La gestione delle contromisure messe in atto per contrastare attacchi alla sicurezza delle infrastrutture e dati aziendali, può essere paragonata ad una partita a scacchi, dove è fondamentale prevedere le mosse dell’avversario.

Possiamo definire il << Threat Hunting >>, letteralmente “Caccia alle minacce” , il processo attraverso i quale è possibile rilevare, isolare ed eliminare le minacce che tentano di eludere le normali soluzioni di prevenzione e protezione attraverso strategie proattive ed iterative https://exasys.it/sicurezza-in-azienda/

Un Threat Hunter << Cacciatore di minacce >> procede con un’analisi comportamentale dell’intero ambiente, alla ricerca di segnali eccezionali, difficilmente riconoscibili dalle normali misure di prevenzione.

https://exasys.it/wp-content/uploads/2021/01/sicurezza.jpg

La proattività è l’elemento che contraddistingue le nuove e più complesse strategie di rilevamento messe in atto nel campo della sicurezza informatica.

La capacità di analizzare segnali non comuni e targettizzarli come possibili minacce alla sicurezza, implica una analisi più approfondita delle comunicazioni da e verso l’esterno del perimetro aziendale.

La proattività consente di creare in maniera dinamica nuovi pattern (modelli) di attacco, aumentando dinamicamente il bagaglio informativo del sistema allo scopo di prevenite ed anticipare attacchi futuri simili a quelli già registrati.

La nuova e dinamica strategia del Threat Hunting incrementa la resilienza delle aziende agli attacchi informatici, grazie a meccanismi di apprendimento dinamici.

https://exasys.it/wp-content/uploads/2021/01/sophos.jpg

Sophos EDR consente di ottenere esattamente questo. Utilizzando potenti funzionalità di query personalizzabili e predefinite, è possibile ottenere informazioni dettagliate per identificare le minacce nascoste.

I casi d’uso di esempio includono:

Processi che tentano di stabilire una connessioni di rete su porte non standard
Elenco degli IoC rilevati mappati al framework MITRE ATT & CK
Processi che hanno recentemente modificato file o chiavi di registro
Ricerca dei dettagli sulle esecuzioni di PowerShell
Processi camuffati da services.exe

https://exasys.it/wp-content/uploads/2021/01/1.1.jpg

Identificazione dell’attività

Ricerca di un processo che tenta di connettersi su una porta non standard.

https://exasys.it/wp-content/uploads/2021/01/2.jpg

Sottopone la domanda

Sfrutta le query SQL per eseguire la scansione dei tentativi di accesso alle porte non standard.

https://exasys.it/wp-content/uploads/2021/01/3.jpg

Ottieni risultati dell’analisi

La query controlla gli endpoint e server. Viene evidenziato un server compromesso.

https://exasys.it/wp-content/uploads/2021/01/4.jpg

Interviene

Accesso in remoto al server per eseguire analisi forensi e terminare il processo sospetto.

https://exasys.it/wp-content/uploads/2021/01/5.jpg

Blocca la minaccia

Rimozione delle tracce del processo e creazione del pattern per minacce future.

La frequenza con la quale le aziende dovrebbero svolgere attività di monitoraggio, dovrebbe essere costante ed in fasce orarie differenti; infatti, proprio la casualità e l’imprevedibilità rendono questo sistema efficace ed efficiente nel contrasto alle nuove minacce informatiche.

In conclusione, il Threat Hunting costituisce insieme alle normali procedure e tecnologie un’ulteriore barriera di protezione, in grado di intercettare ed analizzare eventi malevoli fuori dal comune. Il tempo di considerarlo parte integrante delle procedure di sicurezza informatica è arrivato https://exasys.it/valore/

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analisi".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-others	11 mesi	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Altro".
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
_GRECAPTCHA	sessione	Questo cookie è usato per fornire protezione antispam.
bcookie	1 anno	Cookie identificativo del browser per identificare in modo univoco i dispositivi su cui viene effettuato l’accesso a LinkedIn, al fine di rilevare abusi sulla piattaforma e per finalità diagnostiche.
lang	Sessione	Utilizzato per ricordare le impostazioni della lingua di un utente, al fine di garantire che il sito LinkedIn.com venga visualizzato nella lingua selezionata dall’utente nelle proprie impostazioni.
lidc	24 ore	Per ottimizzare la selezione del data center.

Cookie	Durata	Descrizione
_pk_id	13 mesi	Questo cookie viene usato per memorizzare alcuni dettagli sull'utente, ad esempio: l'ID visitatore univoco.
AnalyticsSyncHistory	1 mese	Questo cookie viene utilizzato per memorizzare le informazioni sull'ora in cui è avvenuta la sincronizzazione con il cookie lms_analytics.
CONSENT	2 anni	Memorizza lo stato di un utente in merito alle sue scelte sui cookie.
li_gc	6 mesi	Utilizzato per memorizzare il consenso degli ospiti in relazione all’utilizzo dei cookie per scopi non essenziali.
li_mc	6 mesi	Utilizzato come cache temporanea per evitare ricerche nel database per il consenso di un membro per l'uso di cookie non essenziali e utilizzato per avere informazioni sul consenso sul lato client per imporre il consenso sul lato client.
UserMatchHistory	1 mese	Sincronizzazione ID annunci LinkedIn.

BlogThreat Hunting. Scacco matto alle minacce informatiche. • Exasys Consulenza e sicurezza informatica

La gestione delle contromisure messe in atto per contrastare attacchi alla sicurezza delle infrastrutture e dati aziendali, può essere paragonata ad una partita a scacchi, dove è fondamentale prevedere le mosse dell’avversario.

Un Threat Hunter << Cacciatore di minacce >> procede con un’analisi comportamentale dell’intero ambiente, alla ricerca di segnali eccezionali, difficilmente riconoscibili dalle normali misure di prevenzione.

La proattività è l’elemento che contraddistingue le nuove e più complesse strategie di rilevamento messe in atto nel campo della sicurezza informatica.

La capacità di analizzare segnali non comuni e targettizzarli come possibili minacce alla sicurezza, implica una analisi più approfondita delle comunicazioni da e verso l’esterno del perimetro aziendale.

La proattività consente di creare in maniera dinamica nuovi pattern (modelli) di attacco, aumentando dinamicamente il bagaglio informativo del sistema allo scopo di prevenite ed anticipare attacchi futuri simili a quelli già registrati.

La nuova e dinamica strategia del Threat Hunting incrementa la resilienza delle aziende agli attacchi informatici, grazie a meccanismi di apprendimento dinamici.

Sophos EDR consente di ottenere esattamente questo. Utilizzando potenti funzionalità di query personalizzabili e predefinite, è possibile ottenere informazioni dettagliate per identificare le minacce nascoste.

I casi d’uso di esempio includono:

Processi che tentano di stabilire una connessioni di rete su porte non standard

Elenco degli IoC rilevati mappati al framework MITRE ATT & CK

Processi che hanno recentemente modificato file o chiavi di registro

Ricerca dei dettagli sulle esecuzioni di PowerShell

Processi camuffati da services.exe

Identificazione dell’attività

Ricerca di un processo che tenta di connettersi su una porta non standard.

Sottopone la domanda

Sfrutta le query SQL per eseguire la scansione dei tentativi di accesso alle porte non standard.

Ottieni risultati dell’analisi

La query controlla gli endpoint e server. Viene evidenziato un server compromesso.

Interviene

Accesso in remoto al server per eseguire analisi forensi e terminare il processo sospetto.

Blocca la minaccia

Rimozione delle tracce del processo e creazione del pattern per minacce future.

La frequenza con la quale le aziende dovrebbero svolgere attività di monitoraggio, dovrebbe essere costante ed in fasce orarie differenti; infatti, proprio la casualità e l’imprevedibilità rendono questo sistema efficace ed efficiente nel contrasto alle nuove minacce informatiche.

Exasys

In Evidenza

Contatti

Uffici