Che cos'è la caccia alle minacce 2023? [Guida completa]

Pubblicato: 2023-03-22

La caccia alle minacce informatiche è un metodo proattivo di sicurezza Internet in cui i cacciatori di minacce cercano pericoli per la sicurezza che potrebbero essere nascosti all'interno della rete di un'azienda .

La caccia informatica ricerca attivamente minacce non rilevate, non identificate o non corrette che potrebbero essere sfuggite ai meccanismi di difesa automatizzati della rete, a differenza di tecniche di caccia alla sicurezza informatica più passive come i sistemi di rilevamento automatico delle minacce.

Sommario

Cos'è la caccia alle minacce?

L'atto di cercare attivamente minacce informatiche che si nascondono inosservate su una rete è noto come caccia alle minacce. La caccia alle minacce informatiche perlustra il tuo ambiente alla ricerca di attori malintenzionati che hanno superato le misure di sicurezza iniziali degli endpoint.

Alcuni pericoli sono più sofisticati e avanzati, mentre la maggior parte non riesce a superare i sistemi di sicurezza. Per settimane, gli aggressori possono rimanere inosservati nel sistema e nei file mentre avanzano lentamente attraverso la rete per raccogliere più dati.

Durante questa procedura possono passare settimane o addirittura mesi. Può facilmente eludere il rilevamento da parte degli strumenti di sicurezza e del personale senza cacciare attivamente.

Threat Hunting

Perché la caccia alle minacce è importante?

Poiché le minacce sofisticate possono eludere la sicurezza informatica automatizzata, la caccia alle minacce è fondamentale.

È comunque necessario preoccuparsi del restante 20% delle minacce, anche se gli strumenti di sicurezza automatizzati e gli analisti del SOC (Security Operations Center) di livello 1 e 2 dovrebbero essere in grado di gestirne circa l' 80% .

Le minacce nel restante 20% hanno maggiori probabilità di essere complesse e in grado di causare gravi danni.

Un utente malintenzionato può entrare di nascosto in una rete e rimanervi per mesi mentre raccoglie silenziosamente informazioni, cerca documenti sensibili o ottiene credenziali di accesso che gli consentiranno di muoversi nell'ambiente.

Molte aziende non dispongono delle sofisticate capacità di rilevamento necessarie per impedire che minacce persistenti avanzate permangano nella rete una volta che un avversario è riuscito a sfuggire al rilevamento e un attacco ha violato le difese di un'organizzazione.

La caccia alle minacce è quindi un elemento cruciale di qualsiasi strategia di difesa.

Tipi di caccia alle minacce

Il sito Web ufficiale di IBM ha spiegato in modo abbastanza appropriato i tre principali tipi di caccia alle minacce. Secondo il loro blog, la caccia alle minacce è dei seguenti tipi:

1. Caccia strutturata

Un'indicazione di attacco (IoA) e le tattiche, i metodi e le procedure (TTP) dell'attaccante servono come base per una caccia sistematica.

Ogni caccia è pianificata e basata sui TTP degli attori della minaccia. Per questo motivo, il cacciatore riconosce spesso un attore della minaccia prima che l'attaccante abbia la possibilità di disturbare l'ambiente.

2. Caccia non strutturata

Viene avviata una caccia ad hoc sulla base di un trigger, uno dei tanti indicatori di compromissione (IoC) . Questo trigger viene in genere utilizzato per sollecitare un cacciatore a cercare schemi pre e post rilevamento .

Nella misura consentita dalla conservazione dei dati e dai reati precedentemente connessi, il cacciatore può condurre uno studio per stabilire il proprio piano.

3. Guidato dalla situazione o dall'entità

Un'ipotesi situazionale può essere prodotta dalla valutazione interna del rischio di un'organizzazione o da un'indagine sulle tendenze e sui punti deboli specifici della sua infrastruttura IT.

I dati sugli attacchi raccolti dal pubblico in generale, che, una volta esaminati, mostrano i più recenti TTP delle minacce informatiche in corso, sono i luoghi in cui vengono creati lead orientati all'entità. Il cacciatore di minacce può quindi scansionare l'ambiente circostante alla ricerca di questi comportamenti specifici.

Come funziona la caccia alle minacce?

L'aspetto umano e l'enorme capacità di elaborazione dei dati di una soluzione software si combinano per cacciare efficacemente le minacce informatiche.

I cacciatori di minacce umane si affidano ai dati provenienti da sofisticati strumenti di monitoraggio e analisi della sicurezza per aiutarli a scoprire ed eliminare in modo proattivo le minacce.

Il loro obiettivo è impiegare soluzioni e intelligence/dati per trovare avversari che potrebbero eludere le normali difese utilizzando strategie come vivere dei frutti della terra.

L'intuizione, il pensiero etico e strategico e la risoluzione creativa dei problemi sono tutti componenti essenziali del processo di caccia al cyber.

Le organizzazioni sono in grado di risolvere le minacce più velocemente e con maggiore precisione utilizzando questi tratti umani che i " cacciatori di minacce informatiche " mettono in campo invece di affidarsi semplicemente a sistemi di rilevamento delle minacce automatizzati.

Cacciatori di minacce informatiche

Chi sono i cacciatori di minacce informatiche?

I Cyber ​​Threat Hunter aggiungono un tocco umano alla sicurezza aziendale, potenziando le misure automatizzate. Sono esperti professionisti della sicurezza IT che identificano, registrano, tengono d'occhio e sradicano le minacce prima che abbiano la possibilità di diventare problemi seri.

Sebbene occasionalmente siano analisti esterni, idealmente sono analisti della sicurezza che conoscono il funzionamento del reparto IT dell'azienda.

I Threat Hunter setacciano le informazioni sulla sicurezza. Cercano modelli di comportamento sospetti che un computer potrebbe non aver notato o pensato fossero stati gestiti ma non lo sono, così come malware o aggressori nascosti.

Aiutano anche a correggere il sistema di sicurezza di un'azienda per prevenire il verificarsi futuro dello stesso tipo di intrusioni.

Cos'è la caccia alle minacce

Prerequisiti per la caccia alle minacce

I cacciatori di minacce devono prima creare una linea di base di eventi previsti o approvati al fine di individuare meglio le anomalie affinché la caccia alle minacce informatiche sia efficace.

I cacciatori di minacce possono quindi esaminare i dati di sicurezza e le informazioni raccolte dalle tecnologie di rilevamento delle minacce utilizzando questa linea di base e l'intelligence sulle minacce più recente.

Queste tecnologie possono includere rilevamento e risposta gestiti (MDR) , strumenti di analisi della sicurezza o soluzioni SIEM (Security Information and Event Management).

I cacciatori di minacce possono cercare nei tuoi sistemi potenziali pericoli, attività losche o trigger che si discostano dalla norma dopo che sono stati armati di dati provenienti da una varietà di fonti, inclusi dati di endpoint, rete e cloud.

I cacciatori di minacce possono creare ipotesi e condurre ampie indagini di rete se viene rilevata una minaccia o se l'intelligence sulle minacce nota indica nuove possibili minacce.

I cacciatori di minacce cercano informazioni durante queste indagini per determinare se una minaccia è dannosa o benigna o se la rete è adeguatamente protetta dalle minacce informatiche emergenti.

Metodologie di Threat Hunting

I cacciatori di minacce iniziano le loro indagini supponendo che gli avversari siano già presenti nel sistema e cercano comportamenti strani che possano indicare la presenza di attività ostili.

Questo inizio di un'indagine spesso rientra in una delle tre categorie nella ricerca proattiva delle minacce.

Allo scopo di difendere in modo proattivo i sistemi e le informazioni di un'organizzazione, tutte e tre le strategie implicano uno sforzo umano che combina le risorse di informazioni sulle minacce con una tecnologia di sicurezza all'avanguardia.

1. Indagine guidata da ipotesi

Un nuovo pericolo che è stato scoperto attraverso un vasto database di dati sugli attacchi in crowdsourcing spesso innesca indagini basate su ipotesi, fornendo informazioni sulle più recenti strategie, tecniche e procedure utilizzate dagli aggressori (TTP).

I cacciatori di minacce verificheranno quindi se le azioni uniche dell'attaccante sono presenti nel proprio ambiente una volta rilevato un nuovo TTP.

2. Un'indagine basata su indicatori di attacco o indicatori di compromissione identificati

Utilizzando l'intelligence tattica sulle minacce, questo metodo di caccia alle minacce elenca gli IOC e gli IOA noti collegati a nuove minacce. I cacciatori di minacce possono quindi utilizzarli come trigger per trovare potenziali attacchi nascosti o attività dannose in corso.

3. Analisi avanzate e indagini sull'apprendimento automatico

Il terzo metodo estrae una grande quantità di dati utilizzando l'apprendimento automatico e l'analisi avanzata dei dati per cercare anomalie che potrebbero indicare possibili attività ostili.

Queste anomalie diventano piste di caccia che vengono esaminate da analisti esperti per trovare pericoli nascosti.

Caccia alle minacce con i proxy

I cacciatori di minacce potrebbero trovare una grande quantità di informazioni nei record proxy web. Questi proxy funzionano come canali tra il server o il dispositivo che riceve le richieste e il dispositivo che invia la richiesta.

Un insieme comune di dati generati dai proxy Web può essere utilizzato per individuare comportamenti insoliti o sospetti.

Ad esempio, un cacciatore di minacce in un'organizzazione potrebbe analizzare le informazioni sui pericoli incluse nei registri del proxy Web e scoprire attività sospette con agenti utente come cURL e siti di SharePoint .

Attirano l'attenzione sul problema e scoprono che le richieste sono legittime e provengono dai team DevOps.

Per esaminare questi registri e trovare eventuali individui malintenzionati tra il mix, i cacciatori di minacce utilizzano una varietà di protocolli e metodologie. I registri proxy Web offrono spesso i seguenti dettagli:

  • URL di destinazione (nome host)
  • IP di destinazione
  • Stato HTTP
  • Categoria di dominio
  • Protocollo
  • Porto di destinazione
  • Agente utente
  • Metodo di richiesta
  • Azione del dispositivo
  • Nome file richiesto
  • Durata

**E altro ancora!

Come funziona la ricerca delle minacce con i registri proxy?

Studiamo in che modo i registri proxy Web aiutano questi cacciatori ora che comprendi la caccia alle minacce. Gli analisti devono impiegare una varietà di modi per trovare le vulnerabilità e le parti malintenzionate che interagiscono con la rete perché i registri proxy Web contengono diversi pezzi di dati.

1. Revisione del traffico bloccato:

È importante scoprire cosa ha portato l'utente ad accedere a un determinato sito Web anche se potrebbe essere stato vietato agli utenti dell'organizzazione. Può significare che il loro computer è stato infettato.

2. URL con richieste IP:

Questo filtraggio può individuare i log che aggirano le restrizioni di sicurezza DNS utilizzando indirizzi IP hardcoded.

3. URL con estensioni di file:

Questo filtro rende visibili gli URL potenzialmente pericolosi con estensioni di file come.doc,.pdf e .exe. Gli aggressori utilizzano spesso file doc o pdf con funzionalità macro per impiantare malware su una macchina o una rete.

4. URL referrer noto con URL non comune:

L'identificazione dei collegamenti di phishing può essere semplificata filtrando i registri contenenti domini di riferimento popolari e URL distintivi.

Differenza tra Threat Hunting e Threat Intelligence

L'intelligence sulle minacce è una raccolta di dati relativi a intrusioni tentate o riuscite che vengono generalmente raccolte ed esaminate da sistemi di sicurezza automatizzati che utilizzano l'apprendimento automatico e l'intelligenza artificiale.

Queste informazioni vengono utilizzate nella caccia alle minacce per condurre una ricerca completa e a livello di sistema di utenti malintenzionati.

La caccia alle minacce, in altre parole, inizia dove finisce l'intelligence sulle minacce. Una caccia alle minacce produttiva può anche trovare pericoli che non sono ancora stati visti in natura.

Gli indicatori di minaccia vengono talvolta utilizzati come indizio o ipotesi nella caccia alle minacce. Impronte virtuali lasciate da malware o da un utente malintenzionato, uno strano indirizzo IP, e-mail di phishing o altro traffico di rete anomalo sono tutti esempi di indicatori di minaccia.

Link veloci:

  • Recensione Cyberlab
  • Revisione dell'impatto cibernetico
  • Revisione della formazione IT di CyberVista
  • I migliori programmi di affiliazione per la sicurezza informatica

Conclusione: cos'è Threat Hunting 2023?

La consueta procedura di rilevamento, reazione e risoluzione degli incidenti è fortemente integrata dalla caccia alle minacce. Una strategia realistica e pratica per le imprese è quella di fortificarsi contro minacce impreviste.

Tuttavia, il monitoraggio dei registri proxy consente anche di identificare gli utenti che potrebbero eseguire lo scraping di siti Web. Coloro che stanno semplicemente tentando di completare compiti legittimi incontrano problemi in una situazione del genere.

Utilizzando diversi proxy, in particolare quelli che aiutano a nascondere il loro vero indirizzo IP, gli utenti possono evitare che i cacciatori di minacce individuino le loro attività.

Inoltre, i loro registri non sollevano una bandiera rossa per questi cacciatori perché non esiste un unico indirizzo IP per tutte le loro attività.

Per questo, avrai bisogno di proxy di alta qualità che appaiano legittimi al software di caccia alle minacce. Per rispondere alla tua domanda, il software di caccia alle minacce è fondamentalmente un programma che esegue protocolli e analisi di caccia alle minacce.

Link veloci

  • I migliori proxy per l'aggregazione delle tariffe di viaggio
  • I migliori proxy francesi
  • I migliori proxy di Tripadvisor
  • I migliori proxy di Etsy
  • Codice coupon IPRoyal
  • I migliori proxy TikTok
  • I migliori proxy condivisi