As equipes corporativas de TI e cibersegurança têm a difícil tarefa de manter sob controle adversários cada vez mais sofisticados e persistentes. Muitas vezes precisam agir com recursos limitados e com superfícies de ataque em expansão, enquanto contratar e reter profissionais de cibersegurança de alto nível para administrar um Centro de Operações de Segurança (SOC) interno está fora do alcance de muitas organizações. Ao mesmo tempo, as ameaças continuam evoluindo e os cibercriminosos aperfeiçoam suas técnicas, gerando incidentes capazes de paralisar as operações de uma empresa.
Para evitar ficar em desvantagem, os defensores precisam de uma abordagem proativa que combine prevenção, detecção e remediação com inteligência de ameaças precisa e oportuna. Se construir essa capacidade internamente não for viável, então alugá-la ou adquiri-la como serviço se torna uma opção mais realista. Isso, claro, não é um conceito novo: há décadas, organizações menores aproveitam os benefícios das novas inovações em TI por meio de bureaux, provedores de serviços gerenciados e da computação em nuvem.
Existe um argumento sólido para aplicar a mesma abordagem aos serviços avançados de cibersegurança, e é aqui que o Managed Detection and Response (MDR) pode gerar um impacto significativo. O MDR oferece às organizações uma capacidade proativa, escalável e apoiada por especialistas para monitorar e buscar ameaças, sem o custo associado a um Centro de Operações de Segurança (SOC) de alto nível. Até pouco tempo, um serviço de MDR era caro e complexo, embora ainda menos do que montar uma operação interna dedicada. Hoje, tornou-se uma opção cada vez mais viável até mesmo para organizações menores.
Recentemente, conversamos com Jean-Ian Boutin, Director of Threat Research na ESET, para saber mais sobre o trabalho de sua equipe e como a pesquisa e a inteligência de ameaças se integram aos fluxos de trabalho de MDR. Jean-Ian também compartilhou uma visão interna sobre os casos em que a combinação de tecnologia de ponta e expertise humana oferece maior valor prático, especialmente em ambientes de PMEs.
Como a inteligência de ameaças fortalece os serviços MDR
O que pequenas e médias empresas podem aprender ou aproveitar ao acompanhar o trabalho do ESET Threat Research? E o que muda quando passam a contar com o ESET MDR?
A ESET conta com uma equipe de pesquisa de ameaças distribuída em várias regiões do mundo. Eu faço parte da equipe em Montreal, mas também temos pesquisadores na Europa e nos Estados Unidos.
Há conteúdos aos quais todos podem ter acesso: nossas publicações no WeLiveSecurity e as palestras e apresentações que realizamos em conferências de cibersegurança ao redor do mundo.
Além disso, existe a informação que apenas os clientes corporativos da ESET recebem: todo tipo de dicas e orientações práticas, ou seja, dados sobre grupos cibercriminosos, o que estão fazendo e como agem, além de informações importantes que ajudam nossos clientes a se manter protegidos.
No caso dos serviços de Managed Detection and Response (MDR), a inteligência de ameaças é um componente fundamental. Ela permite que nossa equipe de detecção e resposta compreenda como os grupos criminosos agem e utilize esse conhecimento para proteger nossos clientes contra possíveis brechas de segurança.
Falamos sobre a “ponta do iceberg”, ou seja, todo o trabalho que acontece nos bastidores de um serviço de MDR e que os usuários raramente veem, mas que é essencial. Você poderia explicar como esse processo funciona na prática?
Às vezes, os diferentes alertas que aparecem no console correspondem a detecções nos endpoints que queremos investigar. E minha equipe é responsável por garantir que todas as novas amostras e ameaças sejam analisadas e detectadas corretamente nos ambientes dos clientes. Portanto, parte do trabalho da equipe consiste justamente em assegurar que todas essas novas tendências e amostras sejam examinadas, investigadas e depois detectadas na infraestrutura de nossos clientes. Esse é um dos aspectos principais.
Também temos um cuidado especial em organizar os dados de inteligência de ameaças relacionados a e-crime, ransomware, grupos APT e agentes estatais que visam organizações em todo o mundo. Nossas equipes de pesquisa usam esse conhecimento para vincular novos ataques de segurança a casos anteriores.
Além disso, avaliamos a gravidade do incidente e podemos determinar qual pode ter sido o objetivo por trás do ataque. Isso realmente oferece ao cliente uma visão completa do que pode ter acontecido: se houve ou não uma intrusão e, em muitos casos, até mesmo qual grupo específico pode estar por trás do ataque.
Além da proteção de endpoints da ESET, o que o MDR acrescenta para os clientes?
O MDR é mais personalizado, e o relacionamento com o cliente se aprofunda e se torna mais próximo. No entanto, o trabalho realizado pela minha equipe é distribuído por toda a linha de produtos da ESET.
Os relatórios privados da ESET têm ganhado destaque recentemente. Quão relevantes eles são para a realidade das pequenas e médias empresas? Elas também enfrentam ataques direcionados? E qual é a presença de agentes estatais nesse cenário?
O perfil de ameaças pode variar de uma organização para outra, e um agente estatal geralmente tem objetivos predeterminados. Em geral, eles visam vítimas que se alinham diretamente com esses objetivos.
No que diz respeito ao e-crime, o cenário é bastante amplo. Trata-se tanto de ataques em massa quanto de ataques direcionados. Observamos muitos infostealers e também um volume significativo de ransomware.
Nosso papel é entender como todos esses grupos agem e garantir que, caso adotem novas técnicas, possamos agir rapidamente e bloquear todas as suas tentativas.
Esse é o objetivo principal. Ao mesmo tempo, existem inúmeros grupos criminosos realizando esse tipo de atividade e ainda mais famílias de malware em circulação. É realmente um trabalho diário garantir que os clientes estejam protegidos. Definitivamente não falta trabalho.
O papel da pesquisa de ameaças na detecção de ataques
James Rodewald, Senior Security Monitoring Analyst da ESET, costuma mencionar o conceito de triangulação: cruzar o que é observado no ambiente real, o que relatam os clientes afetados e as análises da equipe de inteligência de ameaças. Um exemplo citado por ele envolve o grupo FamousSparrow. Como você interpreta esse caso a partir da sua perspectiva?
É importante manter uma relação próxima com as pessoas que realmente estão lidando com esse tipo de caso, porque o papel principal da minha equipe é observar a telemetria, ou seja, os dados coletados a partir de todos os endpoints, e tentar identificar casos interessantes e aqueles em que precisamos trabalhar para melhorar a proteção de forma geral.
Mas, em algumas ocasiões, a equipe de MDR se depara com algo que já havíamos visto no passado, e isso também nos permite ter uma compreensão mais profunda de como o grupo criminoso realmente atua.
Nesse caso específico, foi muito revelador para nós, porque não havíamos observado esse grupo criminoso há bastante tempo. Sempre que surge um caso envolvendo um cliente que utiliza MDR, isso é positivo do ponto de vista da pesquisa, porque a relação mais próxima com o cliente significa que conhecemos melhor sua infraestrutura, o que nos permite ajudá-lo com mais eficiência. Também conseguimos ter uma compreensão mais clara do impacto do incidente.
Essas informações depois são compartilhadas com outros clientes de inteligência de ameaças. Por isso, tentamos estar o mais próximos possível de todas essas equipes e conectar esses incidentes para melhorar nossa cobertura e compreensão dessas ameaças, incluindo atividades atribuídas ao grupo FamousSparrow, analisadas por pesquisadores da ESET, como James Rodewald.
Você mencionou a colaboração com os analistas de MDR e com a equipe de D&R (Detection and Response). Como essa relação mais próxima influencia seu trabalho e sua compreensão das ameaças, especialmente quando há interação direta com os analistas e até com o cliente?
Muda tudo, porque com o MDR já existe uma relação de trabalho estabelecida com a pessoa responsável pela cibersegurança naquela organização. Isso nos permite entender muito rapidamente o alcance do ataque, o que aconteceu exatamente, por que os cibercriminosos estavam ali e assim por diante.
A quantidade de informações à qual temos acesso é exponencialmente maior do que a que obtemos com endpoints tradicionais. Por isso, para nós, essa relação é extremamente valiosa em termos de informação, visibilidade e compreensão do caso, dentro do trabalho realizado pela ESET.
No ano passado, ataques no Reino Unido comprometeram grandes organizações, como Jaguar Land Rover e Marks & Spencer, por meio de serviços terceirizados de help desk. Pequenas e médias empresas também fazem parte dessas cadeias de suprimentos e, muitas vezes, são o elo mais vulnerável. Até que ponto elas deveriam se preocupar com esse tipo de risco?
O risco representado pelos ataques à cadeia de suprimentos é considerável. Ao longo dos anos, foram documentados inúmeros casos em que grupos cibercriminosos exploram vulnerabilidades na cadeia de suprimentos, frequentemente direcionando seus esforços a fornecedores externos que possuem medidas de segurança menos rigorosas. Ao comprometer esses terceiros, os cibercriminosos podem obter acesso inicial à rede de uma organização.
No que diz respeito ao MDR, uma de suas vantagens é a ampla visibilidade que oferece, garantindo uma visão completa de todas as detecções e alertas. Essa capacidade nos permite identificar com mais eficácia até mesmo as menores anomalias. Como nossa equipe monitora continuamente essas organizações em busca de possíveis incidentes, podemos detectar e responder rapidamente a erros sutis cometidos por grupos criminosos.
Os ataques à cadeia de suprimentos apresentam desafios importantes devido à dificuldade de proteger todos os fornecedores externos. No entanto, contar com uma solução eficaz melhora significativamente nossa capacidade de reagir de forma rápida e eficiente a esse tipo de evento, especialmente com o apoio de especialistas da ESET.
Na sua experiência como líder de uma equipe de pesquisa de ameaças, qual é o principal impacto do MDR para os clientes? O que muda para uma organização que conta com esse serviço em comparação com outra que ainda não o utiliza?
Em geral, como mencionei anteriormente, a visibilidade contínua é muito maior com MDR. Se a sua organização for afetada por uma campanha criminosa, você terá ferramentas melhores para reconstruir todas as ações realizadas pelos cibercriminosos e entender exatamente o que eles fizeram dentro da sua rede.
Em poucas palavras, o MDR oferece uma visão muito mais profunda dos ataques. Do ponto de vista da pesquisa de ameaças, esse é o principal benefício. Outro motivo importante para valorizar essa visibilidade é a velocidade de resposta. Com MDR, já existe um canal seguro entre os pesquisadores e a sua empresa, o que facilita entrar rapidamente em contato com alguém que possa tomar medidas para conter uma brecha de segurança, como nos serviços de MDR da ESET.
Para finalizar, que mensagem você deixaria para as organizações que ainda consideram o MDR complexo ou caro demais?
O MDR funciona como uma espécie de apólice de seguro, ajudando a identificar ameaças como ransomware em estágios iniciais, muitas vezes antes que causem problemas maiores. Os cibercriminosos costumam utilizar initial access brokers para obter acesso inicial, mas existem vários sinais de alerta que podem ser detectados com antecedência.
Embora nunca seja recomendado pagar um resgate, o processo de recuperação pode ser igualmente disruptivo. O MDR contribui para a continuidade dos negócios, permitindo que a organização continue focada em suas atividades principais.
