Caça às Ameaças
A busca proativa por sinais de comprometimento, técnicas conhecidas de atores de ameaça e outras atividades maliciosas que detecção automatizada pode ter perdido.
Definição
Caça às Ameaças é o processo proativo e liderado por humanos de buscar através de rede e logs de segurança por evidência de:
- Atores de ameaça que evitaram detecção automatizada
- Atividade de reconhecimento antes de ataques
- TTPs (Tactics, Techniques, Procedures) conhecidos de ator de ameaça
- Comportamento anômalo não coberto por regras de detecção
Diferentemente da engenharia de detecção (automatizada), caça às ameaças é manual e impulsionada por intuição humana e conhecimento de MITRE ATT&CK.
Abordagem de Caça às Ameaças
Caça Orientada por Hipótese
“Suspeitamos que APT28 está visando nosso setor com ataques à cadeia de suprimentos. Vamos procurar indicadores de suas técnicas típicas de movimento lateral (T1021).”
Caça Orientada por Dados
“Este IP fez 1.000 requisições para nossa API em uma hora. O que estava procurando?”
Caça Assistida por Tecnologia
Usando queries SIEM para sistematicamente procurar logs por técnicas específicas.
Efetividade
Caça às ameaças é efetiva porque:
- Julgamento humano – Humanos podem reconhecer padrões sutis
- Criatividade – Caçadores experientes imaginam cenários de ataque
- Contexto – Caçadores entendem contexto de negócios (quais ativos importam)
- Melhoria contínua – Caças que encontram ameaças alimentam engenharia de detecção