Threat Hunting

Fai in modo che le minacce non si nascondano da nessuna parte

Sapevi che il tempo medio per rilevare una violazione della sicurezza è di 212 giorni? Sapevi che in media servono 75 giorni per contenere l'incidente una volta individuato? Più lungo è il ciclo di vita della minaccia, maggiore è il costo dell'incidente. Questo ci insegna che la ricerca proattiva delle minacce è essenziale in qualsiasi programma solido di sicurezza informatica.

Un'iniziativa di sicurezza di primo piano - Molti ostacoli

L'istituzione di un programma interno di threat hunting comporta molte sfide.

Close up of a man's eye with targeting scope lines around it
Comprendere in cosa e come automatizzare le analisi per un rilevamento proattivo e veloce può essere solo competenza di cacciatori esperti
La mancanza di sistematicità inibisce la possibilità di avere successo contro minacce ben organizzate
Quando si tratta di caccia, la telemetria dettagliata a lungo termine fornisce la visibilità necessaria per un'analisi immediata
L'enorme quantità di telemetria deve essere arricchita, correlata e analizzata rapidamente con le analisi di sicurezza per individuare i segni di un attacco
I cacciatori interni, i processi e gli strumenti automatizzati richiedono un investimento fuori portata per la maggior parte delle organizzazioni

Operazioni proattive di threat hunting

Circular graph showing data lines radiating out from a blue central circle

Approccio guidato dall'analisi

Utilizza metodi statistici per rilevare qualcosa che non è mai stato visto prima o irregolarità nei dati di base dell'ambiente.

Shape of a face made up of glowing lines with bright firey lines in the brain area

Approccio basato su ipotesi

Viene eseguito dai cacciatori pensando come l'avversario. Si tratta di sviluppare e testare teorie su dove e come un aggressore determinato potrebbe tentare di operare senza essere visto.

Hands on a keyboard with a blue eye icon overlaid on top

Approccio basato sulle informazioni

Sfrutta le informazioni aggiornate sulle minacce per cercare nei dati storici i segnali di intrusione. Gli indicatori di compromissione (IoC) sono un buon punto di partenza, anche se non dovrebbero essere limitati a questi ma estesi ai comportamenti associati a una minaccia specifica o a un gruppo di minacce.

La caccia proattiva alle minacce aumenta la sicurezza complessiva grazie a:

  • Riduzione della probabilità di essere compromessi
  • Individuazione rapida delle minacce in corso
  • Accelerazione della risposta
  • Riduzione dei costi relativi a incidenti e ripristino
  • Identificazione di lacune e configurazioni errate nella sicurezza
  • Creazione di consigli per i piani di riduzione della superficie d'attacco

Leggi questo eBook per approfondire il processo di caccia alle minacce, comprendere meglio i pro e i contro della caccia e apprendere modi alternativi per farlo.

Scaricalo ora

87%

delle organizzazioni concordano sul fatto che il threat hunting dovrebbe essere una delle principali iniziative di sicurezza

Le aziende di tutte le dimensioni concordano sulla necessità di andare a caccia di minacce attive o latenti nei loro ambienti che hanno aggirato i controlli di sicurezza

Sondaggio Pulse, novembre 2021

Il 53%

delle organizzazioni prevede di adottare il threat hunting nei prossimi 12 mesi

Grazie alla ricerca proattiva delle minacce, saranno in grado di ridurre i tempi di rilevamento delle minacce, accelerare la risposta e ridurre al minimo i costi degli incidenti

Sondaggio Pulse, novembre 2021

65%

delle organizzazioni ha indicato che le limitazioni dei propri strumenti o della tecnologia costituiscono un ostacolo

Il threat hunting comporta numerose sfide che potrebbero vanificare l'iniziativa: limiti degli strumenti o delle tecnologie esistenti, mancanza di competenze, troppi dati da elaborare

Sondaggio Pulse, novembre 2021

51%

delle organizzazioni affrontano o hanno affrontato ostacoli dovuti alla mancanza di competenze in materia di sicurezza

Per questo motivo, la maggior parte delle aziende e dei partner delega, almeno in parte, il servizio di threat hunting al proprio provider di sicurezza gestita

Sondaggio Pulse, novembre 2021
Bright blue globe with red spots around the surface and white lines orbiting it

Ogni organizzazione è un obiettivo, indipendentemente dalle dimensioni, dal settore o dall'ubicazione

Il threat hunting è una disciplina che le organizzazioni devono considerare come un must. Dovrebbe essere una funzione continua, non un punto nel tempo. Mantenere la pratica in modo costante per un lungo periodo di tempo senza alcun supporto esterno tende a essere fuori portata anche per i team di sicurezza più esperti. In che modo i responsabili IT affrontano queste sfide? Pulse e WatchGuard hanno intervistato 100 leader IT per scoprirlo.

Ottieni i risultati >

4 percorsi di threat hunting da valutare

WatchGuard Cloud dashboard showing on a laptop screen

Threat hunting come servizio

Il servizio Threat Hunting di WatchGuard EDR e WatchGuard EPDR scopre le minacce che si nascondono negli endpoint individuando una serie di indicatori di attacco (IoA) deterministici. Le linee guida attuabili, fornite in questi prodotti, consentono di rispondere rapidamente e con sicurezza alle minacce.

Eleva i tuoi servizi, vai a caccia di minacce >

Purple box graph next to a line graph showing activity on a laptop screen

Cerca le minacce non rilevate

Inoltre, WatchGuard Advanced EDR e EPDR consentono ai team di sicurezza di valutare i loro ambienti per le minacce emergenti cercando OSINT (Open-Source INTelligence) o IoC di origine privata - hash, nome di file, percorso, dominio, IP e regole Yara. Gli analisti possono contenere la diffusione del rischio in caso di rilevamento di una compromissione, isolando dalla rete gli endpoint interessati e provvedendo allo sradicamento e al recupero dell'incidente.

Sii pronto a rispondere alle minacce dannose emergenti >

Colorful bar graph next to a chart with an arrow pointing downwards

Delega agli esperti di threat hunting

I cacciatori di minacce di WatchGuard monitorano costantemente l'attività degli endpoint, analizzando ogni debole segnale di comportamento anomalo e scoprendo altre minacce non appena mostrano attività sospette. Sei supportato dai nostri cacciatori, che ti forniscono immediatamente rapporti dettagliati e agibili a cui rispondere. I rapporti mensili sono la prova condivisibile della tua diligenza nella caccia alle minacce.

Professionalizza il tuo servizio di caccia senza assumere cacciatori scarsi >

WatchGuard Cloud dashboard showing on a laptop screen

Migliora il tuo threat hunting con l'automazione

WatchGuard Orion è una piattaforma multi-tenant di threat hunting e incident management basata su cloud che utilizza l'apprendimento automatico per consentire agli analisti della sicurezza di scoprire minacce sconosciute, indagare su attività sospette e rispondere rapidamente agli incidenti. Le query e le regole di hunting integrate aiutano i SOC a porre le domande giuste per individuare i problemi nella telemetria arricchita di 365 giorni, creare ipotesi ed eseguire indagini dettagliate.

Responsabilizza i tuoi SOC hunter >

Blog correlati

Leggi tutto