A causa dell'aumento degli attacchi informatici, le organizzazioni devono investire incessantemente per proteggersi. I criminali informatici agiscono con più intelligenza e precisione, prendendo le aziende alla sprovvista. In quanto leader nella sicurezza, Cisco ha integrato la ricerca delle minacce nelle proprie offerte affinché gli attacchi siano sventati prima che si materializzino. Coinvolgendo Cisco nella ricerca delle minacce, le aziende possono proattivamente perseguire, scoprire e fermare le minacce informatiche fin dall'inizio.
Le tattiche tradizionali di sicurezza informatica sono reattive e si attivano solo quando inizia l'attività malevola.
Se è senz'altro meglio attivare Endpoint Protection Platform (EPP) ed Endpoint Detection and Response (EDR) piuttosto di non avere alcuna misura di sicurezza, una volta individuati gli attacchi informatici, può essere troppo tardi per fermarli. Per questo motivo, strategicamente non è più sostenibile affidarsi solamente a misure protettive per sventare gli attacchi.
La ricerca delle minacce cambia la modalità in cui le aziende si proteggono perseguendo i criminali informatici prima che essi possano arrecare danni.
I threat hunter formulano ipotesi sulla base di una serie di variabili di base e le applicano a processi ripetibili utilizzando informazioni precedentemente catalogate per individuare segni di compromissione sfuggiti al rilevamento.
Sviluppata per potenziare, non per sostituire, le tattiche legacy di cybersecurity, la ricerca delle minacce rafforza le misure già in atto.
Cybersecurity tradizionale e threat hunting
Gli strumenti di sicurezza legacy non riescono a bloccare le minacce avanzate
Gli hacker più sofisticati rendono il rilevamento estremamente difficile
Persino le tecniche di intelligence e di machine learning possono rivelarsi inadeguate per fermare gli attacchi
Gli analisti di threat hunting si avvalgono di una metodologia basata sulle ipotesi.
In primo luogo, identificano le tecniche che possono essere desunte da MITRE, dalle osservazioni sulla risposta agli incidenti e dalla ricerca. Poi identificano un piano e l'ambito di azione. Successivamente gli analisti mettono in atto il piano e ottengono i dati. Con i dati eseguono valutazioni e analisi. Infine correggono o validano le ipotesi e ripetono il processo.
I comportamenti inusuali e le attività malevole vengono segnalati al team interno di sicurezza affinché siano prese misure per fermarli.
Analisi avanzate e indagini di machine learning:
Combinando approfondite analisi dei dati e machine learning per passare al setaccio una quantità massiccia di informazioni, i cacciatori di minacce riescono a individuare le irregolarità che possono essere indice di possibili attacchi.
Indagine basata su IOC o IOA noti:
Sfruttando l'intelligence sulle minacce per catalogare gli indicatori di compromissione (IOC) e gli indicatori di attacco (IOA) associati alle nuove minacce, i threat hunters usano questi cataloghi, come MITRE ATT&CK™ per scoprire attacchi malevoli o attività nascoste.
Indagine basata sulle ipotesi:
Partendo da una nuova minaccia identificata mediante dati in crowdsourcing sugli attacchi, i threat hunter vanno a verificare se i comportamenti specifici di un hacker sono rinvenibili nell'ambiente di loro competenza.
Un threat hunting efficace non è realizzabile come fatto isolato o senza contesto.
È un processo continuo, proattivo e supportato da un'intelligence forte, costruita mediante funzionalità di rilevamento analitico che possono essere complesse e richiedere molto tempo. Per tale ragione MITRE raccoglie informazioni dal 2013 al fine di fornire ai threat hunter dati fruibili per il programma di cybersecurity dell'organizzazione. MITRE ha sviluppato ATT&CK™ (Adversarial Tactics, Techniques & Common Knowledge), un quadro empirico che facilita la raccolta, l'interpretazione e la condivisione delle informazioni sui criminali informatici.
ATT&CK fornisce modalità chiare e strutturate per capire come operano gli hacker. Accedendo a queste informazioni su gruppi di criminali informatici, i threat hunter riescono ad analizzare l'intelligence per rilevare e mitigare gli attacchi e creare conoscenze centrate sulle minacce in relazione alle vulnerabilità dell'azienda per personalizzarne le difese.
Quantità di violazioni sulla base del numero degli incidenti rilevati
54.2%
28.3%
Esposizione della superficie degli attacchi/rete ed endpoint rafforzati
48.3%
47.5%
Tempo di interazione (compromissione iniziale dovuta al movimento laterale)
44.2%
30.8%
Tempo di permanenza (infezione fino al rilevamento)
45.0%
40.0%
Rilevamento dell'esfiltrazione (dati identificati usciti dall'organizzazione)
31.7%
Frequenza/numero di infezioni di malware
45.8%
37.5%
Risorse (ad es. dipendenti dedicati, spese) spese per la correzione
49.2%
25.8%
Tempo al contenimento (rilevamento/prevenzione della diffusione o movimento laterale)
55.8%
32.5%
Le organizzazioni hanno difficoltà a reperire threat hunter di talento Hanno difficoltà anche a causa dei limiti di capacità oltre che dell'infrastruttura e architettura legacy.
Ogni giorno vi sono infinità di avvisi ed è difficile assegnare priorità alle indagini, il che si complica ulteriormente per il fatto che è difficile identificare la fonte della minaccia.
È difficle rendere fruibile l'intelligence sulle minacce e molte fonti sono spesso inattendibili o obsolete.
Le organizzazioni hanno difficoltà a identificare dove gli hacker mettono in atto gli attacchi e come domini, IP, ASN e malware sono connessi.
Quando le organizzazioni cominciano un'attività di ricerca delle minacce, tipicamente cominciano solo con ricerche IOC a basso livello e successivamente devono passare a livelli più avanzati per cui serve tempo.
