Na corrida contra o cibercrime, como em um jogo de xadrez, os caçadores de ameaças estão constantemente tentando dar um passo à frente do oponente, tentando prever o seu próximo movimento. As evidências sugerem, no entanto, que a maioria das organizações mantém seus defensores em posição principalmente reativa.
Um relatório recente da Aberdeen, baseado em dados DBIR da Verizon 2014-2016, mostrou que o tempo médio para detectar um ataque é de 38 dias. São entre 5 a 6 semanas de tempo que o atacante tem contra os defensores. Embora este número seja melhor do que o que vimos nos anos anteriores, está longe de ser ideal. O tempo para a detecção é o ponto de alavancagem que você deve entender para detectar a presença do adversário e reduzir o impacto de um ataque. E para fazer isso, é preciso entender a mente do adversário.
O que podemos fazer para entrar na mente de um cibercriminoso? Há algumas coisas que você precisa saber, mas a maioria delas pode ser resumida no que eu chamo de “Três grandes conhecimentos”: conheça o inimigo, conheça sua rede e conheça suas ferramentas.
Você está lutando contra atacantes com uma forte motivação, seja financeira, política ou militar. Então pense – qual é a força motriz por trás do ataque? Você não pode basear sua defesa apenas em indicadores de compromisso, e o fato de que alguém já os viu não significa que você vai vê-los também. Lembre-se que os atacantes podem mudar seus IPs, domínios, hashes, etc. muito rapidamente, às vezes até centenas de vezes por minuto, e com pouco esforço. Portanto, os caçadores devem se concentrar nas táticas e técnicas de alto nível que lhes permitem conhecer os perfis dos atacantes e entender como suas motivações afetam seu comportamento, tudo isso ao pesquisar em toda a rede para evidenciar esses padrões comportamentais, aumentando seu conhecimento do inimigo.
Os atacantes às vezes conhecem melhor as redes de suas vítimas do que elas mesmas. Como muitas empresas ainda colocam o foco em manter os atacantes fora do perímetro da rede e fora de seus endpoint, elas não passam tempo suficiente focadas em monitoramento contínuo, detecção e resposta rápida. Então, pense como um atacante e faça um esforço para conhecer os prós e contras da sua rede melhor do que qualquer outra pessoa. Isso significa saber o que parece normal na rede, a fim de detectar padrões anormais. Você não pode saber o que parece anormal, a menos que saiba como é normal, e isso é diferente em cada ambiente.
Isso também se relaciona com o conhecimento do inimigo. Os defensores devem avaliar quais agentes são mais propensos a representar uma ameaça séria para suas redes (com base na indústria, geolocalização, perfil público, etc.), para entender quais dados eles buscarão e, portanto, quais segmentos de sua rede e quais sistemas precisam de mais atenção. Concentrar-se em alvos e motivações permite que as equipes de segurança reduzam o tipo de táticas e técnicas que os invasores são mais propensos a usar e priorizem a busca por esses modelos.
Os atacantes usam uma variedade de ferramentas, o que significa que as equipes devem fazer o mesmo para obter sucesso. Isso implica em aprender quando as ferramentas estão em pleno funcionamento e quando elas tendem a falhar, sem depender demais de nenhuma delas. Além disso, certifique-se de não se concentrar demais nas ferramentas, mas sim em quais dados são necessários para construir mais visibilidade em toda a cadeia de ataque e identificar técnicas e artefatos específicos de ataque identificados em fases anteriores. Quando não existe uma ferramenta eficaz para analisar esses dados, os caçadores de ameaças geralmente escrevem suas próprias ferramentas (ou seja, scripts) ou adaptam as que estão à mão com o uso de automação, integração e orquestração.
Então, ao pensar como um atacante e entender suas motivações, bem como táticas, técnicas e procedimentos, sua rede e suas ferramentas, você não está apenas colocando sua estratégia um passo à frente dos atacantes, mas também fortalecendo sua postura de segurança geral, passando de uma posição de segurança reativa a proativa.
*Ismael Valenzuela é engenheiro-chefe de Foundstone Services na McAfee
