NO RASTRO DO CIBERCRIME: PROFISSIONAIS DE THREAT HUNTING EM AÇÃO

Written by: Mariana Carmo

January 31, 2024

A tecnologia avança a passos largos, otimizando e proporcionando soluções inovadoras para as mais diversas necessidades da sociedade. Assim como há o dia e a noite, o yin e o yang, o preto e o branco…, há também uma dualidade no que tange o seu manejo. Como todo recurso, depende da intenção das mãos que o maneja. 

No complexo mundo digital, o cibercrime avança com as ciberameaças que se multiplicam em quantidade e sofisticação. O cibercrime não é apenas uma violação superficial nos sistemas; é uma indústria globalizada, altamente adaptável e inovadora. A proliferação de ransomwares, ataques de phishing direcionados e o comércio clandestino de informações roubadas representam apenas a ponta do iceberg.

Neste cenário, os métodos convencionais de segurança já não são mais suficientes para proteger os dados sensíveis, as infraestruturas críticas, a saúde e a integridade física dos cidadãos. É crescente a demanda por vigilantes digitais, que se encarregam dia e noite pela busca incessante por informações sobre atores de ameaças e suas ações, a fim de estarem sempre um passo à frente, antevendo ataques e prejuízos à sociedade. Os profissionais de Threat Hunting tornaram-se, então, fundamentais na defesa contra os cibercriminosos. 

Esses especialistas atuam como detetives virtuais, rastreando e antecipando ameaças antes que possam causar danos irreparáveis. O Threat Hunting não se resume apenas a encontrar agulhas em palheiros de dados. É uma arte e ciência que demanda expertise técnica, visão estratégica e um profundo entendimento do cenário de ameaças. Os profissionais nesse campo exploram dados de maneira holística, utilizando ferramentas avançadas de análise para identificar padrões sutis e comportamentos anômalos.

Dentre as técnicas mais utilizadas por esses profissionais está o OSINT (Open Source Intelligence – Inteligência de Fontes Abertas), que consiste numa prática de coleta e análise de informações de fontes de dados acessíveis ao público em geral. Ela inclui desde redes sociais e fóruns online até registros públicos, notícias, e qualquer outra informação disponível livremente na internet. Outro ponto importante a se destacar, é que essa coleta não é realizada apenas na “surface” (superfície), os Threat Hunters também acessam constantemente a dark web, uma parte da internet que não é indexada pelos mecanismos de busca convencionais e que, por este motivo, pode ser um local propício para um ponto de encontro de cibercriminosos planejarem suas atividades maliciosas.

Ao contrário da abordagem reativa da segurança cibernética tradicional, o profissional de Threat Hunting adota uma postura proativa em vez de esperar por alertas ou indicações específicas de uma possível invasão a uma instituição, por exemplo. A investigação é minuciosa.  Cada pista é meticulosamente seguida, examinada e contextualizada para compreender a natureza e a gravidade da ameaça em potencial. O especialista formula hipóteses sobre possíveis ameaças com base em inteligência contextual e análise de tendências, antecipando possíveis ataques antes mesmo deles se materializarem.

Mas como esses profissionais de fato atuam?

Aqui trago um exemplo da atuação do profissional de Threat Hunting:

Digamos que ele foi incumbido de identificar ameaças a uma instituição financeira. O profissional, por meio da técnica de OSINT, pesquisa por termos relacionados ao seu cliente e identifica em um grupo de chat online alguns atores planejando um ataque direcionado a este cliente a partir da inserção de um malware em um link com a finalidade de compartilhá-lo via aplicativo de mensagem instantânea (ex: via WhatsApp). Quem clicar no link terá seu dispositivo infectado e o malware irá identificar o aplicativo da referida instituição com o objetivo de interceptar e desviar quantias de transações feitas via Pix. O profissional, em posse das informações, irá elaborar um relatório especificando todas as evidências de seu achado, e o encaminhará à instituição que providenciará as medidas cabíveis para bloquear a ação criminosa desses agentes, reforçando a segurança desse tipo de transação bancária.

Mais um exemplo: 

Um Threat Hunter está analisando os logs de rede de uma empresa e percebe uma anomalia no tráfego de saída de um servidor que geralmente estabelece comunicação interna. Ao evoluir na investigação, o profissional verifica que há uma relação com um IP externo que não é reconhecido como legítimo pela empresa. Ao realizar uma análise dos sistemas adjacentes, diagnostica a presença de um malware que está tentando se infiltrar explorando vulnerabilidades ocasionadas por algumas brechas na segurança deste sistema. Com base na descoberta, o Threat Hunter não apenas isola o servidor afetado para evitar mais danos, mas também traça um plano para remediar a situação.

Após o exposto sobre a atuação dos profissionais de Threat Hunting, vale destacar que a colaboração é um pilar central em seu trabalho. Eles colaboram com equipes multidisciplinares, compartilhando informações e insights para fortalecer as defesas cibernéticas coletivas. Além disso, estão sempre em busca de aprimoramento, adaptando-se às mais recentes táticas de ataque e incorporando tecnologias emergentes em suas estratégias.

À medida que a tecnologia avança, as ameaças cibernéticas se tornam mais complexas e refinadas. Com as melhorias na Inteligência Artificial, as previsões é de que haja cada vez mais sua incorporação à expertise humana. A Inteligência Artificial já vem contribuindo na atuação dos profissionais de Threat Hunting e continuará auxiliando nos seus trabalhos.  A automação por meio de Machine Learning poderá proporcionar a coleta e a análise de grandes volumes de dados e identificação de padrões anômalos de modo mais otimizado, enquanto a capacidade do homem estará mais voltada à interpretação de contextos complexos. Um aprofundamento na observação e compreensão dos perfis dos usuários a fim de detectar desvios de conduta que serão utilizados como marcadores de possíveis atividades maliciosas também se encontra dentre as previsões. 

Conclusão

Os profissionais de Threat Hunting representam a vanguarda da defesa cibernética. Sua dedicação incansável, habilidades multifacetadas e mentalidade proativa são fundamentais para manter a segurança digital em um ambiente constantemente atacado.

No rastro do cibercrime, os Threat Hunters são silenciosos vigilantes, rastreando os sinais invisíveis a muitos, desvendando pistas e protegendo os sistemas e as pessoas contra as ameaças mais insidiosas. Seu trabalho não é apenas uma necessidade, mas uma garantia crucial para a preservação da integridade digital em nossa era conectada.

Mariana Carmo é blue teamer (profissional da equipe azul), com foco em inteligência de ameaças, threat hunting e OSINT. Também escreve artigos para periódicos da área de segurança da informação e é voluntária na Womcy.
If you are enjoying our content, kindly consider sharing this post with your community on social media.
Share This