Blog WatchGuard

Go to 

4 Diferenças entre Threat Hunting e Threat Detection

07 Setembro 2021 Por Ana Paula
threat hunting and threat detection watchguard

Cada vez mais, as empresas estão a tomar consciência da importância de construir capacidades de Threat Hunting e Threat Detection que evitem pôr a sua atividade em risco. Agora mais do que nunca, quando se trata tanto de proteger a cibersegurança das empresas como de fornecer soluções e serviços eficazes de proteção, as organizações e MSPs já não podem simplesmente agir quando ocorrem ciberataques, mas sim muito antes destes ataques constituírem uma ameaça. 

Sem dúvida, a mudança global para o trabalho remoto e o e-learning depende da escolha da solução de cibersegurança certa, e o aumento global dos ataques tornou a cibersegurança uma questão cada vez mais crítica; e uma questão com novas exigências.

A abordagem desejada é proativa, não se limitando à prevenção de ameaças conhecidas, mas estudando também as novas táticas dos cibercriminosos que pretendem colocar a sua segurança à prova. Isto significa que a deteção tradicional de ameaças é acompanhada por uma caça proativa ou Threat Hunting como uma tendência (cada vez mais necessária) na cibersegurança das empresas.

O Estudo SANS 2020 Threat Hunting Survey constatou que 65% das organizações inquiridas já estão a fazer alguma forma de Threat Hunting e outros 29% estão a planear implementá-lo nos próximos 12 meses. Muitos mercados, tais como serviços financeiros, alta tecnologia, militar, governamental e de telecomunicações, têm uma necessidade crítica de remediar as ameaças o mais rapidamente possível. Embora a prevenção seja a melhor resposta aos ciberataques, a deteção precoce de ataques e a resposta rápida são fundamentais para reduzir o número de ciberataques potencialmente bem-sucedidos. 

Threat hunting e ciberameaças: o processo 

Para detetar atividades suspeitas e ciberataques avançados numa fase inicial, os nossos analistas de segurança conduzem serviços ativos de Threat Hunting. Utilizando a informação que recolhemos durante os nossos 30 anos de experiência na indústria, os nossos hunters, ou caçadores, procuram novas ameaças e comparam as hipóteses com os dados recolhidos com a nossa solução EDR (WatchGuard EDR / WatchGuard EPDR e Panda Adaptive Defense / Panda Adaptive Defense 360) para provar a sua legitimidade.

Uma vez provada, se a nova técnica de deteção for totalmente determinada, ela é acrescentada como uma nova técnica de deteção. Se a técnica não for totalmente determinada, mas permitir detetar com um elevado grau de confiança que existe um dispositivo comprometido, é gerado um indicador de ataque (IoA) que deve ser tratado rapidamente para confirmar que se trata de um ataque e agir em conformidade para o conter e remediar.

O nosso Threat Hunting Service, incluído no WatchGuard EDR e no WatchGuard EPDR, apresenta os principais indicadores de ataque e outros que são adicionados à medida que a nossa equipa de hunters identifica novos ataques potenciais na consola web das nossas soluções. Além disso, a nossa solução permite configurar endereços de e-mail que recebem notificações em tempo real sobre estas IoAs, de modo a que ações de contenção e remediação possam ser tomadas tão urgentemente quanto possível. 

Diferenças entre Threat Hunting e Threat Detection

Por vezes confundimos Threat Hunting e Threat Detection, por isso enumeramos abaixo as principais diferenças: 

  1. Threat Hunting é feito proactivamente. Os threat hunters não esperam por um alerta sobre um padrão conhecido; em vez disso, tentam encontrar pistas antes de ocorrer uma quebra de dados ou antes de ser detetado um binário desconhecido ou malicioso nos endpoints
  2. Threat Hunting é "inspirado" por suspeitas e formulação de novas hipóteses. A caça é para seguir pistas e ideias e não para verificar regras conhecidas.  
  3. Apenas analistas especializados na investigação de padrões de ataque neste tipo de dados, os threat hunters, podem fornecer este serviço. Os threat hunters confiam no seu conhecimento, experiência e mentalidade alinhados com a forma de atuação do hacker, sabendo sempre que o cliente está a ser comprometido, concentrando-se em localizar qualquer pista que permita identificar o atacante na rede sem um alerta de deteção de uma regra conhecida ou de um binário malicioso.  
  4. Threat Detection, por seu turno, é um processo que na maioria dos casos é automatizado, e orientado para detetar ameaças conhecidas, enquanto que Threat Hunting é um processo criativo com uma metodologia flexível centrada no analista que “caça o hacker.

Com estas capacidades, estamos a trazer mais visibilidade e controlo às nossas soluções de segurança para endpoints, computadores portáteis, estações de trabalho e servidores, dando aos nossos parceiros a capacidade de fornecer proteção e serviços adicionais aos seus clientes. Leia mais sobre o WatchGuard's Threat Hunting Service.

Compartilhe isso:

Registrado por: MSP, Modelos de Segurança, Segurança de Endpoint, WatchGuard Firebox, Serviços de segurança de rede, Cybersecurity Insights, Tendências de Cibersegurança
Blog Home

Posts relacionados

Blog Home