threat hunting

Il threat hunting è una tecnica utile per qualunque organizzazione abbia come focus la sicurezza dei propri sistemi informatici.
In questo articolo parleremo di questa tecnica sottolineandone le potenzialità e le varie fasi operative.

In qualunque azienda sono presenti ormai pc e dispositivi connessi in rete.
La sicurezza informatica è diventata davvero rilevante. Proteggere i dati aziendali e quelli dei propri clienti è fondamentale per poter garantire un flusso di lavoro senza pericoli e per tutelare la segretezza del know-how.

Ecco perché è buona norma che ogni azienda si doti di adeguati sistemi di protezione ed antivirus.
A volte però, i sistemi informatici non sono sufficienti e non riescono a coprire tutte le necessità o gli eventuali accessi sensibili alla rete aziendale.
Proprio per questa ragione e per sopperire ad eventuali carenze dal sistema, vengono impiegati dei professionisti che si occupano di sicurezza informatica a 360 gradi.

Si chiamano cyber threat hunter oppure cyber security threat analyst, son esperti di tutela della sicurezza informatica e hanno il compito di individuare, isolare e neutralizzare eventuali minacce avanzate, capaci di bypassare i sistemi difensivi automatici.

Ecco perché quella del Threat Hunter è una attività importante ed è utile, per alcune aziende, avere al proprio interno un professionista di questo livello.

Cosa significa threat hunting e chi è il threat hunter?

Cacciatore di minacce, ecco qual è letteralmente la traduzione di threat hunter.

Come descrive la sua stessa definizione, il threat hunter è una sorta di guardiano di un sistema informatico che passa il proprio tempo a cercare di capire e individuare quali siano le minacce potenziali che potrebbero dare il via ad un attacco informatico.
Il suo è un lavoro proattivo, il che significa che non si tratta di interventi mirati su attacchi già avvenuti ma si tratta di un’attività di costante e continuo monitoraggio della cybersecurity.

Infatti, grazie all’attività di threat hunting vengono esaminati tutti quegli aspetti che le tradizionali soluzioni di cybersecurity non riescono ad analizzare.

Consideriamo inoltre il contesto in cui ci troviamo.
Tendenzialmente, la tecnologia continuerà a diffondersi sempre più capillarmente nella vita di ognuno di noi e l’Internet of Things farà sì che buona parte degli oggetti o dei dispositivi che utilizziamo nella quotidianità saranno in qualche modo collegati ad internet.

Ma cosa succederebbe se questi dispositivi intelligenti venissero attaccati e controllati da remoto?
Per portare esempi concreti, andiamo al 2016, quando la statunitense Food And Drug Administration ha individuato un problema di sicurezza nel sistema che regolava la somministrazione dei medicinali.

Questi sistemi possono essere controllati da remoto: un metodo che consente di garantire l’operatività del lavoratore anche da fuori azienda o addirittura da casa.

Ecco che alcuni casi concreti sono in grado di ben delineare quanto sia importante una supervisione umana sui sistemi di sicurezza informatica.
Un approccio intelligence driven può risultare più efficace della sola adozione di software informatici automatici.

Perché è utile la presenza di un threat hunter in azienda

I pericoli cambiano continuamente proprio perché gli autori ne modificano costantemente le modalità di esecuzione, introducendo nuove tecniche e tecnologie. Secondo un recente studio Data Breach investigations Report dell’azienda Verizon, la maggior parte degli attacchi informatici si consumano nel giro di qualche ora.

Per contro, invece, l’individuazione dell’origine dell’incidente o dell’infiltrazione avviene tra gli 80 e i 200 giorni successivi alla data effettiva dell’evento.

Un’attività proattiva di Cyber Threat Hunting può essere particolarmente efficace per riconoscere tempestivamente ed affrontare con velocità le minacce non appena si presentano.

Inoltre, dobbiamo dirlo gli strumenti di sicurezza automatizzati e gli analisti dei centri operativi di sicurezza (SOC) dovrebbero essere in grado di gestire almeno l’80% delle minacce. Tuttavia, una piccola parte dei cyber attack resta scoperta e non sempre rilevabile.

In questo 20%, le attività di Threat hunting ricoprono un ruolo fondamentale.

Processo di Threat hunting

La vita lavorativa di un Threat Hunter è scandita da precise fasi e strategie. Affinché l’attività di threat hunting possa funzionare, è necessario che l’azienda predisponga tutta una seri di tecnologie in grado di raccogliere dati: solo grazie a questi sarà possibile per il threat hunter analizzare le possibili minace. L’arte della caccia alle minacce inoltre, comprende tutta una serie di attività tra cui:

  • SIEM
  • rilevamento e la risposta degli Endpoint (chiamata EDR)
  • la ricerca di malware o infezioni virus nascoste
  • attività sospette

In primo luogo, come abbiamo evidenziato, entra in gioco il fattore umano ovvero quell’attività di interpretazione dal punto di vista psicologico, per capire quali possano essere le effettive intenzioni di un cyber criminale. Il successivo workflow proposto, si suddivide in sei fasi intersecate tra loro, che coinvolgono e richiedono la collaborazione di diversi membri del team aziendale, come l’executive board, gli analisti o coloro che si occupano di intelligence.

1° Fase –  Pianificazione e definizione

Come prima cosa è sempre bene definire la strategia e individuare i PIR Priority Intelligence Requirements con i relativi obiettivi da raggiungere.

2° Fase – Creazione di ipotesi

Con il team di lavoro, è utile inoltre elaborare delle ipotesi per immaginare possibili minacce o aspetti vulnerabili.
Per svolgere questa mansione, vengono impiegate delle metodologie di analisi strutturate (come, per esempio, la Key Assumptions Check o il Brainstorming) oppure dei metodi propri della cybersicurezza come la cyber killchain.

3° Fase – Raccolta dati

In questo caso si tratta semplicemente di una fase di scelta di dati sui quali verrà svolta l’investigazione nonché la validazione dell’ipotesi elaborata e le relative analisi.

4° Fase – Investigazione

Ecco che arriviamo ad uno dei momenti clou dell’attività di un Threat Hunter. Proprio in questa fase, infatti, avviene l’attività di hunting, ovvero la caccia, che consiste nella verifica ed eventuale validazione delle ipotesi precedentemente elaborate. Si procede attraverso dei ragionamenti logici, l’uso di strumenti tecnici oppure di machine learning.

5° Fase – Analisi e produzione

Studiare e analizzare l’avversario permette di comprendere il suo modus operandi.
Così facendo, è diventa più semplice studiarne le mosse e prevederne le azioni. In effetti, l’esperienza insegna che le tattiche e le metodologie applicate, vengono modificate molto più lentamente e con più difficoltà rispetto a quanto non si faccia con l’indirizzo IP o un dominio. In sostanza, se un ip o il dominio di provenienza cambia in continuazione, è probabile che il modus operandi sia per lungo tempo sempre o stesso e pertanto, con l’esperienza, diventa più semplice riconoscere determinati comportamenti e limitarne i danni.

6° Fase – Diffusione

In ultimo, una volta analizzato, studiato, individuato e riconosciuto l’attaccante con le sue modalità, non resta che condividere i risultati.
In questo modo i vari membri del team di interesse sono portati a conoscenza della minaccia e possono intervenire prendendo provvedimenti nei confronti del sistema. È buona abitudine redigere dei report utili per elaborare modelli di tecniche, procedure e analisi di threat, per ampliare e migliorare la condivisione e diffondere una maggior consapevolezza aziendale o della comunità di interesse.

Conclusioni

Insomma, ogni organizzazione ha tutti gli interessi oltre alla fondamentale esigenza di individuare e riconoscere con anticipo le minacce, cercando poi di comprendere chi o cosa sta cercando di attaccarli. Le attività di threat hunting possono supportare un’azienda ad attuare costanti e cicliche operazioni di monitoraggio e ricerca proattiva delle minacce hacker.

Ecco perché l’utilizzo di servizi di Cyber Threat Hunting, incrementato dall’uso di ulteriori processi e strumenti adeguati e automatici, aiuta ad aumentare l’intelligence interna e a limitare le possibili conseguenze di una minaccia.

Si dice sempre che prevenire è meglio che curare e mai come il altre occasioni questo concetto calza a pennello, anche quando si parla di sicurezza informatica e di tutela dei sistemi cibernetici di una azienda o di una organizzazione.

Onorato Informatica

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica. Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.