Mentre minacce sempre più sofisticate continuano a proliferare, anche il threat hunting, tecnica di rilevamento proattiva delle minacce, sta prendendo sempre più campo.
Il threat hunting può essere definito come una pratica sviluppata per aiutare le aziende nella ricerca delle minacce all'interno dell’infrastruttura di rete prima che possano attaccare.
Il threat hunting è un processo analyst-centric che consente di scoprire minacce nascoste, che sfuggono ai controlli preventivi delle altre soluzioni automatizzate presenti in azienda.
I professionisti della sicurezza utilizzano la pratica di threat hunting per ottimizzare il processo di monitoraggio, rilevamento e risposta alle minacce.
Questa tecnica di ricerca proattiva richiede personale altamente qualificato, che sia in grado di analizzare dati forensi e fornire una risposta in tempo reale in tutto l’ambiente IT.
Esistono solo poche aziende in settori verticali come quello dei servizi finanziari, produzione high-tech e difesa, che hanno team dedicati al threat hunting.
Oggigiorno, anche le soluzioni più avanzate che sfruttano tecniche di rilevamento sofisticate faticano ad anticipare l’evoluzione dei vettori di attacco.
Il threat hunting consente inoltre ai team di sicurezza di far fronte anche alle minacce poste ai livelli più alti nella cosiddetta “Pyramid of pain”, rendendo più difficile per gli avversari qualsiasi tipologia di attacco.
All'apice della piramide ci sono i TTP (Tattiche, Tecniche, Procedure); quando gli analyst rilevano e rispondono a minacce di questo livello, stanno operando direttamente sui comportamenti dell’avversario, non contro gli strumenti utilizzati, costringendoli ad attuare nuovi metodi comportamentali di attacco.
Esistono tre tipologie principali di ricerca delle minacce:
- Intelligence-Driven – (Atomic Indicator) La ricerca verte su minacce generalmente note che aggirano i tradizionali controlli di sicurezza;
- TTP-Driven – (Behavioural and Compound Indicator) – Si tratta di ricerche di tecniche utilizzate da criminali esperti, in cui gli analyst adottano un approccio metodologico per scoprire attività malevole. L’obiettivo è quello di tentare di interrompere le TTP (Tecniche, Tattiche e Procedure) degli avversari;
- Anomaly-Driven (Generic Behaviour) – Sono ricerche basate su artefatti a bassa prevalenza e comportamenti anomali.
Vantaggi del Threat Hunting
I benefici della pratica di threat hunting sono molteplici. Il principale è ovviamente quello di poter scoprire e contrastare un attacco prima che causi danni significativi.
Avere una conoscenza più approfondita delle vulnerabilità e dei rischi presenti sulla rete consente un rafforzamento dell'ambiente di sicurezza che a sua volta dovrebbe equivalere a meno violazioni. Inoltre, gli insight raccolti aiutano a ridurre la superficie di attacco.
Un altro vantaggio della pratica di threat hunting è che consente una risposta alle minacce molto più rapida e accurata.
In-House o Esternalizzato?
Il threat hunting in modalità outsourcing è accessibile per le organizzazioni di tutte le dimensioni, in particolare le aziende di piccole e medie dimensioni che solitamente non dispongono di un Security Operations Center (SOC) in quanto spesso troppo costoso da gestire e supportare.
Le aziende di grandi dimensioni stanno cercando di rafforzare la parte di threat hunting esistente attraverso una formazione ad-hoc del proprio personale.
Ad inizio anno, Cisco ha annunciato di aver inserito il threat hunting come funzionalità nell’offerta Cisco AMP (Advanced Malware Protection) per endpoint. Cisco Talos identifica anche le minacce più sofisticate, avvisando gli utenti prima che possano verificarsi danni.
Cisco è leader mondiale nelle tecnologie Networking, Wireless, Security, Unified Communication, Cloud, Collaboration, Data Center, Virtualization e Unified Computing Systems.
Più di 300.000 aziende in 115 paesi utilizzano le soluzioni di Networking Cisco per ottimizzare i costi operativi, automatizzare i compiti IT su tutta la rete, aumentare l'agilità aziendale, gestire Cloud e IoT in completa sicurezza.
Se vuoi scoprire di più sulle soluzioni Cisco Systems invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.