4 differenze tra ricerca e rilevamento delle minacce

threat hunting and threat detection watchguard

Le aziende sono sempre più consapevoli dell’importanza di sviluppare funzionalità di rilevamento e ricerca delle minacce per proteggere dai rischi la propria attività. Ora più che mai, per garantire la sicurezza informatica a livello aziendale e fornire soluzioni e servizi di sicurezza IT efficaci, le organizzazioni e gli MSP non possono più semplicemente intervenire quando si verificano i cyberattacchi, ma devono agire molto prima che essi rappresentino una minaccia.

Indubbiamente, la diffusione del lavoro da remoto e dell’e-learning a livello globale, le preoccupazioni riguardanti la scelta della soluzione di cybersecurity più adatta e l’aumento generale degli attacchi hanno reso la sicurezza informatica un problema sempre più rilevante, chiamato a rispondere a nuove esigenze. L’approccio auspicato è di tipo proattivo, cioè non limitato alla sola prevenzione delle minacce note, ma focalizzato anche sull’analisi delle nuove tattiche utilizzate dai criminali informatici che intendono mettere in pericolo la sicurezza sul luogo di lavoro. Ciò significa affiancare al tradizionale rilevamento delle minacce una ricerca proattiva (“threat hunting”), tendenza sempre più necessaria nella cybersecurity aziendale.

Il sondaggio SANS 2020 sul fenomeno del threat hunting ha rilevato che il 65% delle organizzazioni interpellate ha già implementato una qualche strategia di ricerca delle minacce e un altro 29% ha intenzione di farlo nei prossimi 12 mesi. Diversi mercati, tra cui i servizi finanziari, il settore high-tech, il comparto militare, la pubblica amministrazione e le telecomunicazioni, necessitano assolutamente di rispondere alle minacce con la massima rapidità. Sebbene la prevenzione sia la migliore risposta al cybercrime, il rilevamento precoce e una reazione tempestiva sono fondamentali per ridurre la percentuale di successo degli attacchi informatici.

Ricerca delle minacce e minacce informatiche: il processo

Per rilevare attività sospette e attacchi informatici avanzati nelle fasi iniziali, gli analisti WatchGuard della sicurezza vanno “a caccia” delle minacce in maniera attiva. Utilizzando le informazioni raccolte in 30 anni di esperienza nel settore, gli addetti alla ricerca delle minacce confrontano le ipotesi con i dati raccolti dalla nostra soluzione EDR (WatchGuard EDR/WatchGuard EPDR e Adaptive Defense/Adaptive Defense 360) per certificarne la legittimità. Al termine della verifica e in caso di comprovata validità, la metodologia utilizzata viene aggiunta come nuova tecnica di rilevamento. Se non è possibile dimostrare la completa efficacia della tecnica, ma essa ci consente comunque di rilevare con un elevato grado di attendibilità la compromissione di un dispositivo, viene generato un indicatore di attacco (IoA); l’indicatore deve essere preso in esame tempestivamente per confermare la presenza di una minaccia e agire di conseguenza per contenerla e porvi rimedio.

Gli indicatori di attacco (IoA) creati dal servizio automatico di ricerca delle minacce di WatchGuard includono il rilevamento precoce di attività come:

Attacchi di forza bruta all’RDP
Credenziali compromesse dopo gli attacchi di forza bruta all’RDP
Esecuzione di cmd.exe con riga di comando nascosta
Esecuzione di script in memoria con PowerShell
Download di file tramite processo Svchost.exe
Esecuzione in memoria di script remoto
Exploit della vulnerabilità di Office Equation Editor
Installazione di file remoti tramite msiexec.exe rinominato
Persistenza ed elevazione dei privilegi tramite funzioni di accessibilità
Dumping delle credenziali del processo lsass utilizzando PowerShell o Procdump

Il servizio di ricerca delle minacce, incluso in WatchGuard EDR e WatchGuard EPDR, mostra questi indicatori di attacco e tutti quelli che vengono aggiunti man mano che il team di esperti identifica nuovi attacchi potenziali nella console Web delle soluzioni WatchGuard. Inoltre, i prodotti WatchGuard consentono di impostare degli indirizzi e-mail per ricevere notifiche in tempo reale dagli IoA e intraprendere il più tempestivamente possibile le azioni di contenimento e correzione.

Differenze tra ricerca e rilevamento delle minacce

Spesso la ricerca delle minacce viene confusa con il semplice rilevamento. Di seguito sono elencate le principali differenze:

- La ricerca delle minacce avviene proattivamente. I “cacciatori” di minacce non attendono gli alert relativi a pattern conosciuti, ma cercano indizi prima che si verifichi una violazione dei dati o prima di rilevare un file binario sconosciuto o dannoso sugli endpoint.

- La ricerca delle minacce si basa sugli eventi sospetti e sulla formulazione di nuove ipotesi. Significa seguire indizi e idee, senza limitarsi a verificare regole note.

- Solo gli analisti specializzati nella ricerca di schemi di attacco in questo tipo di dati, i “cacciatori” di minacce, possono fornire questo servizio. Gli addetti alla ricerca si basano sulle proprie conoscenze ed esperienze per mettersi nei panni di un hacker e prevederne le mosse. Sanno che il client può cadere vittima di un attacco in qualsiasi momento e si concentrano sull’individuazione di tutti gli indizi che permettano di identificare il malintenzionato in rete, senza attendere gli alert che rilevano una regola nota o un file binario dannoso.

- Il rilevamento delle minacce è un processo quasi sempre automatizzato e orientato a individuare le minacce note, mentre la ricerca delle minacce è un processo creativo con una metodologia flessibile, focalizzata sul “cacciatore” che “va a caccia” dell'hacker.

Queste funzionalità offrono maggiore visibilità e controllo sulle soluzioni per la sicurezza di endpoint, laptop, workstation e server, dando ai partner WatchGuard la possibilità di fornire ulteriore protezione e un servizio migliore ai propri clienti.

Scopri di più sul servizio di ricerca delle minacce di WatchGuard a questo link.