Che cos'è la ricerca delle minacce?

La caccia alle minacce è la pratica di cercare le minacce informatiche che altrimenti potrebbero rimanere inosservate nella sua rete. Secondo Infosec, "la caccia alle minacce informatiche può essere molto simile alla caccia nel mondo reale. Richiede un professionista con competenze uniche, dotato di notevole pazienza, pensiero critico, creatività e un occhio attento per individuare le prede, di solito sotto forma di anomalie del comportamento della rete".

PROGRAMMA UNA DEMO LEGGI IL WHITE PAPER

Che cos'è la ricerca delle minacce?

È meglio presumere di essere stato compromesso

La caccia alle minacce è necessaria semplicemente perché nessuna protezione di cybersecurity è sempre efficace al 100%. È necessaria una difesa attiva, piuttosto che affidarsi a strumenti di sicurezza 'imposta e dimentica'.

 

Alcune minacce, come 'Avvelenare il pozzo', prevedono che gli aggressori lavorino per ottenere una maggiore persistenza a lungo termine nella sua applicazione. Rimanere inosservati è fondamentale per il successo di questo attacco. Purtroppo, la maggior parte degli attacchi riesce a non essere individuata. Un recente studio del Ponemon Institute per conto di IBM ha rilevato che il tempo medio necessario per identificare e contenere una violazione è di 280 giorni.

Definizione di caccia alle minacce

La caccia alle minacce prevede l'utilizzo di tecniche manuali e assistite da software per rilevare possibili minacce che sono sfuggite ad altri sistemi di sicurezza. Più specificamente, i compiti di caccia alle minacce includono:

 

  1. A caccia di minacce esistenti all'interno della sua organizzazione, tutto ciò che un aggressore potrebbe impiantare per esfiltrare informazioni e causare danni.
  2. Caccia alle minacce in modo proattivo, che si presentano ovunque nel mondo.
  3. Preparare una trappola e, in sostanza, aspettare che le minacce le diano la caccia.

Il processo di caccia alle minacce

Per cacciare le minacce, è necessario:

 

  • Raccogliere dati sulla qualità
  • Utilizza gli strumenti per analizzarlo
  • Avere l'abilità di dare un senso a tutto questo

 

Il processo inizia con la raccolta di una quantità adeguata di dati di alta qualità, in quanto l'immissione di dati di scarsa qualità si tradurrà in una caccia alle minacce inefficace. I dati raccolti possono includere i file di registro, i server, i dispositivi di rete (ad es. firewall, switch, router), database ed endpoint.

 

Poi, i cacciatori di minacce devono cercare modelli e potenziali indicatori di compromissione (IOC). Se sta monitorando, deve avere qualcuno che guardi i registri. Troppo spesso, le organizzazioni non hanno risorse e manodopera sufficienti da dedicare al monitoraggio continuo del rilevamento delle intrusioni. Il passo finale è rispondere di conseguenza.

A cosa sta dando la caccia?

Indicatori di compromissione (IOC): Fattori, compresi i dati forensi e i file di registro, che possono aiutare a identificare una potenziale attività dannosa che si è già verificata .

 

Indicatori di attacco (IOA): Sebbene vi sia una somiglianza con gli IOC, gli IOA possono aiutarla a capire gli attacchi in corso.

 

Artefatti basati sulla rete: Cerca la comunicazione del malware utilizzando strumenti come la registrazione delle sessioni, la cattura dei pacchetti e il monitoraggio dello stato della rete.

 

Artefatti basati sull'host: Cerca gli endpoint e cerca l'interazione del malware nel registro, nel file system e altrove.

Trovare e indagare sugli indicatori di compromissione e attacco

La caccia alle minacce richiede un ambito di ricerca e un modo per identificare tutto ciò che non è adatto, come ad esempio:

 

  • Traffico irregolare
  • Attività anomala del conto
  • Modifiche al registro e al file system
  • Comandi utilizzati nelle sessioni remote che non sono stati visti in precedenza

 

Per trovare le anomalie, è importante avere prima una comprensione di base dell'attività regolare. Una volta individuati gli indicatori, segua le tracce. Questo viene spesso fatto stabilendo un'ipotesi e poi identificando se ogni CIO è una minaccia. Alcuni CIO possono utilizzare un approccio diretto e presentare prove evidenti. Ad esempio, un aumento del traffico verso un Paese con cui l'organizzazione non fa affari. L'indagine sugli IOC può anche comportare un lavoro in laboratorio per riprodurre determinati tipi di traffico, per esaminarne il comportamento in un ambiente virtuale.

 

In ambienti controllati, come gli SCADA, è più facile rilevare qualcosa di anomalo. Mentre gli ambienti aziendali hanno spesso un traffico diversificato, rendendo il rilevamento più impegnativo. Le soluzioni di sicurezza, come gli anti-malware, sono più efficaci contro i codici maligni che sono già stati mappati e analizzati, mentre i codici completamente nuovi sono più difficili da rilevare.

 

Mentre un eccesso di strumenti può rendere la caccia alle minacce complicata, gli strumenti di gestione delle informazioni e degli eventi di sicurezza (SIEM) e di correlazione degli eventi aiutano. D'altra parte, possono anche ostacolare la capacità di vedere i dettagli. Un approccio unificato a Cloud Security è ideale.

Suggerimenti per la caccia alle minacce

Le Regole di YARA le consentono di creare serie di regole per aiutare a individuare e riconoscere il malware. "Con YARA è possibile creare descrizioni di famiglie di malware (o qualsiasi cosa si voglia descrivere) basate su modelli testuali o binari".

 

Il malware sofisticato spesso si nasconde all'interno di qualcos'altro per infiltrarsi negli host di servizio, come i processi di Windows che il sistema è sempre in esecuzione. Se riescono a iniettare codice dannoso, possono eseguire operazioni dannose in modo impercettibile. Il registro di Windows è un'altra posizione chiave in cui il malware potrebbe nascondersi. Confrontarlo con il registro di sistema predefinito e analizzare eventuali modifiche.

 

Il livello di dettaglio dipende dalle priorità della sua organizzazione e dal livello di libertà di ogni sistema. Verificare l'integrità dei processi critici del sistema che sono sempre attivi è una parte importante del lato forense della caccia alle minacce.

Squadre efficaci

Infosec afferma: "La caccia può coinvolgere sia tecniche basate su macchine che manuali. A differenza di altri sistemi automatizzati, come il SIEM, l'hunting coinvolge le capacità umane per dare la caccia alle minacce con maggiore sofisticazione".

 

Un attributo importante di un team di caccia alle minacce efficace è la comunicazione. I cacciatori di minacce devono anche essere abili nella stesura di rapporti e nell'educare gli altri sulle minacce e sui rischi. Per aiutare la direzione a prendere buone decisioni sulla base delle loro scoperte, i team devono essere in grado di parlare di ciò che hanno scoperto in termini profani. In generale, la caccia è un ruolo più da analista che da ingegnere.

La caccia alle minacce deve essere parte di un approccio unificato per Cloud Security

CloudGuard Intelligence and Threat Hunting, che fa parte della piattaforma CloudGuard Cloud Native Security, fornisce informazioni forensi sulla sicurezza delle minacce cloud native attraverso una ricca visualizzazione di apprendimento automatico, fornendo un contesto in tempo reale delle minacce e delle anomalie nel suo ambiente multi-cloud.

 

CloudGuard ingerisce i dati di log ed eventi nativi del cloud, offrendo visualizzazioni contestualizzate dell'intera infrastruttura del cloud pubblico e analisi Cloud Security, aiutando a migliorare:

 

  • Risposta agli incidenti (Cloud Forensics): avvisi sull'attività di rete e sui comportamenti degli account
  • Risoluzione dei problemi di rete: configurazione in tempo reale e monitoraggio del traffico in VPC e VNET, inclusi i servizi ephemeral e i componenti della piattaforma cloud-native di Amazon AWS, Microsoft Azure e Google Cloud Platform.
  • Conformità: notifiche istantanee su violazioni normative e controlli passati
×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK