fbpx
 

BlogThreat Hunting. Scacco matto alle minacce informatiche.

9 Dicembre 2022
La gestione delle contromisure messe in atto per contrastare attacchi alla sicurezza delle infrastrutture e dati aziendali, può essere paragonata ad una partita a scacchi, dove è fondamentale prevedere le mosse dell’avversario.
Possiamo definire il << Threat Hunting >>, letteralmente “Caccia alle minacce” , il processo attraverso i quale è possibile rilevare, isolare ed eliminare le minacce che tentano di eludere le normali soluzioni di prevenzione e protezione attraverso strategie proattive ed iterative https://exasys.it/sicurezza-in-azienda/ 
Un Threat Hunter << Cacciatore di minacce >> procede con un’analisi comportamentale dell’intero ambiente, alla ricerca di segnali eccezionali, difficilmente riconoscibili dalle normali misure di prevenzione.
https://exasys.it/wp-content/uploads/2021/01/sicurezza.jpg
La proattività è l’elemento che contraddistingue le nuove e più complesse strategie di rilevamento messe in atto nel campo della sicurezza informatica.
La capacità di analizzare segnali non comuni e targettizzarli come possibili minacce alla sicurezza, implica una analisi più approfondita delle comunicazioni da e verso l’esterno del perimetro aziendale.
La proattività consente di creare in maniera dinamica nuovi pattern (modelli) di attacco, aumentando dinamicamente il bagaglio informativo del sistema allo scopo di prevenite ed anticipare attacchi futuri simili a quelli già registrati.
La nuova e dinamica strategia del Threat Hunting incrementa la resilienza delle aziende agli attacchi informatici, grazie a meccanismi di apprendimento dinamici.
https://exasys.it/wp-content/uploads/2021/01/sophos.jpg
Sophos EDR consente di ottenere esattamente questo. Utilizzando potenti funzionalità di query personalizzabili e predefinite, è possibile ottenere informazioni dettagliate per identificare le minacce nascoste.
I casi d’uso di esempio includono:
  • Processi che tentano di stabilire una connessioni di rete su porte non standard
  • Elenco degli IoC rilevati mappati al framework MITRE ATT & CK
  • Processi che hanno recentemente modificato file o chiavi di registro
  • Ricerca dei dettagli sulle esecuzioni di PowerShell
  • Processi camuffati da services.exe
https://exasys.it/wp-content/uploads/2021/01/1.1.jpg
Identificazione dell’attività
Ricerca di un processo che tenta di connettersi su una porta non standard.
https://exasys.it/wp-content/uploads/2021/01/2.jpg
Sottopone la domanda
Sfrutta le query SQL per eseguire la scansione dei tentativi di accesso alle porte non standard.
https://exasys.it/wp-content/uploads/2021/01/3.jpg
Ottieni risultati dell’analisi
La query controlla gli endpoint e server. Viene evidenziato un server compromesso.
https://exasys.it/wp-content/uploads/2021/01/4.jpg
Interviene
Accesso in remoto al server per eseguire analisi forensi e terminare il processo sospetto.
https://exasys.it/wp-content/uploads/2021/01/5.jpg
Blocca la minaccia
Rimozione delle tracce del processo e creazione del pattern per minacce future.
La frequenza con la quale le aziende dovrebbero svolgere attività di monitoraggio, dovrebbe essere costante ed in fasce orarie differenti; infatti, proprio la casualità e l’imprevedibilità rendono questo sistema efficace ed efficiente nel contrasto alle nuove minacce informatiche.
In conclusione, il Threat Hunting costituisce insieme alle normali procedure e tecnologie un’ulteriore barriera di protezione, in grado di intercettare ed analizzare eventi malevoli fuori dal comune. Il tempo di considerarlo parte integrante delle procedure di sicurezza informatica è arrivato https://exasys.it/valore/