Organizações prontas para dar o próximo passo em métodos de detecção de ameaças deveriam ter caçadores de riscos para aprimorar suas operações
Equipes de segurança da área de TI estão constantemente monitorando a próxima falha ou vulnerabilidades. À medida que ataques se tornaram mais avançados e disseminados, o conceito e a prática de caça de ameaças estão despontando. Identificar ameaças à segurança significa buscar vestígios de invasores no ambiente de tecnologia, no passado e no presente.
Organizações que utilizam métodos de caça a riscos fazem uso de um processo centrado em seus analistas para revelar o oculto, assim como ameaças avançadas não identificadas em sistemas de controle automatizados e preventivos. A prática difere de padrões de detecção que se baseiam principalmente em regras e algoritmos.
“Se você pode simplesmente escrever uma regra, faça. Mas, depois, você não precisa ir à caça”, diz Anton Chuvakin, vice-presidente do Gartner.
Segundo ele, embora métodos de caça a riscos incluam o uso de diversas ferramentas e processos, as pessoas estão no centro da operação. Esses raros profissionais de segurança da área de TI altamente competentes são conhecidos como caçadores de ameaças e os melhores possuem habilidades que combinam sistemas, segurança, análise de dados e criatividade.
O Gartner destaca que os melhores profissionais para exercer funções estratégicas de segurança devem ter as seguintes características:
Caçar é buscar por um invasor antes que qualquer alerta seja gerado. Proatividade nesse contexto se refere a agir antes, e não depois da invasão.
Métodos de caça focam em seguir pistas e estudar novas ideias. As ações não devem estar meramente baseadas em alertas conclusivos indicados por ferramentas e obtidos a partir de regras fixas.
As ferramentas utilizadas por caçadores de ameaças devem exercer função auxiliar para os melhores profissionais que buscam riscos escondidos.
Caçadores de riscos devem estar preparados para analisar pequenos vestígios deixados pelos invasores do ambiente de TI.
Embora procedimentos de busca de ameaças envolvam um processo de análise a partir de uma pista inicial, provavelmente existirão tentativas secundárias. Vale sempre ficar em alerta.
Muitos especialistas concordam que caçar não se trata apenas de seguir ações predefinidas. Deve-se seguir um processo criativo, com metodologia mais flexível preparada para invasores habilidosos.
A caça de ameaças depende de conhecimento técnico avançado e profunda consciência do ambiente de TI da empresa. Com isso, as empresas aprendem a procurar invasores que costumam se esconder.
Métodos de caça a riscos são adequados para organizações bem servidas de estruturas de segurança que enfrentam ameaças sorrateiras e persistentes. Empresas que contrataram caçadores maximizaram suas triagens de alerta, desenvolveram novos processos de detecção de conteúdo e maturaram suas funções de resposta a incidentes de segurança.
Para ajudar na tarefa de caça às ameaças, o Gartner incentiva executivos com poder de decisão a fazerem as seguintes perguntas preliminares como: minha empresa é alvo de avançadas ameaçadas furtivas; minha organização possui legítima necessidade de pressionar para obter respostas às ameaças antes do primeiro alerta; há preocupações sobre riscos residuais após a implementação e maturação de controles de segurança; e há incidentes que não foram indicados por nenhum alerta?
Se as respostas indicarem que sua companhia deveria adotar algum tipo de método especial de proteção, o analista do Gartner reforça a importância de verificar se você realmente está disposto a contratar e manter profissionais de segurança de ponta.
Recomenda-se também analisar se já foi responsável por melhorar e otimizar processos de controle, detecção e resposta; se sua empresa possui um centro de operações de segurança maduro; e se você tem visibilidade suficiente sobre seu ambiente de TI.
Inicialmente, as organizações podem contratar uma consultoria, um fornecedor ou um funcionário interno para essa atividade de caça de ameaças. Porém, Chuvakin observa que, enquanto existirem opções independentes, poucas empresas terão competências internas necessárias. Mas vale destacar que muitos provedores de serviços estão focados no gerenciamento de segurança de redes, e não em soluções inteligentes para mitigar ataques e identificar ameaças com a antecedência e os cuidados necessários.
