Compartilhar:
Na segurança cibernética, o tempo é essencial. Cada hora que leva para detectar e responder a uma ameaça, os invasores têm mais tempo para causar danos. Na RSA Conference 2021, evento de segurança que ocorreu de 17 a 20 de maio, a IBM Research e a IBM Security apresentaram a linguagem Kestrel Threat Hunting, uma nova linguagem de programação de caça a ameaças de código aberto, que oferece aos um meio de realizar o raciocínio cibernético e a descoberta de ameaças com muito mais rapidez e facilidade do que nunca.
Segundo a IBM Research, a caça às ameaças cibernéticas já existe há algum tempo – uma forma de perseguir proativamente ataques cibernéticos cada vez mais sofisticados e abrangentes. A caça utiliza sistemas de detecção de intrusão automatizados evasivos, desafiando os caçadores, que vasculham os logs de segurança brutos e correlacionando-os por semanas ou até meses após o ataque ter sido bem-sucedido.
Mas, apesar do sucesso dos esforços de caça a ameaças cibernéticas – que seguem os processos científicos de observação, hipótese, experimentação e verificação – as abordagens existentes dependem de codificação de conhecimento, uma tarefa repetitiva, tediosa e demorada em plataformas de dados específicas. Em vez de se beneficiar do conhecimento coletivo e do código de compartilhamento da comunidade de caça a ameaças, os profissionais de segurança cibernética acabam trabalhando em relativo isolamento e reescrevendo os mesmos programas continuamente a cada novo ataque.
O Kestrel Threat Hunting Language oferece aos caçadores de ameaças um meio de realizar raciocínio cibernético e descoberta de ameaças com muito mais rapidez e facilidade do que as práticas atuais. Desenvolvido em conjunto pela IBM Research e IBM Security e com base em anos de experimentação no programa de Computação Transparente da DARPA, o Kestrel oferece aos analistas do Security Operations Center (SOC) e aos caçadores de ameaças uma linguagem específica de domínio que lhes permite dedicar mais tempo para descobrir o que caçar, ao contrário de como caçar.
Método
A caça às ameaças cibernéticas tem o objetivo de servir como uma resposta contra as ameaças atuais, muitas das quais são construídas dinamicamente e personalizadas para atacar alvos específicos. Esses ataques furtivos – também chamados de ameaças persistentes avançadas (APT), uma categoria que inclui ransomware – podem contornar as medidas de segurança existentes em vários níveis e não podem ser totalmente capturados pela detecção pré-programada sistemas e análises.
Mesmo com o influxo de várias ferramentas de investigação comercial e de código aberto, a caça às ameaças cibernéticas não tem a eficiência necessária para ser realmente eficaz. O tempo e a inteligência que deveriam ser focados no raciocínio sobre ameaças sofisticadas são, em vez disso, gastos em tarefas rotineiras, como elaborar consultas para diferentes fontes de dados, interpretar seus resultados e registrar esses resultados em planilhas.
A IBM projetou o Kestrel para codificar diferentes etapas e fluxos envolvidos na caça a ameaças. Isso inclui a compreensão das medidas de segurança no ambiente de destino, pensando sobre ameaças potenciais que escapam das defesas existentes, obtendo observações úteis de atividades do sistema e da rede, desenvolvendo hipóteses de ameaças, revisando hipóteses com as duas últimas etapas e confirmando novas ameaças.
Como uma linguagem para os caçadores de ameaças expressarem o que estão caçando, o Kestrel ajuda a organizar as hipóteses de ameaças em torno de entidades, que incluem vários sistemas identificáveis ou objetos de rede. O Kestrel remonta automaticamente uma entidade usando pedaços de informações de diferentes registros ou logs que descrevem diferentes aspectos dessa entidade. O Kestrel também pede de forma proativa às fontes de dados informações adicionais sobre diferentes entidades para garantir que os caçadores de ameaças tenham todas as informações disponíveis para rastrear as causas e impactos das atividades suspeitas, bem como criar e revisar as hipóteses de ameaças conforme necessário.
Código aberto
O Kestrel usa o Structured Threat Information Expression (STIX ), um padrão aberto para expressar e trocar dados e inteligência de ameaças cibernéticas. Ele é executado em cima do STIX-Shifter – outro projeto de código aberto da IBM Security – para compilar automaticamente as etapas de caça às ameaças para os idiomas nativos que as diferentes fontes de dados falam e executam. Além dos padrões, o Kestrel abstrai o conhecimento de caça codificado em análises e fluxos de caça.
Fluxos de caça a ameaças compartilháveis, combináveis e reutilizáveis são essenciais – basta olhar para o ataque SolarWinds para entender a importância de compartilhar inteligência e análise de ameaças em várias organizações.
Dessa forma, a IBM Research espera que o Kestrel cresça com a comunidade e dê aos caçadores de ameaças a capacidade de se concentrar no aspecto mais interessante de seu trabalho – a emoção da caça. Ao aliviar o trabalho enfadonho de tarefas repetitivas e mundanas, o objetivo é tornar a atividade mais emocionante do que nunca, um lugar onde os profissionais de segurança cibernética possam gastar seu tempo e energia desembaraçando ameaças sofisticadas e elevando o nível de habilidade e esforço necessários para lançar ataques bem-sucedidos no futuro.
Serviço
research.ibm.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Abril 2024 | #78 - Acesse:
Baixe o nosso aplicativo
Agenda & Eventos
Cadastre seu Evento Gratuitamente