Por que é vital entender o comportamento e as ferramentas dos cibercriminosos | TVCLASSIFICADOS.com 100% Digital

Por Daniel Smith, chefe de pesquisa da Radware. O cenário de ataques continua crescendo rapidamente e, com esse crescimento, vem o complexo desafio de rastrear as Táticas, Técnicas e Procedimentos (TTPs) usados por diferentes agentes de ameaças. O Cent...

ransomware, hackers, spy, espião, lgpd, tecnologia, internet

Por que é vital entender o comportamento e as ferramentas dos cibercriminosos

Publicado por: Redação
19/09/2021 11:01:36
Cortesia Pixabay
Cortesia Pixabay

Por Daniel Smith, chefe de pesquisa da Radware.

O cenário de ataques continua crescendo rapidamente e, com esse crescimento, vem o complexo desafio de rastrear as Táticas, Técnicas e Procedimentos (TTPs) usados por diferentes agentes de ameaças. O Centro de Recursos de Segurança de Computadores do Instituto Nacional de Padrões e Tecnologia (NIST) descreve o TTPs como o comportamento de um agente de ameaça, portanto, rastrear esse comportamento tornou-se um conceito essencial para Analistas de Inteligência de Ameaças Cibernéticas (CTI).

 

Ao traçar o perfil e documentar os TTPs criminosos, os defensores da rede podem entender melhor o comportamento criminoso e como ataques específicos são orquestrados, permitindo que eles se preparem, respondam e atenuem/mitiguem ameaças atuais e futuras. 

 

Para detalhar ainda mais o TTP, as Táticas referem-se às descrições de alto nível do comportamento ou ação que o agente da ameaça está tentando realizar. Por exemplo, o acesso inicial é uma tática que um agente de ameaça usaria para ganhar uma posição em sua rede.

 

Técnicas são descrições detalhadas do comportamento ou ações que são esperadas de uma tática específica. Por exemplo, uma técnica para obter acesso inicial a uma rede pode incluir um ataque de phishing.

 

Procedimentos são detalhes técnicos ou instruções sobre como um agente de ameaça utilizará a técnica para atingir seu objetivo. Por exemplo, os procedimentos para um ataque de phishing incluiriam a ordem de operação ou as fases da campanha. Isso incluiria detalhes sobre a infraestrutura aproveitada para enviar o e-mail malicioso, quem planejam atingir e como planejam comprometer a máquina.

 

Infelizmente, rastrear o comportamento dos agentes de ameaças tem sido um desafio complexo para o setor, principalmente porque não existia uma estrutura padronizada única e universalmente adotada para seguir. 

 

Felizmente, nos últimos anos, o setor começou a adotar amplamente a estrutura ATT&CK Enterprise da MITRE; que visa fornecer uma padronização baseada na comunidade e um catálogo de TTPs usados por agente de ameaças e seus apelidos conhecidos.

 

Esta estrutura é constantemente atualizada para realizar auditorias e melhor estruturação das políticas defensivas e métodos de detecção. A estrutura MITRE ATT&CK também fornece uma linguagem comum para todos os setores. A incorporação da estrutura e das convenções de nomenclatura usadas na matriz MITRE ATT&CK na política de segurança de uma organização ajudará a habilitar uma linguagem comum em toda a organização e no setor, tornando mais fácil documentar, relatar e falar sobre grupos de ameaças.

 

Mas, por que entender o cenário de ameaças é importante?

As ameaças de hoje, sem dúvida, exigem soluções de amplo espectro, mas também exigem um conhecimento profundo do cenário de ameaças. Uma das melhores maneiras de ficar por dentro do cenário de ameaças em constante evolução é estudar e contribuir para a padronização da inteligência de ameaças.

 

Ao analisar e traçar o perfil dos padrões dos agentes de ameaças e compartilhá-los com a comunidade, é possível entender melhor o comportamento criminoso e como orquestram ataques específicos. Uma compreensão mais profunda dos TTPs dos cibercriminosos ajudará a comunidade e as organizações a compreender como preparar, responder e mitigar a maioria das ameaças.

 

Depois de começar a entender os TTPs, as organizações podem mapeá-los em sua pilha de segurança específica. Isso permite que os usuários tenham a capacidade de proteger, detectar, isolar, enganar e expulsar TTPs do agente de ameaça daquele ambiente específico.

 

Sobre a Radware

A Radware (NASDAQ: RDWR) é uma das líderes mundiais em segurança cibernética e soluções para gestão e entrega de aplicações e segurança para data centers virtuais, em nuvem e definidos por software.

Imagens de notícias

Tags:

Compartilhar

Comentários