Cos'è il Threat Hunting? (Ed è Veramente Necessario?) - SentinelOne

Una soluzione active EDR protegge la tua infrastruttura di rete e i tuoi dispositivi dalla maggior parte delle minacce, ma nessuno può affermare che una soluzione di sicurezza garantisca protezione al 100% da ogni attacco.

Un criminale informatico determinato ad attaccare un’azienda specifica impiega molto tempo a fare ricerche su un potenziale obiettivo.

Un buon metodo per assicurare protezione di rete e dispositivi è implementare una soluzione che protegga su più livelli. In un approccio di difesa in profondità, uno di questi livelli è il threat hunting.

Se il tuo team di sicurezza non è ancora attivo su questo tipo di ricerca, leggi di seguito per conoscere gli aspetti essenziali del threat hunting e quali vantaggi possono portare per la sicurezza della tua organizzazione.

Cos’è il Cyber Threat Hunting?

Il threat hunting può essere definito come una pratica sviluppata per aiutarti nella ricerca minacce all'interno dell’infrastruttura di rete prima che possano attaccare.

Cosa lo rende differente? La proattività è ciò che distingue realmente il Threat Hunting dalle tradizionali misure di gestione delle minacce.

Il threat hunting è diverso rispetto ad attività come incident response o digital forensic. L’obiettivo delle attività appena menzionate è quello di determinare cosa succede dopo un attacco. Al contrario, quando si parla di threat hunting, l’obiettivo è la ricerca delle minacce all’interno della rete prima che possa attaccare il sistema.

Il threat hunting è diverso anche dal penetration test e dal vulnerability assessment. Queste sono attività che simulano un attacco dall'esterno, mentre coloro che svolgono threat hunting partono dal presupposto che sia già presente una minaccia all'interno dell’infrastruttura e sfruttano indicatori di compromissione, movimenti laterali e altro ancora che provino l’evidenza di un comportamento anomalo.

Cosa Fare per Iniziare a Fare Threat Hunting?

Come abbiamo visto, il threat hunting è una ricerca approfondita di indicatori di compromissione e comportamenti nascosti assumendo come ipotesi che sia già presente una minaccia all’interno dell’infrastruttura di rete.

Per fare ciò, gli analisti devono fare una distinzione tra attività usuali e inusuali, alla ricerca di attività ancora sconosciute.

È necessario perciò avere una visibilità completa della rete insieme ai dati provenienti dai dispositivi. La telemetria dei dispositivi dovrebbe includere il traffico crittografato, gli hash dei file, i registri di sistema e degli eventi, nonché i dati sul comportamento degli utenti, le connessioni negate legate al controllo dei firewall e l’attività dei dispositivi periferici.

Idealmente, sarebbe necessario uno strumento che consenta di avere una panoramica di tutti questi dati con funzionalità di ricerca in grado di contestualizzare ciò che vediamo per ridurre al minimo la quantità di ricerca manuale attraverso i registri non elaborati.

Le funzionalità che possono segnalare endpoint non gestiti, dispositivi IoT, dispositivi mobile e scoprire i servizi in esecuzione sulla rete sono un grande vantaggio, così come le utility che possiamo incorporare nel browser per accelerare la ricerca di minacce.

Il threat hunting richiede degli strumenti per di reporting adeguati a fornire agli analisti dati di qualità, ma allo stesso tempo si presuppone che abbiano piena fiducia nella soluzione di sicurezza che protegge la rete.

Il threat hunting è un'attività che richiede tempo e gli analisti non possono permettersi di ricercare manualmente le minacce che la soluzione EDR avrebbe dovuto trovare autonomamente per loro.

Rilevare le minacce più sofisticate è una vera sfida per il team di sicurezza, soprattutto se le capacità in ambito cyber security non sono adeguate o la soluzione di sicurezza implementata sommerge il personale con numerosi alert o con un alto grado di falsi positivi.

Anche lo strumento di threat intelligence è molto importante. Ci sono molti feed pubblici o OSINT (open source intelligence) in cui chi svolge attività di threat hunting può rimanere aggiornato sugli indicatori di compromissione come indirizzi IP malevoli e nuovi malware.

Quanto Spesso Sarebbe Necessario Fare Threat Hunting?

Alcune aziende scelgono di svolgere questo tipo di attività solo in determinate situazioni. Ad esempio, quando si verifica un determinato evento o semplicemente quando i dipendenti sono liberi da altre attività.

Il thread hunting programmato, dove il personale dedica del tempo specifico all'attività ad intervalli regolari, consente alle aziende di dare priorità alle ricerche in momenti diversi e aumentare l’efficienza. Tuttavia, il threat hunting programma ha lo svantaggio di avere delle pause, le quali minori sono maggiore è la protezione di tutta l’infrastruttura.

Idealmente, le aziende che hanno sufficiente personale e budget dovrebbero svolgere costantemente il threat hunting in cui l’infrastruttura di rete e i dispositivi siano coinvolti in modo proattivo per la ricerca di eventuali minacce.

In Conclusione

Il threat hunting consente di attuare una ricerca proattiva delle minacce anche più recenti attraverso attività anomale. Soluzioni avanzate con intelligenza artificiale comportamentale riescono a bloccare la maggior parte degli attacchi e sono un prerequisito per fornire la visibilità che richiede il threat hunting, ma i criminali informatici sono sempre alla ricerca di nuovi metodi per raggirare le soluzioni di sicurezza.

Le aziende devono essere preparate a far fronte a minacce come insider threat e attacchi targettizzati. Con l’aiuto di analisti esperti è possibile offrire un ulteriore livello di sicurezza all’interno della tua azienda.

SentinelOne è la piattaforma didi Endpoint Protection di nuova generazione che protegge la tua azienda da Virus, Malware, Ransomware, Exploits, attacchi Insider, Live Attacks - da tutte le minacce informatiche, conosciute ed ignote. SentinelOne protegge la rete e tutti i dispositivi Endpoint (laptops, tablets, mobile phones, IoT) in tempo reale ed in modo completamente automatico.

Se vuoi avere maggiori informazioni su SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.

Per ricevere ulteriore materiale informativo o richiedere una demo gratuita visita la pagina dedicata del nostro sito.

In alternativa, puoi compilare il form sottostante con la tua domanda.