz por trás do
ataque? Você não pode basear sua defesa apenas em indicadores de
compromisso, e o fato de que alguém já os viu não significa que você vai
vê-los também. Lembre-se que os atacantes podem mudar seus IPs,
domínios, hashes, etc. muito rapidamente, às vezes até centenas de vezes
por minuto, e com pouco esforço. Portanto, os caçadores devem se
concentrar nas táticas e técnicas de alto nível que lhes permitem
conhecer os perfis dos atacantes e entender como suas motivações afetam
seu comportamento, tudo isso ao pesquisar em toda a rede para evidenciar
esses padrões comportamentais, aumentando seu conhecimento do inimigo.

Os
atacantes às vezes conhecem melhor as redes de suas vítimas do que elas
mesmas. Como muitas empresas ainda colocam o foco em manter os
atacantes fora do perímetro da rede e fora de seus endpoint, elas não
passam tempo suficiente focadas em monitoramento contínuo, detecção e
resposta rápida. Então, pense como um atacante e faça um esforço para
conhecer os prós e contras da sua rede melhor do que qualquer outra
pessoa. Isso significa saber o que parece normal na rede, a fim de
detectar padrões anormais. Você não pode saber o que parece anormal, a
menos que saiba como é normal, e isso é diferente em cada ambiente.

Isso
também se relaciona com o conhecimento do inimigo. Os defensores devem
avaliar quais agentes são mais propensos a representar uma ameaça séria
para suas redes (com base na indústria, geolocalização, perfil público,
etc.), para entender quais dados eles buscarão e, portanto, quais
segmentos de sua rede e quais sistemas precisam de mais atenção.
Concentrar-se em alvos e motivações permite que as equipes de segurança
reduzam o tipo de táticas e técnicas que os invasores são mais propensos
a usar e priorizem a busca por esses modelos.

Os
atacantes usam uma variedade de ferramentas, o que significa que as
equipes devem fazer o mesmo para obter sucesso. Isso implica em aprender
quando as ferramentas estão em pleno funcionamento e quando elas tendem
a falhar, sem depender demais de nenhuma delas. Além disso,
certifique-se de não se concentrar demais nas ferramentas, mas sim em
quais dados são necessários para construir mais visibilidade em toda a
cadeia de ataque e identificar técnicas e artefatos específicos de
ataque identificados em fases anteriores. Quando não existe uma
ferramenta eficaz para analisar esses dados, os caçadores de ameaças
geralmente escrevem suas próprias ferramentas (ou seja, scripts) ou
adaptam as que estão à mão com o uso de automação, integração e
orquestração.

Então,
ao pensar como um atacante e entender suas motivações, bem como
táticas, técnicas e procedimentos, sua rede e suas ferramentas, você não
está apenas colocando sua estratégia um passo à frente dos atacantes,
mas também fortalecendo sua postura de segurança geral, passando de uma
posição de segurança reativa a proativa.

(*) Ismael Valenzuela é engenheiro-chefe de Foundstone Services na McAfee