Zpedia 

/ Che cos'è la ricerca delle minacce?

Che cos'è la ricerca delle minacce?

La threat hunting, ovvero la ricerca delle minacce, è un approccio proattivo per individuare potenziali minacce e vulnerabilità presenti nella rete e nei sistemi di un'organizzazione; combina analisti della sicurezza in carne e ossa, intelligence sulle minacce e tecnologie avanzate che analizzano il comportamento, individuano le anomalie e identificano gli indicatori di compromissione (IOC) per rilevare ciò che gli strumenti di sicurezza tradizionali potrebbero non cogliere. I ricercatori di minacce, o threat hunter, si impegnano a rilevare e neutralizzare tempestivamente le minacce per ridurre al minimo il loro potenziale impatto.

Ricevi le ultime ricerche sulle minacce
Scopri la potenza di Zscaler Threat Hunting
Protezione dalle minacce informaticheProtezione dati
  1. Perché è importante
  2. Come funziona
  3. Gli strumenti principali
  4. Le persone coinvolte
  5. I primi passi
  6. Cosa può fare Zscaler
  7. Risorse suggerite
  8. Domande frequenti
  9. Argomenti correlati

Perché la ricerca delle minacce è importante?

Con le violazioni dei dati che diventano sempre più frequenti e costose, un programma di threat hunting, ossia di ricerca delle minacce, è un elemento fondamentale di ogni strategia di sicurezza aziendale moderna. Un programma di questo tipo offre alle organizzazioni i seguenti vantaggi:

  • Una difesa proattiva contro potenziali rischi e minacce nascoste per migliorare il profilo di sicurezza generale e contribuire a mitigare i pericoli prima che si intensifichino, prevenendo così le potenziali violazioni
  • Risposta più rapida agli incidenti e riduzione dei tempi di permanenza delle minacce, combinando strumenti automatizzati e competenze umane per un rilevamento più accurato
  • Riduzione del rischio di subire danni finanziari e reputazionali, perdite di dati e altro a fronte della sempre maggiore frequenza degli attacchi e delle sempre più onerose conseguenze

Il costo medio globale di una violazione dei dati è aumentato del 15% dal 2020 al 2023, fino a raggiungere 4,45 milioni di dollari.

— Cost of a Data Breach Report 2023, IBM

Come funziona la threat hunting?

Una ricerca efficace delle minacce (o threat hunting) si basa essenzialmente sull'indagine concreta, la prevenzione e la riduzione del rischio. Ma per essere davvero efficienti, queste attività devono essere integrate in un contesto più ampio. Si tratta di una vera e propria corsa agli armamenti contro aggressori che sono costantemente al lavoro per rendere gli attacchi più veloci, numerosi e difficili da rilevare. Il processo di base di ricerca delle minacce può essere suddiviso in quattro parti:

1. Raccolta e analisi dei dati

I threat hunter, o ricercatori di minacce, raccolgono grandi quantità di dati dall'interno e l'esterno della rete dell'organizzazione, tra cui log, traffico, dati degli endpoint e feed di intelligence sulle minacce. L'analisi del comportamento e il machine learning aiutano a tracciare una linea di riferimento che definisce il comportamento normale, e ogni deviazione potrebbe indicare una potenziale minaccia.

2. Sviluppo di un'ipotesi

Basandosi sulle informazioni ottenute dall'analisi dei dati, i ricercatori formulano ipotesi sulle potenziali minacce, concentrandosi sull'identificazione di anomalie o di attività sospette che potrebbero indicare la presenza di malware o di un altro incidente di sicurezza imminente.

3. Investigazione e validazione

I ricercatori provano a individuare indicatori di compromissione (IOC), segni di attività dannose o pattern insoliti nei dati esaminando il traffico di rete, revisionando i log, ispezionando l'attività degli endpoint e altro. L'obiettivo è capire se gli indicatori rappresentano minacce reali o sono solamente falsi positivi. La validazione è critica per permettere alle organizzazioni di rispondere alle minacce in modo più rapido ed efficiente.

4. Miglioramento continuo

Per adattarsi continuamente alle minacce in evoluzione, il processo di ricerca è ciclico: i ricercatori applicano ciò che hanno appreso per perfezionare le loro tecniche, aggiornare le ipotesi, incorporare nuove informazioni su minacce e soluzioni di sicurezza e molto altro.

Tipi di threat hunting

L'approccio adottato dai ricercatori di minacce dipende dalle informazioni di cui dispongono inizialmente. Per esempio, un feed di minacce ha fornito nuove informazioni su un ceppo di malware emergente, come dati delle firme? L'organizzazione ha notato un improvviso incremento del traffico in uscita?

La ricerca delle minacce basata sugli indizi (conosciuta anche come ricerca strutturata) si fonda sulle ipotesi o su specifici IOC che guidano l'indagine. Per esempio, se i ricercatori ricevono informazioni specifiche su un malware emergente, come indicato in precedenza, possono ricercare i segni noti di questo malware nel loro ambiente.

La ricerca delle minacce senza indizi (o ricerca non strutturata) non dipende da indizi o indicatori specifici; i ricercatori di minacce utilizzano invece tecniche di analisi dei dati e il rilevamento delle anomalie per rilevare elementi come il già citato incremento del traffico di rete, quindi indagano sulla causa dell'anomalia.

Questi approcci non si escludono a vicenda: i team di ricerca spesso devono fare affidamento su una combinazione di entrambe queste tipologie di indagine nell'ambito di una metodologia più completa.

I vantaggi dell'automazione nella ricerca delle minacce

L'automazione è essenziale per una ricerca delle minacce realmente efficace abbinata al pensiero laterale e alla creatività umana. Gli utenti malintenzionati sfrutteranno qualsiasi vantaggio possibile a loro disposizione, e ciò significa che oggi utilizzeranno sempre più spesso l'intelligenza artificiale e l'automazione per alimentare i propri attacchi. In altre parole, si tratta di un classico esempio di battaglia combattuta ad armi pari.

L'automazione accelera il rilevamento e la risposta alle minacce raccogliendo, correlando e identificando le anomalie in vasti quantitativi di dati in tempo reale in modo molto più efficiente di quanto possano fare gli esseri umani. A loro volta, gli analisti umani hanno più tempo e attenzione da dedicare agli incidenti che richiedono decisioni contestuali specifiche o che, non essendo correlati a dati cronologici sulla sicurezza, non sono gestibili dagli strumenti automatizzati.

Modelli e metodologie della ricerca di minacce

Sono diversi i modelli e le metodologie di ricerca delle minacce che aiutano i ricercatori a identificare, indagare e mitigare le minacce con un focus su diversi aspetti, a seconda della natura del loro team o della minaccia stessa. Alcuni modelli comuni sono:

Framework MITRE ATT&CK

Il framework MITRE ATT&CK consiste in una knowledge base di TTP note degli aggressori e fornisce un modo standardizzato per categorizzare e analizzare i comportamenti delle minacce attraverso le varie fasi di un attacco, aiutando i professionisti ad allineare le loro attività di rilevamento e risposta.

Lockheed Martin Cyber Kill Chain

Questo modello suddivide un attacco informatico in sette fasi, dalla ricognizione all'esfiltrazione, in modo che le attività di ricerca possano identificare le vulnerabilità e le potenziali strategie di mitigazione più efficaci per diversi punti della catena di attacco.

Cyber Threat Intelligence Life Cycle

Il ciclo di vita dell'intelligence sulle minacce informatiche è un processo continuo di raccolta, analisi e diffusione della threat intelligence, che aiuta i ricercatori a integrare tempestivamente le informazioni pertinenti nelle loro operazioni di rilevamento e risposta, permettendo alle organizzazioni di stare al passo con le minacce emergenti.

Leggi di più nel nostro articolo dedicato: "Cos'è la threat intelligence?"

Ciclo OODA (Osservare, Orientare, Decidere, Agire)

Questo framework in quattro fasi, originariamente sviluppato per l'Air Force degli Stati Uniti, aiuta i ricercatori a contestualizzare le informazioni sulle minacce in evoluzione per adattarsi più rapidamente a situazioni in costante mutamento, prendere decisioni informate e intraprendere azioni efficaci.

Modello a diamante dell'analisi delle intrusioni

Questo framework di attribuzione delle minacce informatiche definisce i quattro elementi principali dell'attività di intrusione, ossia aggressore, infrastruttura, vittima e capacità, e le relative relazioni, per aiutare i ricercatori delle minacce a comprendere i dettagli principali di un attacco.

Gli strumenti della ricerca di minacce

Allo stesso modo in cui esistono varie metodologie di ricerca, esistono anche molteplici strumenti nel toolkit di un ricercatore di minacce informatiche. Alcune delle tecnologie più comuni includono:

  • Gli strumenti SIEM (Security Information and Event Management, gestione delle informazioni e degli eventi di sicurezza) raccolgono e analizzano i dati dei log di rete di un'organizzazione e forniscono una piattaforma centrale di monitoraggio e segnalazione.
  • Gli strumenti di NTA (Network Traffic Analysis, analisi del traffico di rete) analizzano i modelli e i comportamenti del traffico di rete per rilevare le attività sospette e identificare le potenziali minacce.
  • Gli strumenti EDR (Endpoint Detection and Response, rilevamento e risposta degli endpoint) monitorano e rilevano in tempo reale le attività sospette sugli endpoint, fornendo al contempo indagini, ricerca delle minacce, triage e soluzioni correttive.
  • Le piattaforme di threat intelligence (TIP) aggregano, correlano, analizzano e arricchiscono l'intelligence sulle minacce da varie fonti per aiutare gli analisti e i loro strumenti a prendere decisioni informate.
  • Le piattaforme SOAR (Security Orchestration, Automation and Response, orchestrazione, automazione e risposta di sicurezza) automatizzano e orchestrano le attività di risposta agli incidenti, consentendo una mitigazione più rapida ed efficiente delle minacce.
  • Gli strumenti di scansione della vulnerabilità supportano la gestione delle patch e la valutazione dei rischi eseguendo la scansione degli ambienti e delle app di un'organizzazione per identificare le vulnerabilità potenzialmente sfruttabili dagli aggressori.
  • Gli strumenti ASM (Attack Surface Management, gestione della superficie di attacco) forniscono visibilità sulla superficie di attacco di un'organizzazione e contribuiscono a ridurla attraverso l'identificazione, il monitoraggio e la mitigazione delle vulnerabilità e dei potenziali vettori di attacco.
  • Le sandbox per i malware isolano e analizzano i file e i programmi sospetti in un ambiente controllato e vengono utilizzate per identificare il comportamento del malware e valutare le potenziali minacce.
  • Gli strumenti di Threat Emulation e Red-Teaming simulano gli attacchi informatici del mondo reale per aiutare le organizzazioni a valutare il proprio profilo di sicurezza e a identificarne le vulnerabilità.
  • La tecnologia di deception affianca alle risorse reali di una rete delle esche per attirare gli aggressori e generare allerte altamente attendibili che riducono i tempi di permanenza e accelerano la risposta agli incidenti.

Chi dovrebbe essere coinvolto nella ricerca delle minacce?

Gli analisti della sicurezza più abili nel rilevamento delle minacce e nell'uso degli strumenti di ricerca sono gli attori più determinanti nelle attività di ricerca, e assumono quindi un ruolo fondamentale nel monitoraggio e l'analisi delle allerte, nel tracciamento dei comportamenti sospetti, nell'identificazione degli indicatori di attacco (IOA) e altro. Le organizzazioni più piccole possono impiegare un solo analista a tempo pieno, mentre quelle più grandi possono avere team SOC (Security Operations Center) o servizi gestiti di dimensioni considerevoli.

Gli altri professionisti di supporto altrettanto importanti spesso includono:

  • Analisti di intelligence sulle minacce per filtrare l'intelligence sulle minacce in relazione al contesto critico e agli indicatori di compromissione.
  • Team che si occupano degli aspetti legali e di conformità per assicurare l'ottemperanza agli obblighi normativi.
  • Dirigenti e membri del consiglio di amministrazione che prendono decisioni di alto livello su strategie, risorse umane e budget.

Di cosa hai bisogno per iniziare con la threat hunting?

Le organizzazioni necessitano di quattro elementi fondamentali per individuare le minacce in modo efficace:

  1. Un team di ricercatori e analisti esperti. Se disponi di un team di sicurezza interno, investi nella formazione e nello sviluppo professionale continuo per aiutare il tuo personale a proteggere l'organizzazione dalle minacce sofisticate e in evoluzione.
  2. Il giusto mix di tecnologie per la ricerca delle minacce e strumenti automatizzati, tra cui piattaforme SIEM, soluzioni EDR, strumenti NTA e piattaforme di intelligence sulle minacce.
  3. Accesso a log, dati sul traffico di rete, dati sul comportamento e altro, per garantire che i ricercatori delle minacce abbiano una visione completa dello scenario che devono affrontare.
  4. Un quadro strategico chiaro per la ricerca delle minacce, con strategie e obiettivi definiti, in linea con la tolleranza al rischio e il profilo di sicurezza dell'organizzazione.

Il ruolo di Zscaler nella threat hunting

Gli esperti di ricerca delle minacce di Zscaler ThreatLabz tengono d'occhio le anomalie all'interno dei 500 bilioni di data point che attraversano il security cloud più grande del mondo, identificando e rilevando le attività dannose e le minacce emergenti.

Zscaler ThreatLabz utilizza l'intelligence sulle minacce e soluzioni proprietarie per ricercare in modo proattivo le tattiche, gli strumenti e le procedure (TTP) delle minacce impiegate sia dai gruppi di aggressori più sofisticati che da quelli che usano malware commerciali, consentendo una copertura completa delle minacce esistenti.

I data point vengono quindi utilizzati anche per addestrare i modelli di machine learning e favorire un rilevamento più rapido ed esteso. Questo approccio proattivo contribuisce a identificare e bloccare quotidianamente 9 miliardi di potenziali minacce prima che possano colpire i nostri clienti o causare danni.

I nostri ricercatori di minacce altamente qualificati sono pronti a rilevare le minacce e a difenderti dagli attacchi avanzati diretti al tuo ambiente

Risorse suggerite

Zscaler ThreatLabz su X (Twitter)
Scopri gli ultimi post
Dashboard - Zscaler ThreatLabz Cloud Activity
Visualizza gli aggiornamenti in tempo reale
Blog delle attività di ricerca sulla sicurezza di Zscaler ThreatLabz
Scopri gli ultimi post
GitHub - Zscaler ThreatLabz
Scopri gli ultimi IoC, le informazioni sui ransomware e gli strumenti più recenti
Report del 2023 di Zscaler ThreatLabz sui ransomware
Scarica il report completo

01 / 03

FAQ