book_icon

Caçadores de ameaças ganham ferramenta para combater invasores

A linguagem de programação Kestrel Threat Hunting, da IBM, ajuda a descobrir as ameaças de forma mais fácil e rápido

Caçadores de ameaças ganham ferramenta para combater invasores

Na segurança cibernética, o tempo é essencial. Cada hora que leva para detectar e responder a uma ameaça, os invasores têm mais tempo para causar danos. Na RSA Conference 2021, evento de segurança que ocorreu de 17 a 20 de maio, a IBM Research e a IBM Security apresentaram a linguagem Kestrel Threat Hunting, uma nova linguagem de programação de caça a ameaças de código aberto, que oferece aos um meio de realizar o raciocínio cibernético e a descoberta de ameaças com muito mais rapidez e facilidade do que nunca.

Segundo a IBM Research, a caça às ameaças cibernéticas já existe há algum tempo – uma forma de perseguir proativamente ataques cibernéticos cada vez mais sofisticados e abrangentes. A caça utiliza sistemas de detecção de intrusão automatizados evasivos, desafiando os caçadores, que vasculham os logs de segurança brutos e correlacionando-os por semanas ou até meses após o ataque ter sido bem-sucedido.

Fluxos de caça a ameaças compartilháveis, combináveis ​​e reutilizáveis ​​são essenciais – basta olhar para o ataque SolarWinds para entender a importância de compartilhar inteligência e análise de ameaças em várias organizações  

Mas, apesar do sucesso dos esforços de caça a ameaças cibernéticas – que seguem os processos científicos de observação, hipótese, experimentação e verificação – as abordagens existentes dependem de codificação de conhecimento, uma tarefa repetitiva, tediosa e demorada em plataformas de dados específicas. Em vez de se beneficiar do conhecimento coletivo e do código de compartilhamento da comunidade de caça a ameaças, os profissionais de segurança cibernética acabam trabalhando em relativo isolamento e reescrevendo os mesmos programas continuamente a cada novo ataque.

O Kestrel Threat Hunting Language oferece aos caçadores de ameaças um meio de realizar raciocínio cibernético e descoberta de ameaças com muito mais rapidez e facilidade do que as práticas atuais. Desenvolvido em conjunto pela IBM Research e IBM Security e com base em anos de experimentação no programa de Computação Transparente da DARPA, o Kestrel oferece aos analistas do Security Operations Center (SOC) e aos caçadores de ameaças uma linguagem específica de domínio que lhes permite dedicar mais tempo para descobrir o que caçar, ao contrário de como caçar.

Método

A caça às ameaças cibernéticas tem o objetivo de servir como uma resposta contra as ameaças atuais, muitas das quais são construídas dinamicamente e personalizadas para atacar alvos específicos. Esses ataques furtivos – também chamados de ameaças persistentes avançadas (APT), uma categoria que inclui ransomware – podem contornar as medidas de segurança existentes em vários níveis e não podem ser totalmente capturados pela detecção pré-programada sistemas e análises.

Mesmo com o influxo de várias ferramentas de investigação comercial e de código aberto, a caça às ameaças cibernéticas não tem a eficiência necessária para ser realmente eficaz. O tempo e a inteligência que deveriam ser focados no raciocínio sobre ameaças sofisticadas são, em vez disso, gastos em tarefas rotineiras, como elaborar consultas para diferentes fontes de dados, interpretar seus resultados e registrar esses resultados em planilhas.

A IBM projetou o Kestrel para codificar diferentes etapas e fluxos envolvidos na caça a ameaças. Isso inclui a compreensão das medidas de segurança no ambiente de destino, pensando sobre ameaças potenciais que escapam das defesas existentes, obtendo observações úteis de atividades do sistema e da rede, desenvolvendo hipóteses de ameaças, revisando hipóteses com as duas últimas etapas e confirmando novas ameaças.

Como uma linguagem para os caçadores de ameaças expressarem o que estão caçando, o Kestrel ajuda a organizar as hipóteses de ameaças em torno de entidades, que incluem vários sistemas identificáveis ​​ou objetos de rede. O Kestrel remonta automaticamente uma entidade usando pedaços de informações de diferentes registros ou logs que descrevem diferentes aspectos dessa entidade. O Kestrel também pede de forma proativa às fontes de dados informações adicionais sobre diferentes entidades para garantir que os caçadores de ameaças tenham todas as informações disponíveis para rastrear as causas e impactos das atividades suspeitas, bem como criar e revisar as hipóteses de ameaças conforme necessário.

Código aberto

O Kestrel usa o Structured Threat Information Expression (STIX ), um padrão aberto para expressar e trocar dados e inteligência de ameaças cibernéticas. Ele é executado em cima do STIX-Shifter – outro projeto de código aberto da IBM Security – para compilar automaticamente as etapas de caça às ameaças para os idiomas nativos que as diferentes fontes de dados falam e executam. Além dos padrões, o Kestrel abstrai o conhecimento de caça codificado em análises e fluxos de caça.

Fluxos de caça a ameaças compartilháveis, combináveis ​​e reutilizáveis ​​são essenciais – basta olhar para o ataque SolarWinds para entender a importância de compartilhar inteligência e análise de ameaças em várias organizações.

 

Dessa forma, a IBM Research espera que o Kestrel cresça com a comunidade e dê aos caçadores de ameaças a capacidade de se concentrar no aspecto mais interessante de seu trabalho – a emoção da caça. Ao aliviar o trabalho enfadonho de tarefas repetitivas e mundanas, o objetivo é tornar a atividade mais emocionante do que nunca, um lugar onde os profissionais de segurança cibernética possam gastar seu tempo e energia desembaraçando ameaças sofisticadas e elevando o nível de habilidade e esforço necessários para lançar ataques bem-sucedidos no futuro.

Serviço
research.ibm.com

ataque

Caçadores de Ameaças

IBM Research

Kestrel Threat Hunting

linguagem

Ransomware

segurança

Últimas Notícias
Você também pode gostar

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *


As opiniões dos artigos/colunistas aqui publicados refletem exclusivamente a posição de seu autor, não caracterizando endosso, recomendação ou favorecimento por parte da Infor Channel ou qualquer outros envolvidos na publicação. Todos os direitos reservados. É proibida qualquer forma de reutilização, distribuição, reprodução ou publicação parcial ou total deste conteúdo sem prévia autorização da Infor Channel.
Revista Digital
Edição do mês

Leia nesta edição:

Leia nessa edição sobre tecnologia

CAPA | GESTÃO

A doce ditadura da Governança de Dados

Leia nessa edição sobre carreira

CARREIRA

Profissões do futuro

Leia nessa edição sobre setorial | saúde

SETORIAL

Área pública: desafios e lucros

Esta é para você leitor da Revista Digital:

Leia nessa edição sobre sustentabilidade

LEGISLAÇÃO

LGPD Ano Um: uma construção inacabada

Setembro | 2021 | #50 - Acesse:

Infor Channel Digital

Baixe o nosso aplicativo

Google Play
Apple Store

Agenda & Eventos

Cadastre seu Evento