Os atacantes começam com reconhecimento remoto e OSINT (dados públicos), identificando pontos de entrada e credenciais expostas. Em seguida, usam scanners, exploração de serviços públicos e técnicas “living-off-the-land” para se infiltrar com baixo ruído. Ferramentas automatizadas podem não sinalizar essas ações imediatamente; por isso a caça ativa (threat hunting) combina hipóteses humanas, análise comportamental e telemetria para descobrir atividades que passaram despercebidas.
Um programa maduro de threat hunting mapeia hipóteses a frameworks como MITRE ATT&CK, prioriza fontes de dados (endpoints, logs, rede) e valida deteções com investigações manuais. Esse trabalho reduz o tempo de permanência do invasor e encontra TTPs (táticas, técnicas e procedimentos) não cobertos por regras prontas.
Como aplicamos: levantamos hipóteses alinhadas ao ATT&CK, definimos queries nas fontes (EDR/SIEM/Network), executamos hunts iterativos e transformamos achados em regras detectáveis e remediações. Ferramentas e contexto humano são igualmente essenciais.
Fontes:
