Série sobre Threat Hunting para MSPs: uma Prioridade Máxima para Seus Clientes
Esta é a primeira de uma série de quatro postagens criadas para ajudar você a conhecer os serviços de threat hunting.
Os agentes de ameaça da atualidade são bem organizados, altamente qualificados, motivados e focados nos alvos do ataque. Esses inimigos podem estar à espreita ou ameaçando invadir sua rede, com métodos cada vez mais sofisticados para atingir o objetivo pretendido. Ou seja, normalmente não há necessidade de os adversários implantarem malware nos estágios iniciais do ataque. Em geral, eles já têm todas as ferramentas de que precisam para entrar na rede e mover-se lateralmente para instrumentalizar os aplicativos legítimos presentes nos endpoints.
Além disso, os ataques podem vir de muitas superfícies de ameaças diferentes para explorar vulnerabilidades que podem estar presentes na rede, nos endpoints e nas pessoas de uma organização. O pior de tudo é que as organizações não sabem quem são esses inimigos nem quando, onde ou como um ataque bem planejado ocorrerá. Hoje, até mesmo os mecanismos de detecção avançados têm dificuldade em prever como será a evolução dos vetores de ataque.
Essa tendência representa grandes desafios para os programas de segurança das organizações. Por isso, é tão importante usar uma combinação de controle baseado em tecnologia com serviço de hunting proativo liderado por humanos para garantir que a organização se mova mais rápido do que a velocidade da ameaça, permanecendo protegida e resiliente.
Um ataque living-off-the-land (LotL) descreve um ciberataque em que os hackers usam software legítimo e funções disponíveis no sistema para realizar ações maliciosas.
Os invasores que usam LotL vasculham os sistemas buscando por ferramentas, como componentes do sistema operacional, configurações incorretas ou software instalado, que podem ser usadas para atingir os objetivos do ataque. Os ataques LotL são classificados como malware sem arquivo porque não deixam nenhum artefato para trás.
A função do threat hunting
O threat hunting é uma função especializada pouco compreendida normalmente. Por isso, é essencial primeiro examinar o que queremos dizer quando usamos o termo “threat hunting”.
A expressão pode ser definida como um processo centrado no analista que permite às organizações descobrir ameaças avançadas pouco evidentes, que não são identificadas por controles preventivos e de detecção automatizados. Em termos simples, a missão do threat hunting é encontrar as ameaças desconhecidas que conseguem contornar os controles baseados em tecnologia.
Esse serviço serve para lidar com o 1% restante dos comportamentos desconhecidos. Não se trata de encontrar malware e identificar atividades anormais. A tecnologia é o ponto de partida necessário para detectar e eliminar proativamente as ameaças na Cyber Kill Chain antes que o dano seja feito. Embora essa tecnologia não seja destinada à identificação de malware, a threat hunting fornecida nas soluções de Segurança de Endpoint Avançada da WatchGuard beneficia o Serviço de Aplicação Zero Trust, bloqueando qualquer ataque quando um aplicativo malicioso tenta ser executado, mesmo quando o comportamento anormal não é interrompido.
As organizações precisam pensar no threat hunting não como um serviço opcional, mas como uma proteção obrigatória. É preciso usar essa tecnologia como uma função contínua, e não esporádica, já que isso é essencial em qualquer programa robusto de cibersegurança.
O threat hunting é uma iniciativa prioritária de segurança
Apesar de ser uma área emergente, há um interesse significativo no threat hunting. Segundo a Pulse, 32% dos líderes de TI dizem que planejam reforçar a postura de segurança de endpoint adicionando um programa de threat hunting à estratégia geral de segurança.
As tecnologias EDR e EPDR da WatchGuard, combinadas com o Serviço de Threat hunting e o Gerenciamento de Patches, fornecem uma única solução que você pode adicionar aos seus serviços gerenciados de segurança para cobrir todos os recursos extras nos próximos 12 meses.
Com apenas um agente leve para implantar e gerenciar a partir de um único console baseado em nuvem, essas soluções são uma extensão da oferta de serviço atual.
Veja o que os maiores especialistas no assunto têm a dizer sobre os detalhes da atividade de threat hunting no nosso eBook mais recente: Seu programa de Serviço de Threat hunting simplificado com a WatchGuard e inicie o roteiro de aprendizagem sobre o Serviço de Threat hunting com a Segurança de Endpoint Avançada.