0
0
A importância da detecção de ameaças não pode ser exagerada. Um estudo recente da Verizon revelou que o principal método de descoberta (mais de 50%) para violações é, na verdade, a divulgação pelo próprio agente da ameaça após um comprometimento bem-sucedido. À medida que os métodos e a sofisticação dos ataques continuam a evoluir, as equipes de segurança precisam priorizar a detecção de ameaças para que possam identificar atividades suspeitas antes que ocorra uma violação.
Para detectar ameaças hoje, não se trata apenas de quais métodos usar, mas também quais dados. Os logs do servidor de endpoint e da estação de trabalho são um começo. Mas existem pontos cegos importantes, a menos que a visibilidade da detecção de ameaças se estenda à rede e à nuvem também. As equipes precisam analisar quais dados usar, como os dados podem indicar atividades suspeitas e o que esperar. Este artigo examinará os três principais métodos de detecção – assinatura, comportamento e aprendizado de máquina – e por que todos são essenciais para a segurança cibernética corporativa.
Detecção de ameaças baseada em assinatura
Os métodos de detecção baseados em assinatura consistem em procurar indicadores – hashes, nomes de arquivos, registro de nomes de chaves ou strings que aparecem em um arquivo – de atividade maliciosa. Por exemplo: um nome de arquivo conhecido associado a um malware dropper como c: \windows\system32\bigdrop.exe ou um arquivo com um hash que corresponda a um malware conhecido. Mas também existem assinaturas mais generalizadas, como novos valores que aparecem em chaves de registro frequentemente usadas por invasores para obter persistência, procurando scripts do PowerShell com codificação base64 ou o Microsoft Word iniciando um script do PowerShell.
Os métodos baseados em assinatura existem há muito tempo e podem ser usados para detecções baseadas em endpoint e rede. Por exemplo, o Snort , um sistema de prevenção de intrusão (IPS) de código aberto que usa regras para detectar atividades maliciosas na rede e gera alertas para análise do analista, é um excelente sistema de registro onde podem ser encontradas detecções de ataques que datam de 20 anos. As vastas bibliotecas dos sistemas de detecção baseados em assinatura permitem que os caçadores de ameaças façam referências cruzadas a indicadores de malware.
Os métodos de detecção baseados em assinatura são ótimos para identificar ataques conhecidos, mas não podem ajudá-lo se o invasor estiver usando novas técnicas ou pequenas modificações nas antigas. Sem um elemento de automação, além de contexto adicional, esse método de detecção de ameaças pode ser difícil de gerenciar.
Detecção de ameaças baseada em comportamento
Métodos de detecção baseados em comportamento são uma excelente maneira de identificar comportamentos anormais que podem indicar ataques mal-intencionados em endpoints, dispositivos etc. O analista de segurança usa uma variedade de técnicas para estabelecer linhas de base para usuários e comparar esses padrões normais com quaisquer ações fora do padrão. Por exemplo, você pode criar uma linha de base do uso do aplicativo de um usuário individual e compará-lo com ele mesmo, para sinalizar coisas como o uso de um aplicativo que ele nunca usou antes ou talvez fazer login de um local que nunca visitou antes.
Esses métodos de detecção exigem atualizações regulares de linha de base com informações atuais para permanecerem relevantes. Muitos desses métodos são criados a partir de uma linha de base que é criada apenas uma vez, mas o comportamento do usuário está sempre mudando, portanto, a linha de base precisa ser atualizada regularmente para levar em conta comportamentos novos, diferentes e não suspeitos. Algumas ferramentas podem criar linhas de base de comportamento automaticamente, enquanto outras requerem intervenção manual.
Detecção de ameaças baseada em ML
O aprendizado de máquina é uma daquelas palavras da moda do setor que podem significar coisas diferentes com base em qual fornecedor ou setor vertical com o qual você interage. Mas, para fins de detecção de ameaças, o aprendizado de máquina fornece uma nova maneira de aumentar a eficiência da segurança cibernética, aproveitando mais e melhores dados estruturados por meio de telemetria na rede, endpoint e rede, bem como de serviços de identidade e serviços em nuvem.
Esses grandes conjuntos de dados podem usar abordagens de aprendizado supervisionado ou não supervisionado para revelar mudanças sutis que podem ser um indicador de atividade maliciosa. Este desenvolvimento recente nos deu uma nova visão sobre um host e outros comportamentos de entidade, permitindo a análise de conjuntos de dados massivos.
Normalmente, o aprendizado de máquina sozinho pode não ser capaz de detectar ameaças diretamente, mas pode ser usado em conjunto com metodologias de detecção mais determinísticas para melhorar a fidelidade e adicionar cores importantes aos alertas. Por exemplo, um usuário que tem uma pontuação de alto risco, mas também está gerando tráfego de rede incomum: qualquer uma dessas coisas por si só pode não ser interessante, mas juntas começam a construir uma imagem.
Qualidade e limpeza dos dados que estão sendo analisados são críticos com este método. Também é importante como os resultados são enriquecidos ao comunicá-los ao analista, uma vez que uma saída matemática de um algoritmo precisa ser traduzida em algo consumível por um analista humano.
Conclusão
Com o aumento contínuo e persistente das ameaças cibernéticas, é mais importante do que nunca que as organizações tenham uma solução de monitoramento de segurança que lhes permita visibilidade total de todo o ambiente – seja no local, na nuvem ou uma combinação de ambos. As plataformas de segurança cibernética que oferecem recursos de resposta automatizada podem ajudar a impedir essas ameaças, permitindo recursos de detecção e resposta que mantêm dados valiosos seguros, garantindo que clientes e empresas permaneçam protegidos.
FONTE: HELPNET SECURITY