Zpedia 

/ Che cos'è la ricerca delle minacce?

Che cos'è la ricerca delle minacce?

La threat hunting, ovvero la ricerca delle minacce, è un approccio proattivo per individuare potenziali minacce e vulnerabilità presenti nella rete e nei sistemi di un'organizzazione; combina analisti della sicurezza in carne e ossa, intelligence sulle minacce e tecnologie avanzate che analizzano il comportamento, individuano le anomalie e identificano gli indicatori di compromissione (IOC) per rilevare ciò che gli strumenti di sicurezza tradizionali potrebbero non cogliere. I ricercatori di minacce, o threat hunter, si impegnano a rilevare e neutralizzare tempestivamente le minacce per ridurre al minimo il loro potenziale impatto.

Ricevi le ultime ricerche sulle minacce
Protezione dalle minacce informaticheProtezione dati
  1. Perché è importante
  2. Come funziona
  3. Gli strumenti principali
  4. Le persone coinvolte
  5. I primi passi
  6. Cosa può fare Zscaler
  7. Risorse suggerite
  8. Domande frequenti
  9. Argomenti correlati

Perché la ricerca delle minacce è importante?

Con le violazioni dei dati che diventano sempre più frequenti e costose, un programma per la ricerca delle minacce è un elemento fondamentale di ogni strategia di sicurezza aziendale moderna. Un programma di questo tipo offre alle organizzazioni i seguenti vantaggi:

  • Una difesa proattiva contro potenziali rischi e minacce nascoste per migliorare il profilo di sicurezza generale e contribuire a mitigare i pericoli prima che si intensifichino, prevenendo così le potenziali violazioni
  • Risposta più rapida agli incidenti e riduzione dei tempi di permanenza delle minacce, combinando strumenti automatizzati e competenze umane per un rilevamento più accurato
  • Riduzione del rischio di subire danni finanziari e reputazionali, perdite di dati e altro a fronte della sempre maggiore frequenza degli attacchi e delle sempre più onerose conseguenze
promotional background

Il costo medio globale di una violazione dei dati è aumentato del 15% dal 2020 al 2023, fino a raggiungere 4,45 milioni di dollari.

— Cost of a Data Breach Report 2023, IBM

Come funziona la threat hunting?

Una ricerca delle minacce efficace si basa essenzialmente sull'indagine concreta, la prevenzione e la riduzione del rischio. Tuttavia, per essere davvero efficienti, queste attività devono essere integrate in un contesto più ampio. Si tratta di una vera e propria una corsa agli armamenti, contro aggressori che sono costantemente al lavoro per rendere gli attacchi più veloci, numerosi e difficili da rilevare. Il processo di base della ricerca delle minacce può essere suddiviso in quattro fasi:

1. Raccolta e analisi dei dati

I ricercatori raccolgono grandi quantità di dati dall'interno e dall'esterno della rete dell'organizzazione, tra cui log, traffico, dati degli endpoint e feed di intelligence sulle minacce. L'analisi del comportamento e il machine learning aiutano a tracciare una linea di riferimento che definisce il comportamento normale, e ogni deviazione potrebbe indicare una potenziale minaccia.

2. Sviluppo di un'ipotesi

Basandosi sulle informazioni ottenute dall'analisi dei dati, i ricercatori formulano ipotesi sulle potenziali minacce, concentrandosi sull'identificazione di anomalie o di attività sospette che potrebbero indicare la presenza di malware o di un altro incidente di sicurezza imminente.

3. Investigazione e validazione

I ricercatori provano a individuare indicatori di compromissione (IOC), segni di attività dannose o schemi insoliti nei dati, esaminando il traffico di rete, revisionando i log, ispezionando l'attività degli endpoint e altro. L'obiettivo è capire se gli indicatori puntano a minacce reali o sono solamente falsi positivi. La validazione è critica per permettere alle organizzazioni di rispondere alle minacce in modo più rapido ed efficiente.

Miglioramento continuo

Per adattarsi continuamente alle minacce in evoluzione, il processo di ricerca è ciclico: i ricercatori applicano ciò che hanno appreso per perfezionare le loro tecniche, aggiornare le ipotesi, incorporare nuove informazioni sulle minacce e soluzioni di sicurezza e molto altro.

Tipi di threat hunting

L'approccio adottato dai ricercatori di minacce dipende dalle informazioni di cui dispongono inizialmente. Ad esempio, un feed di minacce ha fornito nuove informazioni su un ceppo di malware emergente, come dati delle firme? L'organizzazione ha notato un improvviso incremento del traffico in uscita?

La ricerca delle minacce basata sugli indizi (conosciuta anche come ricerca strutturata) è basata sulle ipotesi o su specifici IOC su cui l'indagine si basa. Ad esempio, se i ricercatori ricevono informazioni specifiche su un malware emergente, come indicato in precedenza, possono ricercare i segni noti di quel malware nel loro ambiente.

La ricerca delle minacce senza indizi (o ricerca non strutturata) non dipende da indizi o indicatori specifici. I ricercatori di minacce utilizzano invece tecniche di analisi dei dati e rilevamento delle anomalie per rilevare elementi come, ad esempio, il già citato incremento del traffico di rete, quindi indagano sulla causa dell'anomalia.

Questi approcci non si escludono a vicenda: i team di ricerca spesso devono fare affidamento su una combinazione di entrambe queste tipologie di indagine nell'ambito di una metodologia più completa.

I vantaggi dell'automazione nella cyberthreat hunting

L'automazione è essenziale per una ricerca delle minacce realmente efficace, se abbinata al pensiero laterale e alla creatività umana. Gli utenti malintenzionati sfrutteranno qualsiasi vantaggio possibile a loro disposizione, e ciò significa che oggi utilizzeranno sempre più spesso l'intelligenza artificiale e l'automazione. In altre parole, è una battaglia combattuta ad armi pari.

L'automazione accelera il rilevamento e la risposta alle minacce raccogliendo, correlando e identificando anomalie di vasti quantitativi di dati in tempo reale in modo molto più efficiente di quanto possano fare gli esseri umani. A loro volta, gli analisti umani hanno più tempo e attenzione da dedicare agli incidenti che richiedono decisioni contestuali specifiche o non basate su dati storici di sicurezza per permettere agli strumenti automatizzati di prendere decisioni.

Modelli e metodologie della threat hunting

Sono diversi i modelli e le metodologie di ricerca delle minacce che aiutano i ricercatori a identificare, indagare e mitigare le minacce con un focus su diversi aspetti, a seconda di ciò che si adatta alla natura del loro team o della minaccia stessa. Alcuni modelli comuni sono:

Framework MITRE ATT&CK

Si tratta di una knowledgebase delle TTP note degli aggressori e fornisce un modo standardizzato per categorizzare e analizzare i comportamenti delle minacce attraverso le varie fasi di un attacco, aiutando i professionisti ad allineare le loro attività di rilevamento e risposta.

Lockheed Martin Cyber Kill Chain

Questo modello suddivide in sette fasi un attacco informatico, dalla ricognizione all'esfiltrazione, per aiutare le attività proattive di ricerca identificando le vulnerabilità e le potenziali strategie di mitigazione più efficaci per i diversi punti della catena di attacco.

Cyber Threat Intelligence Life Cycle

Il ciclo di vita dell'intelligence sulle minacce informatiche è un processo continuo di raccolta, analisi e diffusione della threat intelligence, che aiuta i ricercatori a integrare tempestivamente le informazioni pertinenti nelle loro operazioni di rilevamento e risposta, permettendo alle organizzazioni di stare al passo con le minacce emergenti.

Leggi di più nel nostro articolo dedicato: "Cos'è la threat intelligence?"

Ciclo OODA (Osservare, Orientare, Decidere, Agire)

Questo framework in quattro fasi, originariamente sviluppato per l'Air Force degli Stati Uniti, aiuta i ricercatori a contestualizzare le informazioni sulle minacce in evoluzione per adattarsi più rapidamente a situazioni in costante mutamento, prendere decisioni informate e intraprendere azioni efficaci.

Modello a diamante dell'analisi delle intrusioni

Questo framework di attribuzione delle minacce informatiche definisce i quattro elementi principali dell'attività di intrusione, ossia aggressore, infrastruttura, vittima e capacità, e le relative relazioni, per aiutare i cacciatori di minacce a comprendere il chi, cosa, dove e come di un attacco.

Strumenti per la ricerca delle minacce

Come esistono molte metodologie di ricerca, esistono anche molteplici strumenti nel toolkit di un ricercatore di minacce informatiche. Alcune delle tecnologie più comuni includono:

  • Gli strumenti SIEM (Security Information and Event Management, gestione delle informazioni e degli eventi di sicurezza) raccolgono e analizzano i dati dei log di rete di un'organizzazione e forniscono una piattaforma centrale di monitoraggio e allerta.
  • Gli strumenti NTA (Network Traffic Analysis, analisi del traffico di rete) analizzano i modelli e i comportamenti del traffico di rete per rilevare le attività sospette e identificare le potenziali minacce.
  • Gli strumenti EDR (Endpoint Detection and Response, rilevamento e risposta degli endpoint) monitorano e rilevano in tempo reale le attività sospette sugli endpoint, fornendo al contempo indagini, ricerca delle minacce, triage e soluzioni correttive.
  • Le piattaforme di threat intelligence (TIP) aggregano, correlano, analizzano e arricchiscono l'intelligence sulle minacce da varie fonti per aiutare gli analisti e i loro strumenti a prendere decisioni informate.
  • Le piattaforme SOAR (Security Orchestration, Automation and Response, orchestrazione, automazione e risposta di sicurezza) automatizzano e orchestrano le attività di risposta agli incidenti, consentendo una mitigazione delle minacce più rapida ed efficiente.
  • Gli strumenti di scansione della vulnerabilità supportano la gestione delle patch e la valutazione dei rischi eseguendo la scansione degli ambienti e delle app di un'organizzazione per identificare le vulnerabilità che gli aggressori potrebbero sfruttare.
  • Gli strumenti ASM (Attack Surface Management, gestione della superficie di attacco) forniscono visibilità sulla superficie di attacco di un'organizzazione, contribuendo a ridurla con l'identificazione, il monitoraggio e la mitigazione delle vulnerabilità e dei potenziali vettori di attacco.
  • Le sandbox per i malware isolano e analizzano i file e i programmi sospetti in un ambiente controllato. Vengono utilizzate per identificare il comportamento del malware e valutarne le potenziali minacce.
  • Gli strumenti di Threat Emulation e Red-Teaming simulano attacchi informatici nel mondo reale per aiutare le organizzazioni a valutare il proprio profilo di sicurezza e identificarne le vulnerabilità.
  • La tecnologia di deception utilizza esche e risorse reali su una rete per attirare gli aggressori e generare allerte altamente attendibili, che riducono i tempi di permanenza e accelerano la risposta agli incidenti.

Chi dovrebbe essere coinvolto nella ricerca delle minacce?

Gli analisti della sicurezza esperti di rilevamento delle minacce e dell'uso di strumenti di ricerca sono gli attori più determinanti nelle attività di ricerca, e assumono quindi un ruolo guida nel monitoraggio e l'analisi delle allerte, il tracciamento dei comportamenti sospetti, l'identificazione degli indicatori di attacco (IOA) e altro. Le organizzazioni più piccole possono impiegare un solo analista a tempo pieno, mentre quelle più grandi possono avere team SOC (Security Operations Center) o servizi gestiti di dimensioni considerevoli.

Gli altri professionisti di supporto altrettanto importanti spesso includono:

  • Analisti di intelligence sulle minacce per filtrare l'intelligence sulle minacce in relazione al contesto critico e agli indicatori di compromissione.
  • Team legali e di conformità per rispettare gli obblighi legali e normativi.
  • Dirigenti e membri del consiglio di amministrazione che prendono decisioni di alto livello su strategie, risorse umane e budget.

Di cosa hai bisogno per iniziare con la threat hunting?

Tutte le organizzazioni necessitano di quattro elementi fondamentali per individuare le minacce in modo efficace:

  1. Un team di ricercatori e analisti esperti. Se disponi di un team di sicurezza interno, investi nella formazione e nello sviluppo professionale continuo per aiutare il tuo personale a proteggere l'organizzazione dalle minacce sofisticate e in evoluzione.
  2. Il giusto mix di tecnologie per la ricerca delle minacce e strumenti automatizzati, tra cui piattaforme SIEM, soluzioni EDR, strumenti NTA e piattaforme di intelligence sulle minacce.
  3. Accesso a log, dati sul traffico di rete, dati sul comportamento e altro, per garantire che i ricercatori di minacce abbiano una visione completa del panorama di riferimento.
  4. Un quadro strategico chiaro per la ricerca delle minacce, con strategie e obiettivi definiti in linea con la tolleranza al rischio e il profilo di sicurezza dell'organizzazione.

Il ruolo di Zscaler nella threat hunting

Gli esperti di ricerca delle minacce di Zscaler ThreatLabz tengono d'occhio le anomalie all'interno dei 500 bilioni di punti dati che attraversano il security cloud più grande del mondo, identificando e rilevando le attività dannose e le minacce emergenti.

Zscaler ThreatLabz utilizza l'intelligence sulle minacce e strumenti proprietari per ricercare in modo proattivo le tattiche, gli strumenti e le procedure (TTP) delle minacce, da quelli dei gruppi di aggressori più sofisticati a quelli di malware commerciali, consentendo una copertura completa delle minacce esistenti.

Questi punti dati vengono utilizzati anche per addestrare i modelli di machine learning e favorire un rilevamento più rapido ed esteso. Questo approccio proattivo contribuisce a identificare e bloccare quotidianamente 9 miliardi di potenziali minacce prima che possano colpire i nostri clienti o causare danni.

promotional background

Non perderti gli ultimi dati sulle minacce, le ricerche più recenti e le utili informazioni di threat intelligence di Zscaler ThreatLabz.

Scopri informazioni utili sulle minacce in tempo realeSegui ThreatLabz su X

Risorse suggerite

Zscaler ThreatLabz su X (Twitter)
Scopri gli ultimi post
Dashboard - Zscaler ThreatLabz Cloud Activity
Visualizza gli aggiornamenti in tempo reale
Blog delle attività di ricerca sulla sicurezza di Zscaler ThreatLabz
Scopri gli ultimi post
GitHub - Zscaler ThreatLabz
Scopri gli ultimi IoC, le informazioni sui ransomware e gli strumenti più recenti
Report del 2023 di Zscaler ThreatLabz sui ransomware
Scarica il report completo
01 / 03
FAQ