Che cos’è la Caccia alle Minacce Informatiche? La Guida Completa

[post-views]
Agosto 18, 2022 · 16 min di lettura
Che cos’è la Caccia alle Minacce Informatiche? La Guida Completa

Cyber Threat Hunting è un approccio innovativo alla rilevazione delle minacce, volto a individuare le minacce informatiche all’interno della rete aziendale prima che possano causare danni. Ciò include la ricerca deliberata di punti deboli e qualsiasi segno di attacchi in corso all’interno di un’infrastruttura digitale. La Threat Hunting è più complessa rispetto alla rilevazione delle minacce passive e richiede processi, soluzioni e competenze specifiche.

Identificare attacchi informatici sofisticati non è facile, quindi approfondiamo e cerchiamo di capire cosa sia la Cyber Threat Hunting in un ambiente SOC reale e come funzioni. Oltre alla definizione di Threat Hunting, parleremo di una routine comune che ogni Threat Hunter mette in pratica quotidianamente.

Prima di immergerci nell’apprendimento, assicurati di consultare la timeline delle Threat Intelligence per le minacce di tuo interesse nel nostro motore di ricerca per minacce informatiche. Una volta che hai tutte le informazioni necessarie a portata di mano, puoi accedere alle query di Threat Hunting sulla nostra piattaforma Detection as Code, modificarle in un browser e migliorare la tua esperienza di hunting grazie all’integrazione senza interruzioni con numerosi ambienti di sicurezza che potresti utilizzare.

Rileva & Caccia Esplora il Contesto delle Minacce

Come Avviare la Threat Hunting?

I primi passi nella Threat Hunting proattiva spesso definiscono il successo generale. In sintesi, per trovare una minaccia, devi avere un’idea di cosa cercare. Immagina un’organizzazione media che genera circa 20.000 eventi al secondo. Sono 1.728.000.000 eventi al giorno. Poi, ci sono oltre 450.000 campioni di malware registrati quotidianamente. Gli algoritmi automatizzati non sono una soluzione ideale quando si tratta di trovare minacce nascoste in modo accurato e nuove varianti di malware. Quindi, quanti esperti di cybersecurity servono per gestire questi big data? La verità è che non ci sono mai abbastanza specialisti della sicurezza a meno che non restringano la loro ricerca delle minacce a ciò che conta davvero. Esaminiamo quindi come identificare la direzione principale della Threat Hunting.

Consapevolezza Situazionale

A questo punto, i Threat Hunters devono essere consapevoli dell’architettura del sistema, dell’infrastruttura di rete e delle configurazioni delle risorse. Una visibilità ben regolata nell’ecosistema digitale dell’organizzazione permette di procedere tatticamente e strategicamente nei passaggi successivi.

La consapevolezza situazionale significa che i Threat Hunters conoscono i potenziali obiettivi degli attaccanti, così come il livello attuale di protezione. Quando si tratta degli elementi dell’ambiente, i cacciatori li vedono nel “volume di tempo e spazio, la comprensione del loro significato, e la proiezione del loro stato nel prossimo futuro”, come definito dal ciclo OODA concetto di Col. John Boyd. Per avere quel tipo di visibilità, una corretta configurazione degli strumenti e delle soluzioni di sicurezza è estremamente importante. Ad esempio, senza registrare le linee di comando e gli script PowerShell, è impossibile identificare molti tipi di attacchi gravi.

Consapevolezza del Paesaggio delle Minacce & Superficie di Attacco

Il panorama delle minacce cibernetiche è una visione d’insieme di tutte le minacce informatiche attualmente esistenti e potenzialmente pericolose. Molte di esse sono anticipate dai Threat Hunters (ne parleremo nella sezione successiva) perché non ci sono abbastanza informazioni su come operano, quali sono gli obiettivi, ecc. Eppure, potrebbero essere invisibili all’occhio del ricercatore. In alcune fonti, scoprirai che il panorama delle minacce è un elenco di tutte le minacce conosciute, ma questa visione è limitata. È meglio riconoscere che una parte del panorama delle minacce è ancora nell’ombra e tuttavia esiste. E i Threat Hunters di solito lavorano con quella parte nascosta. Un’altra caratteristica distintiva di un panorama delle minacce è che è dinamico. Si modifica e si sviluppa a causa di numerose circostanze; per questo è importante tenere sempre traccia delle notizie, dell’intelligence e delle ricerche più recenti.

Superficie di attacco è il numero complessivo di vulnerabilità (sia conosciute che zero-day), potenziali configurazioni errate e anomalie nell’infrastruttura digitale dell’organizzazione. Poiché oggi molte applicazioni software hanno numerose dipendenze e sono spesso distribuite su server cloud, è quasi impossibile definire un perimetro di rete come tale. Di conseguenza, la superficie di attacco aumenta. Allo stesso tempo, se si prende una stampante fabbricata 20 anni fa e connessa a un solo computer personale con un Windows perfettamente aggiornato e senza connessione Internet, ha una superficie di attacco più piccola. Ovviamente, è comprensibile che la superficie di attacco aumenti esponenzialmente con la complessità della rete. E non dimentichiamo che le minacce esistono anche quando non ci sono vulnerabilità. Per questo motivo, NIST raccomanda di costruire infrastrutture digitali che siano sicure per progettazione.

Prioritizzazione del Rischio

Ci sono molti approcci per creare e mantenere la gestione del rischio informatico. Le organizzazioni adottano framework di NIST, ISO 270001, DoD e altro ancora. In generale, si tratta di definire i rischi applicabili a un contesto aziendale specifico, priorizzarli, definire una propensione al rischio, documentare playbook di mitigazione e riesaminare regolarmente la loro efficienza.

Cosa ha a che fare la gestione del rischio con la Threat Hunting? È dove tutto inizia. Ad esempio, su un 100% di modelli di rischio, il 50% è corretto, il 30% non è applicabile a causa della configurazione di rete, il 10% è gestito da soluzioni di sicurezza automatizzate e il 5% è mitigato manualmente. Ciò che rimane è il 5% dei rischi sconosciuti. È qui che inizia la Threat Hunting.

Quali sono i Passaggi della Threat Hunting?

I Threat Hunters sono quelli che affrontano minacce sconosciute, quindi una volta che hanno qualcosa di sospetto con cui lavorare, iniziano i passaggi della Threat Hunting. Identificare la stessa sospettosità richiede una grande quantità di conoscenze nel dominio ed esperienza. Ad esempio, qualcosa che sembra un attacco DDoS potrebbe essere solo più computer sulla rete che si avviano contemporaneamente. Quindi, per evitare di andare nella direzione sbagliata, ogni passo della Threat Hunting dovrebbe essere ben ponderato. In generale, possiamo delineare tre passaggi.

Generare un’Ipotesi di Threat Hunting

The L’ipotesi di Threat Hunting viene per prima, proprio come in qualsiasi altro tipo di lavoro di ricerca. Immergiti nella nostra guida sugli esempi di ipotesi di Cyber Threat Hunting se vuoi saperne di più. Ricorda, anche se la tua ipotesi si dimostra errata, ottieni comunque un’informazione preziosa per la tua successiva ricerca. Ad esempio, hai ipotizzato che alcuni dei rari agent utente HTTP fossero dannosi, ma poi hai scoperto che non lo erano. Va bene, ora hai una migliore consapevolezza situazionale su ciò che sta accadendo all’interno della compagnia. A proposito, sfidare le tue ipotesi e confrontarle con quelle alternative può essere più utile di un approccio “satisficing” quando vuoi soltanto dimostrare di avere ragione e non riconoscere le parti mancanti.

Eseguire Test & Analisi

Ora che l’ipotesi è stata formulata, è il momento di testarla. I Threat Hunters potrebbero utilizzare diversi strumenti di Threat Hunting poiché ci sono diversi modi di testare le loro ipotesi. Possono cercare comportamenti specifici nei log di sistema, testare campioni di malware in un ambiente emulato, osservare il flusso di dati di rete e altro ancora. La parte più difficile è trovare un modo per rilevare ciò che stai cercando. Diciamo che vuoi eseguire un rilevamento di beaconing, ma la tua rete utilizza DNS su HTTPS cifrato, ci sono alcuni trucchi che dovresti conoscere. Trovare segnali dannosi, in questo caso, è possibile, ma alcune configurazioni di sistema potrebbero impedirti una ricerca di successo, risultando in falsi negativi.

La parte di analisi è la più interessante poiché ci sono molti modi di lavorare con i dati. A volte è meglio optare per algoritmi matematici come l’analisi fattoriale, ma a volte è meglio visualizzare le minacce. Esistono molti strumenti di modellazione delle minacce. Ad esempio, TypeDB è spesso usato dai Threat Hunters. Inoltre, potresti utilizzare grafica, tabelle e diagrammi che sono particolarmente divertenti se vuoi trovare cose come valori anomali. Se puoi programmare grafici di distribuzione, deviazione standard, box plot, scatter plot, foreste di isolamento e trovare schemi, questo tipo di analisi potrebbe dare ottimi risultati.

Tuttavia, tutto ciò che è automatizzato raramente funziona bene con dati non numerici. Il machine learning è buono per identificare differenze senza entrare nel contesto (forse eccetto per Naïve Bayes, che è buono per contenuti testuali).

Ad un certo punto, è necessario aggiungere un elemento umano alla Threat Hunting. Quando arriva il momento, prova il modello Diamond di analisi delle intrusioni e la caccia basata su TTP. Se la revisione manuale richiederebbe troppo tempo a causa di un grande pool di dati, strumenti come Clearcut potrebbero essere utili. Poi, conosci le abitudini dei tuoi utenti e aggiungi un pizzico di ispirazione. Studiare argomenti come statistica, data science o persino psicologia cognitiva arricchirà la tua esperienza di hunting.

Mitigare

Per quanto sia godibile essere un libero cacciatore e un ricercatore creativo, alla fine del processo di Threat Hunting, entrano in gioco importanti responsabilità. Quando hai ottenuto i risultati dell’analisi, è il momento di documentarli e agire su di essi per evitare che la minaccia scoperta causi danni. In grandi organizzazioni, questo processo chiamato Incident Response viene passato ai membri del SOC che lo fanno regolarmente mentre i Threat Hunters tornano alle ipotesi e alle analisi.

Le vulnerabilità note possono essere corrette. Questa parte è forse la più semplice. Tuttavia, è impegnativo monitorare tutti i tipi di patch su tutti i tipi di risorse. Alcune di queste ultime non amano affatto le patch, come i server pesantemente caricati che devono lavorare 24/7, e qualsiasi manutenzione provoca fluttuazioni nelle operazioni aziendali. Tali patch devono essere correttamente pianificate. Altrimenti, i team SOC possono esplorare opzioni di patching senza tempi di inattività (ZDP).

I casi complessi richiedono un approccio unico, quindi vengono solitamente gestiti manualmente. In generale, la risposta agli incidenti può includere molte azioni diverse. La formazione alla certificazione di Threat Hunting include solitamente teoria e pratica su queste. Oltre alla mitigazione efficace, a volte è necessario eseguire il recupero dati. Come parte della difesa proattiva dalle minacce, i membri SOC stanno migliorando la protezione dei sistemi basandosi sulle previsioni dei Threat Hunters. Se una minaccia è benigna, potrebbero anche non far nulla al riguardo.

Servizio di Threat Hunting

L’esternalizzazione dei servizi è abbastanza comune nel campo IT, quindi perché non esternalizzare i servizi di Threat Hunting? Se assumere specialisti della sicurezza dall’esterno è vantaggioso per una strategia a lungo termine, aiuta a togliere del carico eccessivo al team interno, e offre molto valore per il prezzo concordato, allora è saggio farlo.

Molti fornitori offrono servizi di Threat Hunting oltre al loro software, come IBM, CrowdStrike, Verizon, ESET e Palo Alto Networks. Gli ingegneri della sicurezza di SOC Prime forniscono audit SIEM con copertura MITRE ATT&CK®. Possono aiutarti a identificare problemi di configurazione, errori e fattori limitanti attraverso vari prodotti di sicurezza che potresti utilizzare. Dopo l’audit iniziale, possono eseguire servizi di sicurezza gestiti, come:

  • pulizia SIEM
  • riduzione del costo di archiviazione
  • regolazione del contenuto
  • filtro delle fonti di log & roadmap
  • ottimizzazione delle prestazioni
  • allineamento con MITRE ATT&CK®
  • dimensionamento dell’architettura e ottimizzazione dei costi in modo olistico
  • piano di formazione sulle competenze tecniche
  • aumento tecnologico
  • trasformazione dei processi
  • allineamento del budget e degli stakeholder
  • roadmap evolutiva

Tutti questi miglioramenti agiscono su diversi livelli, dall’operativo allo strategico, aiutando i Threat Hunters a rilevare minacce nascoste.

Tipi di Threat Hunting

I Threat Hunters riconoscono tre diversi tipi di Cybersecurity Hunting per dividere le responsabilità e raggiungere i loro obiettivi in modo più efficiente. Le tecniche di Threat Hunting possono essere le stesse tra diversi tipi di Threat Hunting o variare a seconda della complessità del pipeline di sicurezza CI/CD.

Strutturato

La Threat Hunting strutturata si basa sugli Indicatori di Attacco (IoA), che a loro volta si basano su Tattiche, Tecniche e Procedure (TTP) MITRE ATT&CK®. Questa è la cima della piramide del dolore di David Bianco. Il punto di una visione così granulare sulle kill chain è quello di cacciare gli attaccanti prima che lo sappiano (cioè, causare loro molto dolore).

Le TTP sono divertenti perché una tecnica inevitabilmente ne provoca un’altra. È come se trovassi Discovery, cerca Execution. Se trovi Execution, cerca Persistence, e così via. Se è stata sfruttata una certa tecnica, sai sicuramente quali fonti di dati ti servono e in quali luoghi entrerai all’interno di queste fonti. In generale, la Threat Hunting strutturata è buona per rilevare exploit zero-day quando non ci sono indicatori sicuri.

Non Strutturato

Un evento sospetto o una serie di eventi potrebbero agire come trigger per avviare una caccia non strutturata. Per ottenere più contesto, un Cyber Threat Hunter vuole raccogliere ogni tipo di informazione. Cosa è successo prima e dopo il trigger? Cos’altro è successo? Questi eventi sono correlati, e come? Vogliono rispondere a tutte queste domande.

Tieni presente che gli indicatori di compromissione (IoC) possono estendersi molto oltre URL, nomi di dominio e indirizzi IP. In effetti, molti tipi di eventi anomali sono piuttosto tangibili. Puoi ottenere i loro identificatori tramite threat intel e/o dai log interni.

Per l’elenco completo di ciò che offre la threat intel, consulta l’elenco degli oggetti cyber-osservabili STIX. Quanto alle fonti interne, ad esempio, Sysmon registra processi, sessioni, connessioni di rete, ecc. Questi log includono GUID (identificatori unici a livello globale). Pertanto, una regola di Threat Hunting ben fatta può operare valori identificabili che rappresentano una compromissione come:

  • Volumi di lettura del database anomali
  • Traffico in entrata e in uscita sospetto
  • Cambiamenti sospetti nei file di sistema
  • E molto altro

Come vedrai, qualsiasi cosa anomala è o troppo piccola o troppo grande. Linee di comando troppo grandi, stringhe troppo piccole (offuscate), troppi nomi DNS con troppi numeri e lettere, e così via. Di solito, gli ingegneri di sicurezza automatizzano il rilevamento di tutto ciò impostando baseline e soglie nel SIEM. Quindi, perché dovrebbero disturbare i Threat Hunters, ti chiedesti? Perché è sorprendente quanto facilmente IoC del genere vengano trascurati. Ad esempio, nomi di dominio sospetti passano attraverso un server proxy DNS, e il team SOC semplicemente non li vede. Ciò significa che è il momento di cacciare.

Per una maggiore efficienza, i Threat Hunters possono dividersi in Livello 1,2,3 proprio come gli analisti. Mentre il primo gruppo esegue Threat Hunting di sicurezza informatica in tempo reale, il secondo esplora le TTP e il terzo lavora su analisi avanzate con strumenti ML, matematica e data science. A seconda del modello di maturità Threat Huntingdi un’impresa, questa tattica di difesa può o meno essere praticabile.

Situazionale

La Threat Hunting situazionale può originarsi da due tipi principali di fonti: interne ed esterne. Le fonti interne includono cose come regolare valutazione dei rischi, analisi Jewel in the Crown e altre considerazioni della tua infrastruttura unica e del traffico. Le fonti esterne sono Threat Intelligence, notizie, feed sulle vulnerabilità e risultati di ricerca.

Mentre la Threat Intelligence a livello enterprise è la fonte principale di consapevolezza delle minacce situazionali, alternative stanno anche guadagnando terreno. Ad esempio, Twitter è utile per sapere cosa sta accadendo nel mondo del cyber. Dai un’occhiata a questi account:

Oltre a Twitter, ci sono molte altre fonti che vale la pena esplorare. La Open-source Threat Intelligence tira fuori una miriade di dati interessanti che vale la pena cacciare. Inoltre, nuove e calde query sono sempre disponibili in un Quick Hunt modulo nella piattaforma SOC Prime Detection as Code. Non richiedono una preparazione e un’esperienza estensiva, il che è buono per i Threat Hunters junior.

Qual è la Differenza tra Threat Hunting e Threat Intelligence?

In poche parole, la Threat Intelligence è un’informazione utile, e la Threat Hunting è dare un senso a quell’informazione. I Threat Hunters stanno cercando proattivamente i nemici all’interno della rete di un’organizzazione. Utilizzano i feed della Threat Intelligence come input per attivare i loro processi di hunting.

Alcune piattaforme di Threat Hunting come SOC Prime Detection as Code includono il contesto della Threat Intelligence insieme ad altri tipi di funzionalità utili come la capacità di scoprire e modificare regole per poi distribuirle in un ambiente SIEM, EDR/XDR o SOAR. È necessario monitorare continuamente i feed di Threat Intelligence perché contengono le ultime informazioni sulle minacce informatiche scoperte in varie reti private e pubbliche.

Perché è Importante la Threat Hunting?

Le minacce sofisticate non sono così facili da rilevare. Che si tratti di vivere di ciò che è disponibile o di evitare il rilevamento per mesi, il malware moderno ha i suoi modi di bypassare i controlli di sicurezza tradizionali. La Threat Hunting in ambito cybersecurity è importante perché migliora la visibilità del malware avanzato e aiuta a evitare il danno che potrebbe causare. La Threat Hunting preventiva è ufficialmente suggerita da CISA e dall’FBI.

I Threat Hunters contribuiscono al miglioramento delle difese di cybersecurity complessive poiché agiscono come ricercatori di minacce. Applicando un intero spettro di conoscenze tecniche e scientifiche, i cacciatori analizzano campioni di malware e fasi delle kill chain per capire come funzionano. E quando questa comprensione è acquisita, diventa possibile sviluppare metodi più sofisticati di rilevamento e risposta alle minacce.

Unisciti alla nostra SOC Prime Detection as Code piattaforma per accedere a migliaia di query di Cyber Hunting che anticipano i nuovi attacchi. Potenzia la tua pipeline SOC con regole basate su Sigma che sono tradotte in numerosi formati specifici del fornitore e possono essere immediatamente distribuite in un ambiente SIEM. E se hai la tua esperienza professionale, sei incoraggiato a condividere i tuoi elementi di rilevamento nella nostra iniziativa globale di crowdsourcing, Threat Bounty Program, dove gli ingegneri e i ricercatori della sicurezza migliorano la difesa collaborativa e ottengono ripetuti pagamenti per il loro impegno.

 

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Blog, Ultime Minacce — 4 min di lettura
Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181
Veronika Telychko
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Blog, Ultime Minacce — 4 min di lettura
Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Veronika Telychko
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Blog, Ultime Minacce — 5 min di lettura
Rilevamento di TorNet Backdoor: Una Campagna di Email di Phishing in Corso Utilizza il Malware PureCrypter per Rilasciare Altri Payload
Veronika Telychko