Nella prima parte di questo articolo abbiamo parlato dei primi 3 step per un programma di Threat Hunting efficace.
Di seguito, gli ulteriori 3 step da seguire secondo SentinelOne per far fronte alle minacce informatiche prima che possano causare danni ingenti all’ecosistema aziendale.
4. Ricerca e Analisi di Potenziali Minacce
Dopo aver generato l'ipotesi, il passaggio successivo consiste nel seguirla esaminando vari strumenti e tecniche per scoprire eventuali attività malevole.
Se l'ipotesi è corretta e viene rilevata la prova di attività dannosa, il threat hunter deve analizzare immediatamente natura, entità, impatto e ambito della scoperta.
Sebbene l’attività di threat hunting inizi con un'ipotesi generata dall'uomo, le soluzioni per la protezione dalle minacce, come SentinelOne, rendono l'indagine più efficiente.
La Deep Visibility di SentinelOne potenzia le capacità di ricerca rapida delle minacce grazie a Storyline. Ogni agent autonomo SentinelOne monitora l'attività degli endpoint e il comportamento in tempo reale.
Un ID Storyline è un ID assegnato a un gruppo di eventi correlati in questo modello. Quando troviamo un evento anomalo che sembra rilevante, utilizziamo l'ID Storyline per trovare rapidamente tutti i processi, i file, i thread, gli eventi e gli altri dati correlati con una singola query.
Con Storyline, Deep Visibility restituisce dati completi e contestualizzati che consentono di comprendere rapidamente la causa principale alla base di una minaccia con tutto il contesto, le relazioni e le attività rivelate da una ricerca.
Storyline consente ai threat hunter di analizzare lo storico delle attività su un endpoint e permette di visualizzare l'intera catena di eventi, facendo risparmiare tempo ai team di sicurezza.
5. Rispondere Rapidamente per Far Fronte alle Minacce
Una volta scoperto un nuovo TTP, è necessario assicurarsi di poter rispondere efficacemente e porre rimedio alla minaccia.
La risposta dovrebbe definire distintamente le misure a breve e lungo termine che saranno utilizzate per neutralizzare l'attacco.
L'obiettivo principale della risposta è porre immediatamente fine all'attacco in corso per evitare che il sistema sia danneggiato da una minaccia percepita. Ma è anche essenziale comprendere la causa della minaccia per ottimizzare la sicurezza e prevenire attacchi simili in futuro.
È necessario prendere tutte le misure utili per garantire che attacchi simili non si ripetano.
SentinelOne consente agli analisti di intraprendere tutte le azioni necessarie per rispondere e porre rimedio alla minaccia con un solo clic.
Con un clic, l'analista può ripristinare la minaccia o eseguire qualsiasi altra azione di mitigazione disponibile.
La funzionalità di rollback ripristina automaticamente i file eliminati o danneggiati a causa di un ransomware riportandoli allo stato pre-infezione senza dover ricreare l'immagine della macchina.
La minaccia può essere aggiunta all’interno del campo “Esclusioni”, contrassegnata come risolta e possono essere inserite note per spiegare la logica alla base delle decisioni prese.
SentinelOne offre anche funzionalità Remote Shell complete per fornire al team di sicurezza una modalità rapida per indagare sugli attacchi, raccogliere dati forensi e porre rimedio alle violazioni indipendentemente da dove si trovano gli endpoint compromessi, eliminando l'incertezza e riducendo significativamente i tempi di inattività derivanti da un attacco.
SentinelOne è anche in grado di rilevare le minacce in anticipo grazie al machine learning e all'automazione intelligente.
La soluzione anticipa minacce e attacchi ispezionando in profondità file, documenti, e-mail, credenziali, browser, payload e memorie di archiviazione. Può disconnettere automaticamente un dispositivo da una rete quando identifica una possibile minaccia o attacco alla sicurezza.
6. Arricchisci e Automatizza per Eventi Futuri
Infine, le ricerche di successo costituiscono la base per informare e arricchire l'analisi automatizzata. Il passaggio finale nella pratica del threat hunting consiste nell'utilizzare le informazioni acquisite durante il processo di ricerca delle minacce per arricchire e ottimizzare i sistemi EDR.
In questo modo, la sicurezza globale dell'organizzazione è ottimizzata grazie alle scoperte fatte durante le indagini.
Le tecniche avanzate di threat hunting cercheranno di automatizzare il maggior numero di attività possibile. Monitorare il comportamento degli utenti e confrontarlo con il proprio per cercare anomalie, ad esempio, è molto più efficace dell'esecuzione di singole query.
Tuttavia, è probabile che entrambe le tecniche siano necessarie nella pratica. SentinelOne consente di semplificarle entrambe grazie ad un ricco set di API native che consentono la piena integrazione nello stack del software di sicurezza.
Con le regole di rilevamento personalizzate Storyline Auto-Response (STAR), è possibile trasformare le query Deep Visibility in regole di ricerca automatizzate che attivano avvisi e risposte quando sono rilevate delle corrispondenze.
STAR offre la flessibilità di creare avvisi personalizzati specifici per il proprio ambiente che possono migliorare le attività di alert e il triage degli eventi.
SentinelOne può anche mitigare automaticamente i rilevamenti in base a policy per minacce sospette o per minacce dannose oppure può mettere gli endpoint in quarantena.
Gli alert sono attivati quasi in tempo reale e sono visualizzati nel registro delle attività nella console di gestione. È possibile abilitare gli avvisi in Syslog che possono essere utilizzati per il triage e l'integrazione SIEM.
Dopo aver eseguito la query in Deep Visibility ed aver effettuato ricerche, è possibile selezionare una risposta automatica per la regola per mitigare automaticamente i rilevamenti.
In questo modo, SentinelOne protegge automaticamente tutto l’ambiente da ogni minaccia in base alle esigenze aziendali, ogni secondo di ogni giorno. I criminali informatici di oggi stanno automatizzando le proprie tecniche, tattiche e procedure per eludere le difese preventive, quindi ha senso che i team di sicurezza aziendale debbano tenere il passo con gli attacchi automatizzando i carichi di lavoro manuali.
In Conclusione
L'implementazione di un programma di threat hunting può portare molti vantaggi all'organizzazione, tra cui la scoperta proattiva degli incidenti di sicurezza, tempi di risposta più rapidi e una posizione di sicurezza più solida.
Una ricerca efficace delle minacce comporta meno un risparmio di tempo per gli analisti e protegge il SOC da una varietà di avversari noti e sconosciuti.
SentinelOne offre visibilità, facilità di utilizzo e velocità per rendere il threat hunting più efficace che mai.
Se vuoi avere maggiori informazioni sulla soluzione invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita. In alternativa, puoi compilare il form sottostante con la tua domanda.