Threat Hunting Prepara il tuo SOC al futuro e fai crescere la tua attività

La ricerca delle minacce parte dalla premessa che un aggressore si trovi già nell’ambiente. In genere inizia con un’ipotesi sulle minacce che possono essere presenti nell’ambiente, prosegue con un’analisi delle minacce potenziali e, qualora l’analisi confermasse l’ipotesi, il processo si conclude con l’effettiva risposta alla minaccia e un rimedio alle modifiche o ai danni provocati.

Capire, dal punto di vista tecnico, cosa rappresenta la norma per l’ambiente, permette di scoprire i comportamenti al di fuori della norma e anomalie quali:

• Tattiche, tecniche procedure (TTP) utilizzate dagli aggressori.
• I punti verosimilmente più vulnerabili dell’ambiente.
• Flussi di informazioni attendibili sugli indicatori recenti e tipici di compromissione.

Ecco sei suggerimenti rapidi per iniziare con la ricerca delle minacce.

I prerequisiti della ricerca delle minacce sono: visibilità tra endpoint, intelligence sulle minacce e competenze in materia di sicurezza. Quest’ultimo necessita di conoscenze ed esperienza, mentre i primi due possono essere acquisiti con l’ausilio di strumenti automatici.

Attualmente gli specialisti in ricerca delle minacce si avvalgono di strumenti come rilevamento e risposta per gli endpoint (EDR), rilevamento e risposta estesi (XDR), sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM), sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) e/o strumenti personalizzati basati su script, PowerShell ecc., nonché di dati analitici sulla sicurezza basati su intelligenza artificiale (AI) e apprendimento automatico (ML).

Grazie a queste tipologie di strumenti di ricerca delle minacce, è possibile:

• stabilire visibilità acquisendo e centralizzando dati telemetrici degli endpoint (ad es. una vasta gamma di attività e comportamenti che riguardano più sistemi operativi, tra cui modelli di traffico di rete, attività di rete e degli utenti, hash file, operazioni su file, registri di sistema ed eventi, connessioni negate, attività dei dispositivi e altro ancora)
• correlare dati ed eventi diversi per capire il contesto della potenziale minaccia
• monitorare, analizzare e segnalare eventi di sicurezza in tempo reale
• tracciare gli attacchi dall’inizio alla fine e fornire risposte adeguate.

I ricercatori di minacce fanno anche uso di intelligence delle minacce offerta da feed open source, fornitori specializzati in intelligence delle minacce o feed dei propri fornitori di prodotti per la sicurezza. In questo modo possono farsi un’idea della minaccia oggetto della loro ricerca o convalidare ipotesi.

La ricerca delle minacce integra questi strumenti con ricerche nell’intero ambiente che mirano a individuare indicatori di compromissione (IOC), oltre al comportamento e alla tattica di cui si servono gli aggressori.

MITRE ATT&CK® è una knowledge base globale aperta per i professionisti della sicurezza nel settore privato, nella Pubblica Amministrazione e nella community dei prodotti e dell’assistenza in materia di sicurezza informatica. Acronimo di Adversarial Tactics, Techniques, and Common Knowledge (“Tattiche, tecniche e nozioni comuni antagonistiche”), il framework ATT&CK funge da linguaggio univoco per descrivere il comportamento di un aggressore suddiviso per tattiche e tecniche in base a osservazioni realistiche.

La tabella MITRE ATT&CK delle TTP è diventata una fonte di informazioni e consulenza molto affidabile per i ricercatori di minacce. Offre approfondimenti sui comportamenti e sulle motivazioni più frequenti da parte degli aggressori, su tattiche e tecniche alla base di un attacco, sulla natura della minaccia e sulla risposta più efficace per respingerla.

N‑able EDR con Threat Hunting, basato su tecnologia SentinelOne®, associa gli attacchi al framework MITRE ATT&CK, contestualizzando un attacco e offrendo indicatori immediati agli analisti, i quali possono cercare le tattiche e tecniche MITRE ATT&CK e altri indicatori di compromissione per rilevare comportamenti dannosi o sospetti tra gli endpoint di una rete prima che l’attacco possa essere eseguito o raggiungere i propri obiettivi.

La ricerca proattiva delle minacce contribuisce a ottenere tempi di risposta agli incidenti più veloci, a ridurre il carico di lavoro per i team addetti alla sicurezza e a rafforzare le operazioni di sicurezza con una maggiore visibilità delle minacce emergenti. Che tu gestisca un SOC interno e supporti altre attività con la sicurezza informatica, la ricerca delle minacce è una funzionalità valida per migliorare la suite di tecnologie per la sicurezza. 

Se la tua azienda dispone di un SOC interno, la ricerca delle minacce può migliorare rilevamento e risposta. Analogamente, se supporti altri clienti con i tuoi servizi di sicurezza, essa può dare una marcia in più alla tua offerta e aiutarti a proteggerli dalle minacce avanzate. 

Soluzioni quali N‑able EDR con Threat Hunting offrono le funzionalità necessarie per implementare o migliorare un programma di ricerca delle minacce, che tu faccia parte di un team IT interno, che tu abbia un’attività di MSP o di MSSP.