Busca de Ameaças para MSPs: Superando Barreiras para uma Implementação Bem-sucedida

Definir um programa interno de threat hunting é uma tarefa complexa e pode revelar os seguintes desafios:

1. Falta de conhecimento humano dedicado ao threat hunting

As decisões sobre que parte da análise automatizar e como fazer isso para detectar proativamente e orientar entradas e perguntas só podem ser conduzidas por especialistas experientes. Essas decisões estão em constante evolução, o que significa incorporar a busca contínua de ameaças em fluxos de trabalho de segurança diários. Muitas organizações entendem que essa tarefa deve ser mais uma das responsabilidades dos analistas de segurança já sobrecarregados. Por isso, as atividades de hunting são realizadas conforme o tempo permite e carecem da estrutura necessária para definir, executar e aplicar os aprendizados e observações.

O Serviço de Threat Hunting da WatchGuard oferece conhecimento de excelência e amplia os recursos existentes da equipe de segurança.

2. Falta de fluxos de trabalho estruturados para acelerar o processamento

Ter fluxos de trabalho estruturados e consistentes é um ponto fundamental para o sucesso nos esforços de hunting. Adotar uma abordagem não estruturada para operações de hunting reduz a eficácia no combate a ameaças avançadas e bem organizadas.

O serviço da WatchGuard segue uma metodologia de busca bem estruturada para aproveitar ao máximo a telemetria valiosa e de longo prazo. O processo abrange ferramentas e fluxos de trabalho que pesquisam ameaças invisíveis na telemetria, garantindo que as descobertas sejam aproveitadas para melhorar a detecção automatizada. O resultado disso é a obtenção de insights para mitigar ameaças e reduzir a superfície de ataque.

3. Falta de visibilidade

Seja para hunting, investigação ou análise forense, o acesso de longo prazo à telemetria é essencial. Por isso, a telemetria em todos os endpoints é fundamental para a detecção e a resposta de endpoints. Os agentes de endpoint leves coletam telemetria robusta, oferecendo visibilidade detalhada para dar suporte a processos mais rápidos e precisos de busca, investigação e resposta a incidentes durante o ciclo de vida da proteção contra ameaças.

A telemetria deve ser normalizada automaticamente, ficar armazenada em escala e estar acessível para análise imediata e consistente. De acordo com o Ponemon Institute, em 2021, o tempo médio para identificar uma violação era de 212 dias, e o tempo médio para contê-la era de mais 75 dias. Os especialistas em ameaças precisam investigar retrospectivamente por pelo menos 300 dias. Caso contrário, eles podem ser pegos de surpresa em pesquisas e investigações.

A WatchGuard acredita que 365 dias de retenção é uma necessidade. Nossos hunters de ameaças usam a telemetria avançada em tempo real, que oferece visibilidade total ao alcance dos dedos.

4. Falta de tecnologias, ferramentas e inteligência atualizada contra ameaças

Uma solução de Detecção e Resposta de Endpoints (EDR) eficaz requer grandes quantidades de telemetria coletadas dos endpoints, enriquecidas com contexto e correlacionadas para serem exploradas em busca de sinais de ataque. Ter acesso a ferramentas de pesquisa de telemetria rápidas e fáceis de usar é fundamental para que os especialistas possam detectar ameaças mais rapidamente. Dessa forma, eles podem dinamizar entidades, eventos e parâmetros para identificar padrões de ataque e examinar o que está acontecendo nos endpoints.

Os programas de threat hunting bem-sucedidos precisam ser informados por inteligência. Hoje, a maioria das organizações que fazem o hunting interno de ameaças opera em níveis baixos no modelo de maturidade do especialista, já que essas atividades são reativas e frequentemente informadas por indicadores de comprometimento (IoCs) conhecidos. No entanto, o verdadeiro threat hunting é um exercício proativo, o que significa procurar comportamentos desconhecidos para encontrar e interromper as ameaças antes que aconteça qualquer dano. Por isso, para que os especialistas possam executar um hunting contínuo e bem-sucedido, eles devem ser informados por inteligência de alta qualidade em tempo real e no contexto.

A Plataforma de Segurança Unificada da WatchGuard™ aprimora a telemetria com nosso Serviço Zero Trust de Aplicação e um grande volume de inteligência contra ameaças contextualizada, atualizada e de alta qualidade.

5. Custo excessivo e complexidade

As organizações percebem cada vez mais a necessidade de detectar as ameaças em constante evolução. No entanto, as empresas que tentaram definir um programa de busca de ameaças maduro internamente se depararam logo com as complexidades e os custos do processo. Isso acontece devido à necessidade de infraestrutura, ferramentas, conhecimento, fluxos de trabalho e inteligência contra ameaças.

Manter a prática consistente sem qualquer suporte externo tende a se tornar insustentável, até mesmo para as equipes de segurança mais experientes.

Para acessar outras informações, consulte o nosso eBook mais recente, “Seu Programa de Serviço de Busca de Ameaças Simplificado com a WatchGuard” e comece sua jornada de proteção de sucesso com a Segurança de Endpoint Avançada da WatchGuard.