Frequentemente, os funcionários dos centros de operação de segurança e departamentos de segurança da informação procuram os experts da Kaspersky para obter ajuda especializada. Analisamos os motivos mais comuns para essas solicitações e criamos um serviço personalizado que auxilia o cliente a fazer perguntas diretamente a um especialista na área que deseja.
Por que você pode precisar de ajuda especializada
A ameaça de ciberataques está crescendo o tempo todo, à medida que os criminosos encontram cada vez mais maneiras de atingir seus objetivos, descobrindo novas vulnerabilidades de hardware e software em aplicativos, servidores, gateways VPN e sistemas operacionais e os transformando imediatamente em armas. Centenas de milhares de novas amostras de malware surgem todos os dias, e uma ampla variedade de organizações, incluindo grandes corporações e até agências governamentais, são vítimas de ataques de ransomware. Além disso, novas ameaças sofisticadas e golpes de APT também são descobertas regularmente.
Nesse cenário, o threat intelligence (ou a inteligência de ameaças em tradução livre) desempenha um papel vital. Somente com informações oportunas sobre as ferramentas e táticas dos atacantes, é possível construir um sistema de proteção adequado e, no caso de um incidente, conduzir uma investigação eficaz, detectar intrusos na rede, retirá-los e determinar o vetor do ataque primário para evitar uma repetição.
Implementar inteligência de ameaças em uma determinada organização requer um especialista interno qualificado que possa usar os dados do provedor na prática. Esse especialista, portanto, torna-se o ativo mais valioso em qualquer investigação. No entanto, contratar, treinar e manter analistas de segurança cibernética é caro e nem todas as empresas podem manter uma equipe de especialistas.
Perguntas frequentes
Vários departamentos da Kaspersky ajudam os clientes a lidar com incidentes cibernéticos. Resumidamente, eles são a Equipe Global de Pesquisa e Análise (GReAT, sigla em inglês), a Equipe Global de Resposta a Emergências (GERT, sigla em inglês) e a Equipe de Pesquisa de Ameaças Kaspersky. Ao todo, reunimos mais de 250 analistas e especialistas de classe mundial. As equipes recebem regularmente muitas solicitações de clientes relacionadas às ciberameaças. Depois de analisar os pedidos recentes, identificamos as seguintes categorias.
Análise de malware ou software suspeito
Um cenário que encontramos com bastante frequência envolve o acionamento da lógica de detecção na segurança do endpoint ou nas regras de caça a ameaças. O serviço de segurança da empresa ou o security operations center (SOC, sigla em inglês) investiga o alerta, encontra um objeto malicioso ou suspeito, mas não tem os recursos para conduzir um estudo detalhado. A empresa então pede a nossos especialistas para determinar a funcionalidade do objeto detectado, quão perigoso ele é e como garantir que o incidente seja resolvido após sua remoção.
Se nossos especialistas puderem identificar rapidamente o que o cliente enviou (temos uma base de conhecimento gigantesca de ferramentas típicas de invasores e mais de um bilhão de amostras exclusivas de malware), eles responderão imediatamente. Caso contrário, nossos analistas precisam investigar e, em casos complexos, isso pode demorar um pouco.
Informações adicionais sobre indicadores de comprometimento
A maioria das empresas usa uma variedade de fontes para indicadores de comprometimento (IoCs, sigla em inglês). O valor dos IoCs reside em grande parte na disponibilidade de contexto – ou seja, informações adicionais sobre o indicador e seu significado. No entanto, esse contexto nem sempre está disponível. Portanto, tendo detectado um determinado IoC no sistema SIEM, por exemplo, os analistas do SOC podem ver a presença de um gatilho e perceber que um incidente é possível, mas não têm as informações para investigar mais.
Nesses casos, eles podem nos enviar uma solicitação para fornecer informações sobre o IoC detectado e, em muitos casos, esses IoCs tornam-se interessantes. Por exemplo, certa vez recebemos um endereço IP que foi encontrado no feed de tráfego de uma empresa (ou seja, acessado da rede corporativa). Entre as coisas hospedadas no endereço estava um servidor de gerenciamento de software chamado Cobalt Strike, uma poderosa ferramenta de administração remota (ou, simplesmente, uma backdoor), que todos os tipos de cibercriminosos usam. Sua detecção quase certamente significa que a empresa já está sob ataque (real ou em treinamento). Nossos especialistas forneceram informações adicionais sobre a ferramenta e recomendaram o início imediato da resposta a incidentes (IR, sigla em inglês) para neutralizar a ameaça e determinar a causa raiz do comprometimento.
Solicitação de dados sobre táticas, técnicas e procedimentos
Os IoCs não são, de forma alguma, tudo o que uma empresa precisa para impedir um ataque ou investigar um incidente. Uma vez que o grupo cibercriminoso por trás do ataque tenha sido determinado, os analistas do SOC normalmente exigem dados sobre as táticas, técnicas e procedimentos (TTPs) do grupo; eles precisam de descrições detalhadas do modus operandi do grupo para ajudar a determinar onde e como os invasores podem ter penetrado na infraestrutura, as informações sobre os métodos que os invasores normalmente usam para se enraizar na rede, bem como sobre como eles exfiltram dados. Fornecemos essas informações como parte de nosso serviço de Relatório de Inteligência de Ameaças.
Os métodos dos cibercriminosos, mesmo dentro do mesmo grupo, podem ser muito diversos, e descrever todos os detalhes possíveis não é viável, mesmo em um relatório altamente detalhado. Portanto, os clientes de TI que usam nossos relatórios de APT e de ameaças de crimeware às vezes nos solicitam informações adicionais sobre um aspecto específico de uma técnica de ataque em um contexto específico de relevância para o cliente.
Temos fornecido esse tipo de resposta, e muitas outras, por meio de serviços especiais ou dentro da estrutura limitada de suporte técnico. No entanto, observando um aumento no número de solicitações e entendendo o valor da experiência e conhecimento de nossas unidades de pesquisa, decidimos lançar um serviço dedicado chamado Kaspersky Ask the Analyst, oferecendo acesso rápido a nossa consultoria especializada por meio de um único ponto de entrada.
Kaspersky Ask the Analyst
Nosso novo serviço permite que os representantes dos clientes (principalmente analistas do SOC e funcionários da infosec) obtenham conselhos dos especialistas da Kaspersky, reduzindo assim seus custos de investigação. Compreendemos a importância de informações recentes e assertivsas sobre ameaças; portanto, temos um SLA em vigor para todos os tipos de solicitações. Com o Kaspersky Ask the Analyst, os especialistas em infosec podem:
- Receber dados adicionais dos relatórios do Kaspersky Threat Intelligence, incluindo IoC ampliado e contexto analítico do GReAT e da Equipe de Pesquisa de Ameaças da Kaspersky. Dependendo da sua situação, eles discutirão as conexões entre os indicadores detectados na sua empresa com a atividade descrita nos relatórios;
- Obter uma análise detalhada do comportamento das amostras identificadas, determinar sua finalidade e obter recomendações para atenuar as consequências do ataque. Os especialistas em resposta a incidentes da Equipe de Resposta de Emergência Global da Kaspersky ajudarão na tarefa;
- Obter uma descrição de uma família de malware específica (por exemplo, um pedaço específico de ransomware) e dicas sobre como se proteger contra ela, além de contexto adicional para IoCs específicos (hashes, URLs, endereços IP) para ajudar a priorizar alertas ou incidentes que os envolvam. Os especialistas do Kaspersky Threat Research fornecem essas informações;
- Receber uma descrição de vulnerabilidades específicas e seus níveis de gravidade, bem como informações sobre como os produtos Kaspersky se protegem contra a exploração. Os especialistas do Kaspersky Threat Research também fornecem esses dados;
- Solicitar uma investigação individual (pesquisa) de dados da dark web. Isso fornecerá informações valiosas sobre ameaças relevantes, que por sua vez sugerem medidas eficazes para prevenir ou mitigar ataques cibernéticos. Os especialistas do Kaspersky Security Services realizam a investigação.
Você encontrará mais informações sobre esses serviços em nosso website.