Che cos'è il Threat Hunting? Un approccio proattivo alla sicurezza informatica

La caccia alle minacce è il processo proattivo di ricerca tra reti, endpoint e set di dati per identificare e mitigare le minacce informatiche che hanno eluso le misure di sicurezza tradizionali. A differenza degli approcci reattivi che si basano su avvisi automatici, il threat hunting enfatizza l'esperienza umana per scoprire le minacce sofisticate che si nascondono nell'infrastruttura di un'organizzazione. Man mano che le capacità di threat hunting di un'organizzazione maturano, tali operazioni possono essere incrementate dall'automazione e scalate per lavorare con maggiore capacità. 

I cacciatori di minacce sono i difensori proattivi della struttura di cybersecurity di un'organizzazione. La loro responsabilità principale è quella di rilevare le minacce nascoste prima che si trasformino in veri e propri incidenti di sicurezza. 

Applicando la conoscenza delle capacità e dei comportamenti degli avversari, i cacciatori di minacce scavano in profondità nel traffico di rete, cercano tracce sospette nei registri di sicurezza e identificano anomalie che potrebbero non essere considerate sufficientemente critiche da provocare rilevamenti automatici. In questo modo, i cacciatori di minacce svolgono un ruolo cruciale nel rafforzare la postura di sicurezza di un'organizzazione.  

I cacciatori di minacce utilizzano tecniche di analisi comportamentale per distinguere le attività informatiche normali da quelle dannose. Inoltre, forniscono informazioni utili per informare i team di sicurezza su come migliorare le difese esistenti, perfezionare i sistemi di rilevamento automatici e colmare le lacune di sicurezza prima che possano essere sfruttate.  

Concentrandosi sia sulle minacce note che sulle metodologie di attacco emergenti, i cacciatori di minacce riducono in modo significativo la dipendenza di un'organizzazione da misure di sicurezza reattive e coltivano invece una cultura di difesa proattiva. 

La caccia alle minacce è diventata una pratica indispensabile nella moderna sicurezza informatica a causa della crescente sofisticazione delle tattiche degli attori delle minacce. Molti avversari, in particolare le minacce persistenti avanzate (APT), possono utilizzare tecniche furtive e malware evasivi che rimangono inosservati per lunghi periodi, spesso aggirando i tradizionali strumenti di difesa della sicurezza.  

Senza una caccia attiva alle minacce informatiche, questi attacchi nascosti possono rimanere all'interno delle reti per mesi, estraendo dati sensibili o preparando interruzioni su larga scala. Inoltre, la caccia alle minacce svolge un ruolo cruciale nel ridurre il tempo di permanenza, ovvero il periodo in cui un attore di minacce rimane inosservato all'interno di un sistema. Più a lungo un aggressore rimane inosservato, maggiori sono le possibilità di radicarsi in un ambiente e maggiori sono i danni che può infliggere all'infrastruttura e ai dati di un'organizzazione. 

Oltre a ridurre i tempi di attesa, la caccia alle minacce migliora le capacità di risposta agli incidenti di un'organizzazione. Identificando proattivamente le minacce prima che si manifestino come violazioni, i team di sicurezza possono rispondere in modo rapido ed efficace, riducendo al minimo l'impatto di potenziali attacchi.  

Inoltre, le organizzazioni che integrano il threat hunting nei loro framework di sicurezza ottengono approfondimenti sulle tattiche degli avversari, consentendo loro di migliorare continuamente le difese. Questo approccio contribuisce anche alla conformità normativa, in quanto molte normative sulla cybersecurity impongono pratiche di rilevamento proattivo delle minacce.  

In definitiva, la caccia alle minacce rafforza la cultura generale della sicurezza di un'organizzazione, garantendo che i team di sicurezza rimangano vigili e ben preparati contro l'evoluzione delle minacce informatiche.

Diversi modelli guidano le pratiche di caccia alle minacce: 

• Caccia basato sull'Intel: Si basa su feed di intelligence sulle minacce, come CIO, indirizzi IP e nomi di dominio, per identificare potenziali minacce informatiche sulla base di fonti di intelligence esterne. Questo approccio è spesso considerato meno maturo e meno efficace per la caccia agli avversari, ma può essere utile in alcuni casi. 
• Caccia basata su ipotesi: Comporta la creazione di ipotesi basate su analisi, intelligence o consapevolezza della situazione per guidare il processo di caccia verso minacce sconosciute.
• Indagine tramite indicatori di attacco (IOA): Si concentra sull'identificazione dei comportamenti e dei modelli di attacco dell'avversario per rilevare le minacce alla sicurezza informatica prima che vengano eseguite.
• Hunting basato sul comportamento: Rileva i comportamenti anomali degli utenti e della rete anziché basarsi su indicatori predefiniti, fornendo un metodo di rilevamento più dinamico. 

Una caccia efficace alle minacce richiede una suite di strumenti specializzati: 

• Sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM): Aggregano e analizzano gli avvisi di sicurezza provenienti da varie fonti. 
• Soluzioni EDR (Endpoint Detection and Response): Monitorano le attività degli endpoint per rilevare e rispondere alle minacce non rilevate dai sistemi automatici. I prodotti EDR producono una ricca serie di dati sulle attività che si verificano sugli endpoint di un'organizzazione, offrendo l'opportunità di far emergere continuamente le scoperte man mano che vengono studiate nuove tattiche, tecniche e procedure (TTP) basate su host.  
• Soluzioni di rilevamento e risposta della rete (NDR): Monitorano e analizzano il traffico di rete per rilevare le attività avversarie basate sulle comunicazioni di rete. Molteplici tattiche avversarie comuni si basano sulle reti, tra cui il movimento laterale, il comando e il controllo e l'esfiltrazione dei dati. I segnali generati a livello di rete possono essere utili per identificare i segni dell'attività di un attore pericoloso. 
• Servizi di rilevamento e risposta gestiti (MDR): Forniscono funzionalità di ricerca e risposta alle minacce in outsourcing. 
• Piattaforme analitiche di sicurezza: Utilizzano analisi avanzate, compreso l'apprendimento automatico, per identificare anomalie e potenziali minacce. Questi tipi di sistemi sono fondamentali per aggregare i dati degli eventi, analizzarli in modo significativo e far emergere i risultati della caccia alle minacce informatiche. 
• PiattaformeThreat Intelligence : Aggregano i dati di intelligence sulle minacce provenienti da varie fonti per aiutare a identificare le minacce. 
• Analisi del comportamento di utenti ed entità (UEBA): Analizzare i modelli di comportamento degli utenti per rilevare potenziali minacce interne o account compromessi. 

Sebbene la caccia alle minacce e l'intelligence sulle minacce siano strettamente correlate, esse svolgono ruoli distinti ma complementari nella sicurezza informatica.  

L'intelligence delle minacce comporta la raccolta, l'analisi e la diffusione di informazioni sulle minacce esistenti ed emergenti, consentendo alle organizzazioni di anticipare i potenziali attacchi. Fornisce ai team di sicurezza preziose informazioni, tra cui vettori di attacco, comportamenti degli avversari e vulnerabilità emergenti, che possono essere utilizzate per migliorare le misure difensive. 

D'altra parte, la caccia alle minacce è un approccio attivo e pratico in cui gli analisti cercano in modo proattivo le minacce all'interno della rete dell'organizzazione. Invece di aspettare gli avvisi o gli indicatori noti di compromissione, i cacciatori di minacce utilizzano gli approfondimenti forniti dalle informazioni sulle minacce per indagare su potenziali minacce nascoste che gli strumenti di sicurezza automatizzati potrebbero ignorare.  

Mentre l'intelligence sulle minacce supporta la caccia alle minacce fornendo dati cruciali, la caccia alle minacce affina l'intelligence sulle minacce scoprendo nuove metodologie di attacco e vulnerabilità, rendendo entrambe le pratiche essenziali per una strategia di cybersecurity a tutto tondo. 

Gran parte del dibattito sul threat hunting riguarda i dati raccolti, che possono essere successivamente analizzati per aumentare la consapevolezza delle minacce quando alimentati da nuove informazioni. Molte soluzioni di sicurezza informatica funzionano in questo modo, fornendo dati che possono essere analizzati in tempo reale o in un secondo momento.  

Tuttavia, alcune soluzioni funzionano solo in tempo reale; analizzano i dati che sono contestualizzati in quel momento e, quando tali dati sono usciti dal contesto, non è possibile analizzarli allo stesso livello di profondità in futuro. Ne sono un esempio alcune forme di analisi dei dati di rete, come i sistemi di rilevamento delle intrusioni (IDS), i software antivirus che ispezionano il contenuto dei file nel momento in cui vi si accede o vengono creati, nonché diversi tipi di pipeline di rilevamento costruite per analizzare i dati in streaming e poi scartarli.  

La caccia alle minacce informatiche ci ricorda che alcune minacce sono difficili da rilevare in tempo reale e che spesso l'unico momento in cui verranno rilevate sarà in un momento futuro, quando si conosceranno maggiori informazioni su una minaccia. 

La caccia retroattiva ("RetroHunting") è un metodo di lookback che consente di analizzare i dati di rete e i file raccolti in precedenza, utilizzando la consapevolezza odierna del panorama delle minacce. Realizzata per i team di ricerca delle minacce, la suite di soluzioni Triage, Analisi e Controllo (TAC) di OPSWAT, tra cui MetaDefender NDR, implementa RetroHunting per aiutare i difensori a rianalizzare i dati utilizzando firme di rilevamento aggiornate, facendo emergere le minacce che sfuggono alle difese.  

Si tratta di un metodo collaudato per fondere i vantaggi dell'intelligence sulle minacce, dell'ingegneria di rilevamento, della caccia alle minacce e della risposta agli incidenti in un modello difensivo completo. I clienti che utilizzano RetroHunt rilevano e rimediano un numero maggiore di punti di appoggio attivi degli avversari nei loro ambienti rispetto all'utilizzo delle sole analisi standard in tempo reale.

Il tempo di permanenza si riferisce alla durata del tempo in cui un attore della minaccia rimane inosservato all'interno di una rete. Ridurre il tempo di permanenza è fondamentale per minimizzare i danni potenziali delle minacce informatiche. La ricerca proattiva delle minacce può ridurre significativamente il tempo di permanenza, identificando e mitigando le minacce prima che possano realizzare pienamente i loro obiettivi dannosi. 

Gli avversari possono utilizzare una serie di metodi di persistenza furtivi per mantenere l'accesso a un ambiente target nel caso in cui perdano l'accesso attraverso i metodi primari. I cacciatori di minacce compilano un elenco di tecniche di persistenza che possono essere utilizzate nel loro ambiente, verificano l'abuso di tali metodi e identificano una shell Web su un server compromesso che un avversario ha installato all'inizio dell'anno.

La caccia alle minacce è una componente essenziale di una strategia di cybersecurity proattiva. Grazie alla ricerca continua di minacce nascoste, le organizzazioni possono migliorare significativamente la loro posizione di sicurezza, ridurre il tempo di permanenza degli attacchi e mitigare i danni potenziali delle minacce informatiche.

Per essere all'avanguardia rispetto agli avversari informatici, le organizzazioni dovrebbero investire in strumenti di threat hunting, sviluppare competenze interne e sfruttare soluzioni avanzate di threat intelligence.