La sicurezza informatica può essere paragonata al gioco del gatto e del topo. Man mano che le soluzioni migliorano per far fronte ad un attacco, gli avversari hanno già iniziato a sfruttare nuove tattiche e tecniche per attaccare reti e sistemi.
Secondo il “Verizon DBIR (Data Breach Investigation Report)”, le minacce avanzate si nascondono negli ambienti senza essere rilevate, spesso per mesi, mentre cercano furtivamente di raccogliere informazioni preziose o dati da compromettere.
Aspettare che tali minacce diventino visibili o che sia generato un avviso dai tradizionali strumenti di monitoraggio SOC, potrebbe rivelarsi un errore fatale.
Il threat hunting può aiutare a far fronte a queste sfide. Piuttosto che attendere un alert, i threat hunter effettuano ricerche all’interno della rete presumendo che un criminale informatico sia già all’interno dell’infrastruttura e cercano di trovarlo prima che possa causare danni all’ecosistema aziendale.
Cos’è il Threat Hunting?
Il threat hunting è stato definito da alcuni come una "risposta a un incidente di sicurezza informatica prima che l’incidente sia dichiarato". Altri lo definiscono come "rilevamento di minacce utilizzando gli strumenti di risposta agli incidenti" o anche "test di ipotesi di sicurezza su un ambiente IT attivo".
SentinelOne definisce il threat hunting come il processo di ricerca attraverso reti ed endpoint per identificare minacce che sfuggono ai controlli di sicurezza.
Invece di fare affidamento soltanto alle soluzioni di sicurezza per rilevare minacce, il threat hunting è un approccio proattivo per la ricerca di minacce non visibili all’interno della rete.
A differenza dei team Security Operations Center (SOC) e Incident Response (IR), i threat hunter non rispondono solo alle minacce, le cercano attivamente.
Tale processo prevede la formulazione di ipotesi sull'esistenza di potenziali minacce, che sono poi confermate o smentite sulla base dei dati e delle analisi raccolte.
Il threat hunting è anche un’attività piuttosto diversa rispetto alla risposta agli incidenti e o all’analisi forense digitale.
Lo scopo delle metodologie DF (Digital Forensic - Analisi Forense) / IR (Incident Response - Risposta agli Incidenti) è determinare cosa è successo dopo che è stata scoperta una violazione.
Al contrario, quando un team esegue attività di threat hunting, l'obiettivo è cercare minacce che potrebbero essere già andate oltre i livelli difensivi aziendali.
Il threat hunting è una metodologia diversa rispetto al penetration test e al vulnerability assessment. Questi tentano di simulare un attacco, consentono di capire cosa "potrebbe" accadere se qualcuno compromettesse un’ambiente.
Mentre i threat hunter lavorano partendo dalla premessa che un criminale informatico è già all’interno della rete e quindi cercano indicatori di compromissione, movimenti laterali e altri artefatti rivelatori che possono fornire prove del criminale informatico.
Cosa è Necessario Incorporare nel Threat Hunting?
In media, i criminali informatici trascorrono 191 giorni all'interno di una rete prima di essere scoperti, tempo più che sufficiente per causare danni anche ingenti.
In poche parole, se non cerchiamo criminali informatici all'interno della rete, potremmo non sapere mai che sono lì.
E se i criminali informatici ci escludessero dai sistemi prima di poter essere sotto attacco? Con un efficiente programma di ricerca delle minacce, non dobbiamo preoccuparci di questa possibilità.
Il threat hunting è guidato dall’uomo, è iterativo, adattivo e sistematico. Pertanto, riduce efficacemente i danni e il rischio complessivo per un'organizzazione, poiché la proattività consente ai professionisti della sicurezza informatica di rispondere agli incidenti più rapidamente di quanto sarebbe possibile altrimenti.
Infine, il threat hunting porterà ad una conoscenza approfondita di reti, sistemi, applicazioni ed utenti. La conoscenza di tutti questi componenti è un elemento critico per un solido framework di sicurezza.
6 Step per Realizzare un Programma di Ricerca Efficiente
Quindi come possiamo creare un programma di ricerca perfetto ed efficiente? In realtà, il programma di ricerca perfetto raramente esiste! È necessario che sia presente una combinazione iterativa di processi, strumenti e tecniche in continua evoluzione per adattarsi alle organizzazioni.
1. Assicuriamoci di Avere i Dati Corretti
Tutte le attività di threat hunting iniziano con la raccolta di dati corretti per rispondere alle domande. Senza tali dati, non saremmo in grado di condurre una ricerca efficace e significativa.
È necessario assicurarsi di disporre di una telemetria che acquisisca un'ampia gamma di attività e comportamenti su più sistemi operativi e che sia allo stesso tempo una base per tutte le attività di ricerca delle minacce.
La telemetria del dispositivo dovrebbe includere dati come modelli di traffico di rete, file hash, processi, attività dell'utente, attività di rete, operazioni sui file, attività di persistenza, registri di sistema ed eventi, connessioni negate e attività del dispositivo periferico.
Avere solo i dati grezzi non è sufficiente; è infatti necessario assicurarsi di disporre del contesto che circonda i dati. Sapere quali dati combinare, correlare o estendere è fondamentale.
Idealmente, sarebbero necessari strumenti che consentano una chiara panoramica di tutti i dati di cui sopra con potenti funzionalità per contestualizzare automaticamente e correlare diversi eventi in rilevamenti unificati che riducano al minimo la quantità di ricerca manuale attraverso i log non elaborati.
La tecnologia Storyline brevettata di SentinelOne fornisce agli analisti correlazione e contesto utilizzabili in tempo reale e consente agli analisti della sicurezza di comprendere l'intera storia di ciò che è accaduto nel proprio ambiente.
Ogni agent SentinelOne autonomo crea un modello della propria infrastruttura endpoint e del comportamento di esecuzione in tempo reale. Ogni elemento di una storia ha la stessa Storyline.
Questo consente di avere un quadro completo su cosa è successo all’interno di un dispositivo e cosa lo ha causato. SentinelOne correla automaticamente l'attività di riferimento in alert unificati che forniscono informazioni a livello di campagna.
Ciò riduce la quantità di sforzo manuale necessario, la gestione di grandi volumi di alert e abbassa significativamente la barriera delle competenze di risposta agli avvisi.
2. Baseline per Capire Cosa è Normale nel Proprio Ambiente
I threat hunter necessitano di una conoscenza approfondita del profilo dell’organizzazione, delle attività che potrebbero essere oggetto di violazione da parte dei criminali informatici, come l'assunzione di nuovo personale o l'acquisizione di nuovi asset e aziende.
Una componente fondamentale del threat hunting è avere i dati come riferimento "normale" e trovare valori anomali (analisi dei valori anomali).
Gli aggressori spesso si fingono utenti ordinari per acquisire le credenziali utente dalle campagne di phishing, quindi la comprensione del comportamento tipico di un utente è un'utile base di riferimento per indagare sui login o eventuali accessi a file anomali.
Combinare ciò con la comprensione di quali dati aziendali sono di valore per gli aggressori e dove si trovano può portare alla creazione di ipotesi come: "un utente malintenzionato sta cercando di rubare dati che si trovano in una posizione specifica?"
Ciò, a sua volta, potrebbe richiedere la raccolta di dati che rispondano a domande come la seguente: "Quali utenti hanno effettuato l'accesso per la prima volta a tale posizione negli ultimi n giorni?"
Il motore IA comportamentale di SentinelOne sfrutta metodi avanzati di data science per insegnare ai sistemi la differenza tra le normali operazioni quotidiane e il comportamento anomalo delle minacce.
Ciò fornisce all'analyst un quadro completo, e qualsiasi contesto aggiuntivo è necessario per comprendere quali sono le attività normali e consentire loro di individuare eventuali valori anomali.
Un alert viene attivato se emerge un pattern, come ripetuti tentativi di accesso da un paese sospetto, il che potrebbe indicare un potenziale attacco da parte di criminali informatici.
Questo aiuta a rendere il rilevamento e la ricerca delle minacce più veloci e accurati. SentinelOne conserva anche i dati storici da 14 giorni a 365+ giorni, disponibili per eseguire query quasi in tempo reale, in modo che la squadra di threat hunter possa comprendere e analizzare i dati per lunghi periodi di tempo.
3. Sviluppare un’Ipotesi
Molte ricerche partono da una fonte intel che utilizza Indicators of Compromise (IoC), valori hash, indirizzi IP, nomi di dominio, artefatti di rete o host forniti da fonti di dati di terze parti come Information Sharing and Analysis Center (ISAC) o FBI.
Le ricerche possono anche essere guidate da incidenti; dato un qualsiasi incidente, è necessario comprendere come e quando è successo. Tuttavia, non tutte le minacce sono note. In effetti, un gran numero di minacce è sconosciuto, quindi la ricerca non può fare affidamento esclusivamente sull'utilizzo di metodologie note.
In un flusso di lavoro basato su ipotesi, una ricerca inizia con la creazione di un'ipotesi su un tipo di attività che potrebbe essere in corso nel proprio ambiente.
L'utilizzo di strumenti e framework di intelligenza open-source (OSINT) come MITRE ATT&CK ha efficacia se sappiamo cosa stiamo cercando.
Questo ci porta a una delle componenti essenziali del threat hunting: la creazione e la verifica di ipotesi. Le ipotesi sono tipicamente formulate dai ricercatori sulla base di strumenti e framework, social intelligence, threat intelligence ed esperienze passate.
Le domande generalizzate potrebbero includere: "Se dovessimo attaccare questo ambiente, in che modo lo faremmo? Da dove tenteremmo di accedere? Quali sarebbero gli obiettivi? ”.
Altri esempi potrebbero includere domande come: "Perché vediamo HTTPS crittografato, traffico FTP verso i paesi dell'Est nel nostro ambiente?" o "Perché vediamo un volume anomalo di query DNS da una singola macchina?"
Le idee possono derivare dalle seguenti fonti:
– Framework MITRE ATT&CK - un’ampia base di conoscenza di tattiche, tecniche e procedure di attacco. Lo studio delle tecniche MITRE e la loro simulazione in ambienti di test possono servire come base per lo sviluppo di ipotesi;
– Report Threat Intelligence - contengono informazioni utili su tecniche e procedure di attacco basate su incidenti reali. L'analisi sistematica di tali report dovrebbe stimolare alcune riflessioni e dare origine a diverse idee di threat hunting;
– Blog, Twitter e Conferenze - le informazioni sulle nuove tecniche di attacco sono riportate su blog di ricerca e conferenze, anche prima che gli aggressori inizino a utilizzarle attivamente. Lo studio tempestivo di tali informazioni consentirà ai threat hunters di agire proattivamente e prepararsi prima che la nuova tecnica di attacco si diffonda;
– Penetration Test - gli aggressori tendono ad utilizzare strumenti simili a quelli applicati dai pen-tester esperti. Pertanto, lo studio delle pratiche di pen-testing consente di elaborare nuove ipotesi per il threat hunting.
La Deep Visibility brevettata di SentinelOne consente di eseguire query in modo rapido e iterativo e di eseguire il pivot della telemetria degli endpoint acquisita dai dispositivi endpoint per convalidare le ipotesi.
SentinelOne correla automaticamente tutti gli oggetti coinvolti (processi, file, thread, eventi e altro) in un attacco. Ad esempio, supponiamo che un processo venga modificato inserendo un codice diverso.
Quando si esegue una query, tutta l'interazione tra il processo di origine, il processo di destinazione e il processo padre viene visualizzata chiaramente nei dettagli del processo incrociato.
Ciò consente di comprendere rapidamente le relazioni tra i dati: la causa principale di una minaccia con tutto il contesto, le relazioni e le attività.
Gli analisti possono anche sfruttare i dati storici per mappare campagne di minacce avanzate nel tempo per consentire una generazione efficiente di ipotesi.
È possibile creare potenti query di ricerca con shortcut facili da utilizzare. Come threat hunter, il framework MITRE ATT&CK è probabilmente diventato uno degli strumenti di riferimento.
SentinelOne rende la ricerca per procedure, tecniche e tattiche MITRE ATT&CK (TTPs) rapida e indolore. È semplice come inserire l'ID della tecnica MITRE e utilizzarlo per eseguire una ricerca.
SentinelOne fornisce una libreria di query di ricerca utilizzando dati provenienti da varie fonti aperte, commerciali e personalizzate curate dalla ricerca SentinelOne.
Queste ricerche sono il risultato di ipotesi comprovate dai dati di ricerca e sono generiche. Ad esempio, l'utilizzo di PowerShell non gestito e non firmato è probabilmente anormale nella maggior parte degli ambienti e in genere richiederebbe ulteriori indagini. Entrambi gli esempi precedenti non sono dannosi in sé e per sé, ma si adattano a un flusso di lavoro di ricerca in quanto descrittivi di anomalie.
Nel prossimo articolo parleremo dei 3 step successivi per realizzare un programma di Threat Hunting efficace secondo SentinelOne.
SentinelOne è l'unica soluzione che offre prevenzione, rilevamento, risposta, remediation ed analisi forense in un'unica piattaforma. Per avere maggiori informazioni sulla soluzione invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa puoi compilare il form sottostante con la tua domanda.