Sendo um dos conceitos mais movimentados de segurança cibernética, a caça a ameaças tem se tornado cada vez mais popular, mas a que se refere? Você precisa disso? Você deveria estar fazendo isso? Responderemos a todas essas perguntas em detalhes.
O que é a caça de ameaças?
A prática de caça a ameaças refere-se à busca proativa de atores e conteúdos maliciosos em seu sistema. A qualquer momento, pode haver malware ou até mesmo invasores cibernéticos se esgueirando em sua rede. Eles podem passar despercebidos por um longo período de tempo, enquanto roubam informações valiosas e confidenciais, acessam suas comunicações confidenciais ou, ainda pior, abrem caminho furtivamente para adquirir credenciais que lhes permitirão assumir o controle de toda a sua rede.
Com as práticas de caça a ameaças , você se concentra especificamente nas ameaças não detectadas em sua rede. Ao fazer a caça, seus profissionais de segurança cibernética vasculham profundamente a rede de sua organização para encontrar qualquer agente malicioso que possa ter escapado de suas defesas iniciais e se escondido na escuridão.
Qual é a diferença entre gerenciamento de ameaças e caça a ameaças?
No gerenciamento de ameaças, sua equipe de segurança cibernética age à luz de dados baseados em evidências, ou em outras palavras, após ter havido um aviso ou uma notificação de um evento de segurança. Para esta prática, várias ferramentas são utilizadas, como IDS (Intrusion Detection Systems) , software de detecção de malware, firewalls ou soluções SIEM .
Por outro lado, a caça às ameaças cibernéticas ocorre antes de qualquer notificação ou alerta de um incidente de segurança . Existem três abordagens diferentes para esta prática:
Caça a ameaças cibernéticas baseada em hipóteses: essa abordagem envolve a identificação de um TTP. Depois de identificado com a ajuda de um grande conjunto de dados de ataque, sua equipe de segurança entra em ação.
Caça a ameaças cibernéticas com base em IOC ou IOA: essa abordagem envolve a utilização de informações fornecidas por IOC e IOAs. Sua equipe de segurança usa IOC e IOAs conhecidos como gatilhos que os notificam sobre ameaças potenciais, ataques furtivos e / ou atividades maliciosas.
Investigações baseadas em aprendizado de máquina: com essa abordagem, o poder impressionante das ferramentas de aprendizado de máquina e análise de dados são combinados. Essas ferramentas são usadas para vasculhar grandes quantidades de dados coletados em todos os seus sistemas e rede, a fim de detectar possíveis comportamentos maliciosos , atividades suspeitas, irregularidades e tendências.
Por que você precisa da caça de ameaças?
Com as práticas de caça a ameaças, você adota uma abordagem proativa para incidentes de segurança. Você toma as precauções necessárias antes que as ameaças à segurança se transformem em catástrofes irreversíveis.
As práticas de caça a ameaças são indispensáveis para manter sua organização segura porque as ameaças cibernéticas e os métodos de hackers continuam evoluindo de uma forma que permite que eles não sejam detectados até mesmo pelas ferramentas de gerenciamento de ameaças mais avançadas .
Referências:
Crédito da Image:Stockvault
Fonte:Blog Logsin
https://www.carbonblack.com/2017/04/19/what-is-threat-hunting/
https://securityintelligence.com/a-beginners-guide-to-threat-hunting/
https://en.wikipedia.org/wiki/Cyber_threat_hunting
https://www.crowdstrike.com/epp-101/threat-hunting/
Nenhum comentário:
Postar um comentário