NO RASTRO DO CIBERCRIME: PROFISSIONAIS DE THREAT HUNTING EM AÇÃO

Escrito por: Mariana Carmo

31 de janeiro de 2024

A tecnologia avança a passos largos, otimizando e oferecendo soluções inovadoras para as mais diversas necessidades da sociedade. Assim como há o dia e a noite, o yin e o yang, o preto e o branco…, há também uma dualidade no que tange o seu manejo. Como todo recurso, depende da intenção das mãos que o maneja. 

No complexo mundo digital, o cibercrime avança com as ciberameaças que se multiplicam em quantidade e sofisticação. O crime cibernético não é apenas uma violação superficial nos sistemas; é uma indústria globalizada, altamente adaptável e inovadora. A regulamentação de ransomware, ataques de Phishing direcionados e o comércio clandestino de informações roubadas representam apenas a ponta do Iceberg.

Neste cenário, os métodos convencionais de segurança já não são mais suficientes para proteger os dados sensíveis, como as infraestruturas críticas, a saúde e a integridade física dos cidadãos. É crescente a demanda por vigilantes digitais, que se carregam dia e noite pela busca incessante por informações sobre atores de ameaças e suas ações, a fim de estarem sempre um passo à frente, antecipando ataques e prejuízos à sociedade. Os profissionais de Ameaça de caça se tornou, então, fundamentais na defesa contra os cibercriminosos. 

Esses especialistas atuam como detetives virtuais, rastreando e antecipando ameaças antes que possam causar danos irreparáveis. Ó Ameaça de caça não se resume apenas a encontrar agulhas em palheiros de dados. É uma arte e ciência que exige expertise técnica, visão estratégica e um entendimento profundo do cenário de ameaças. Os profissionais nesse campo exploram dados de maneira holística, utilizando ferramentas avançadas de análise para identificar padrões sutis e comportamentos anômalos.

Dentre as técnicas mais utilizadas por esses profissionais está o OSINT (Inteligência de código aberto – Inteligência de Fontes Abertas), que consiste numa prática de coleta e análise de informações de fontes de dados acessíveis ao público em geral. Ela inclui desde redes sociais e fóruns online até registros públicos, notícias e qualquer outra informação disponível gratuitamente na internet. Outro ponto importante a se destacar, é que essa coleta não é realizada apenas em “à superfície dos talhos,” (superfície), os Caçadores de ameaças também acessamos constantemente a teia escura, uma parte da internet que não é indexada por mecanismos de busca convencionais e que, por esse motivo, pode ser um local propício para um ponto de encontro de cibercriminosos planejados em suas atividades maliciosas.

Ao contrário da abordagem reativa da segurança cibernética tradicional, o profissional de Ameaça de caça adota uma postura proativa em vez de esperar por alertas ou restrições específicas de uma possível invasão a uma instituição, por exemplo. A investigação é minuciosa. Cada pista é meticulosamente seguida, examinada e contextualizada para compreender a natureza e a gravidade da ameaça em potencial. O especialista formula hipóteses sobre possíveis ameaças com base em inteligência contextual e análise de tendências, antecipando possíveis ataques antes que os mesmos se materializem.

Mas como esses profissionais de fato atuam?

Aqui trago um exemplo de atuação do profissional de Threat Hunting:

Digamos que ele foi incumbido de identificar ameaças a uma instituição financeira. O profissional, por meio da técnica de OSINT, pesquise por termos relacionados ao seu cliente e identifique em um grupo de bate-papo online alguns fatores que oferecem um ataque direcionado a este cliente a partir da inserção de um malwares hum hum link com a finalidade de impor-lo via aplicativo de mensagem instantânea (ex: via WhatsApp). Quem clica não link terá seu dispositivo infectado e o malwares irá identificar o aplicativo da referida instituição com o objetivo de interceptar e desviar transações realizadas via Pix. O profissional, de posse das informações, elaborará um relatório especificando todas as evidências de seu achado, e encaminhará à instituição que providenciará as medidas cabíveis para bloquear a ação criminosa desses agentes, reforçando a segurança desse tipo de transação bancária.

Mais um exemplo: 

Um Caçadores de ameaças está analisando os logs de rede de uma empresa e percebe uma anomalia no tráfego de saída de um servidor que estabelece comunicação interna. Ao evoluir na investigação, o profissional verifica se há uma relação com um IP externo que não é reconhecido como legítimo pela empresa. Ao realizar uma análise dos sistemas adjacentes, diagnosticar a presença de um malwares que está tentando se infiltrar explorando vulnerabilidades ocasionadas por algumas brechas na segurança deste sistema. Com base na descoberta, o Caçadores de ameaças não apenas isola o servidor afetado para evitar mais danos, mas também traça um plano para remediar a situação.

Após o exposto sobre a atuação dos profissionais de Ameaça de caça, vale destacar que a colaboração é um pilar central em seu trabalho. Eles colaboram com equipes multidisciplinares, compartilhando informações e insights para fortalecer as defesas cibernéticas coletivas. Além disso, estão sempre em busca de aprimoramento, adaptando-se às mais recentes táticas de ataque e incorporando tecnologias emergentes em suas estratégias.

À medida que a tecnologia avança, as ameaças cibernéticas se tornam mais complexas e refinadas. Com as melhorias na Inteligência Artificial, a abrangência é de que há cada vez mais sua incorporação à expertise humana. A Inteligência Artificial já vem contribuindo na atuação dos profissionais de Ameaça de caça e continuar auxiliando nossos trabalhos. A automação por meio de Machine Learning poderá fornecer a coleta e a análise de grandes volumes de dados e a identificação de padrões anômalos de modo mais otimizado, enquanto a capacidade do homem será mais voltada para a interpretação de contextos complexos. Um aprofundamento na observação e compreensão dos perfis dos usuários a fim de detectar desvios de conduta que serão usados ​​como marcadores de possíveis atividades maliciosas também se encontram dentre as específicas. 

Conclusão

Os profissionais de Ameaça de caça representam a vanguarda da defesa cibernética. Sua dedicação incansável, habilidades multifacetadas e mentalidade proativa são fundamentais para manter a segurança digital em um ambiente constantemente atacado.

Não rastro do cibercrime, os Caçadores de ameaças são silenciosos vigilantes, rastreando os sinais invisíveis a muitos, desvendando pistas e protegendo os sistemas e as pessoas contra as ameaças mais insidiosas. Seu trabalho não é apenas uma necessidade, mas uma garantia crucial para a preservação da integridade digital em nossa era conectada.

Mariana Carmo é blue teamer (profissional da equipe azul), com foco em inteligência de ameaças, Threat Hunting e OSINT. Também escreve artigos para jornais da área de segurança da informação e é voluntário na Womcy.
Se você está gostando de nosso conteúdo, por favor, compartilhe esta postagem com sua comunidade nas redes sociais.
Compartilhe Este