La gestione delle contromisure messe in atto per contrastare attacchi alla sicurezza delle infrastrutture e dati aziendali, può essere paragonata ad una partita a scacchi, dove è fondamentale prevedere le mosse dell’avversario.
Possiamo definire il << Threat Hunting >>, letteralmente “Caccia alle minacce” , il processo attraverso i quale è possibile rilevare, isolare ed eliminare le minacce che tentano di eludere le normali soluzioni di prevenzione e protezione attraverso strategie proattive ed iterative https://exasys.it/sicurezza-in-azienda/
Un Threat Hunter << Cacciatore di minacce >> procede con un’analisi comportamentale dell’intero ambiente, alla ricerca di segnali eccezionali, difficilmente riconoscibili dalle normali misure di prevenzione.
La proattività è l’elemento che contraddistingue le nuove e più complesse strategie di rilevamento messe in atto nel campo della sicurezza informatica.
La capacità di analizzare segnali non comuni e targettizzarli come possibili minacce alla sicurezza, implica una analisi più approfondita delle comunicazioni da e verso l’esterno del perimetro aziendale.
La proattività consente di creare in maniera dinamica nuovi pattern (modelli) di attacco, aumentando dinamicamente il bagaglio informativo del sistema allo scopo di prevenite ed anticipare attacchi futuri simili a quelli già registrati.
La nuova e dinamica strategia del Threat Hunting incrementa la resilienza delle aziende agli attacchi informatici, grazie a meccanismi di apprendimento dinamici.
Sophos EDR consente di ottenere esattamente questo. Utilizzando potenti funzionalità di query personalizzabili e predefinite, è possibile ottenere informazioni dettagliate per identificare le minacce nascoste.
I casi d’uso di esempio includono:
-
Processi che tentano di stabilire una connessioni di rete su porte non standard
-
Elenco degli IoC rilevati mappati al framework MITRE ATT & CK
-
Processi che hanno recentemente modificato file o chiavi di registro
-
Ricerca dei dettagli sulle esecuzioni di PowerShell
-
Processi camuffati da services.exe