BHack: Gestão de casos de uso de detecção de ameaças utilizando MISP

Como utilizar o MISP para mapear as ameaças por meio de engenharia de detecção foi o tema da palestra do consultor em SOC e MSS, Bruno Guerreiro. 

Quando se fala em detecção de ameaças, Bruno não falou daquelas detectadas pelos sistemas preparados para isso, como antivírus. Ele fez uma análise mais profunda daquelas etapas que se utilizam da infraestrutura para provocar ataques maliciosos. “O ataque de ransomware passou por várias etapas, uma exploração, uma movimentação lateral, comando controle, para depois gerar o ataque malicioso, que é a ponta do ataque, mas tudo o que vem antes são oportunidades de detecção”, explica Guerreiro.

O consultor aponta que há milhões de possibilidades, de detecção de ameaças, mas que seguir a lógica de desenvolvimento de software pode ajudar. O diagrama de caso de uso é um caminho ajuda a definir o cenário, qual o resultado esperado, como se navega no sistema e como testar e validar. 

“Para efetivamente detectar, o que preciso fazer? O ambiente precisa fornecer log, que é um desafio. Nem sempre o que preciso é logado. Preciso capturar e trazer para minha estrutura, como faço e quais processos de rede preciso para gerar o log, e quando gerar, preciso receber, parsear, identificar os campos, e ver o que vou usar, e aí preciso testar a minha regra, e ver se ela trigga dentro do sistema. Além disso, ela precisa aparecer no painel de operação, e a operação precisa saber o que fazer com isso. Tudo isso que acontece antes do alerta chegar é engenharia de detecção”, detalha o consultor.

A definição do cenário também é um ponto chave na hora de aplicar essa análise. O cenário de ameaça é o que está compreendido entre a existência de uma ameaça e a possibilidade de ela gerar um evento, incidindo sobre a sua estrutura. “Se existe a ameaça, ela é a ameaça, mas se incide sobre mim, é um evento. Se tenho uma vulnerabilidade, ela pode me explorar essa condição prévia de falha, que posso corrigir por meio de controles de segurança, afim de evitar o impacto”, orienta. 

Bruno citou o relatório da Red Corner, em que  eles processaram 1 petabyte de dados por dia, que e gerou 14 milhões de alertas de investigações, dos quais 33 mil revelaram-se ameaças confirmadas. “Por isso é importante saber o que se quer encontrar e mapear essas ameaças, senão você se perde, é atropelado por esse volume e não detecta nada”, explica. 

Compreendido o processo de caso de uso para estruturar a detecção de engenharia de ameaças, Bruno mostrou como a utilização do MISP pode ajudar na organização de uma biblioteca de ameaças, por meio de tags. Com a ferramenta, se regista o contexto, os requisitos, os códigos, e as estruturas ameaçadas, o que traz mais insumos e informações para a equipe de operação. “Isso também pode facilitar o retrohunt e o autohunt, em que cada atualização pode ser analisada a partir das informações organizadas”, finaliza. Grande aula! 🎓