Threat hunting: chi se ne occupa e quando ricorrervi

Dalla conferenza RSA: ecc come andare alla caccia di minacce nelle infrastrutture aziendali.

Il threat hunting è stato uno degli argomenti principali della conferenza RSA 2018. Gli esperti concordano sul fatto che si tratti di una pratica necessaria per contrastare i moderni attacchi APT. I pareri discordano quando ci si cerca di capire cosa sia esattamente il threat hunting, più che altro quali pratiche raccoglie questa definizione. E parlando proprio di definizione, ci si è accordati nell’utilizzare il libro How to Hunt for Security Threats, dove si spiega che il threat hunting è un processo di analisi che consente alle aziende di individuare le minacce avanzate nascoste che i controlli preventivi e di identificazione automatizzati non sono riusciti a riscontrare.

Sempre secondo questa definizione, il threat hunting deve essere eseguito da esperti in cybersicurezza, è un processo che non può essere automatizzato. In ogni caso, i risultati ottenuti dagli esperti, che vanno alla ricerca di anomalie, contribuiranno a migliorare i sistemi di rilevamento automatico, che apprendono a identificare scenari di attacco che un tempo richiedevano l’occhio di un esperto.

Quando ricorrervi

Per gli esperti la domanda “ci sono nemici nella vostra rete?” è superflua perché ovviamente sì che ci sono. E, sempre secondo gli esperti, non è mai troppo presto per iniziare a fare threat hunting. Dal nostro punto di vista, speriamo che ciò non sia sempre vero, ma non vuol dire che non sia arrivato il momenti di pensare al threat hunting, soprattutto se avete un’infrastruttura aziendale altamente distribuita.

In ogni caso, si tratta di una pratica di sicurezza avanzata che richiede certe risorse e un certo livello di sistemi di sicurezza. Perciò, se siete indecisi se organizzare un procedimento di threat hunting o adottare un sistema ben definito di Detection and Response vi consigliamo quest’ultimo, in quanto vi permetterà di escludere le minacce minori dal successivo processo di threat hunting, e fornirà informazioni che saranno molto utili per l’esperto che si dedicherà a tale compito.

Chi dovrebbe occuparsene

La questione principale è se un threat hunter deve essere un esperto in-house o esterno. Entrambe le scelte hanno dei pro e dei contro. Un specialista interno ha una conoscenza profonda dell’architettura della rete locale e delle sue caratteristiche, mentre un esperto esterno in cybersicurezza ha una vasta conoscenza del panorama delle minacce ma ha bisogno di un po’ di tempo per imparare a conoscere l’intera infrastruttura locale. E si tratti di due aspetti importanti in egual misura. Si potrebbe pensare di intervallare esperti interni ed esterni (se è possibile e se disponete già di un esperto in-house che possa occuparsene).

La maggior parte delle reti aziendali si assomiglia in qualche modo. Naturalmente esistono le dovute eccezioni, ma non sono così frequenti. Un esperto esterno che si occupa regolarmente di threat hunting per varie aziende non avrà problemi a gestire le piccole differenze tra un’azienda e un’altra.

Un altro aspetto che riguarda i candidati in-house è che il threat hunting può essere una pratica tediosa. Andare alla ricerca di processi dannosi nascosti tra i log è un’occupazione monotona che può mettere alla prova anche gli esperti IT più entusiasti. Per questo sarebbe meglio che ci fossero diversi esperti del centro di operazioni per la sicurezza che a turno possano dedicarsi a tale compito, invece di un unico threat hunter a tempo pieno.

Per quanto riguarda le capacità dei candidati, la persona ideale dovrebbe essere attenta, pazienee e con un certo grado di esperienza in minacce informatiche. E non deve mancare l’intuizione. Trovare una persona che abbia tutte queste caratteristiche non è facile in quanto è difficile capire se una persone è dotata di intuizione o no, soprattutto leggendo un curriculum.

Per quanto riguarda un esperto esterno, i servizi di threat hunting offerti dai nostri esperti potrebbero fare al caso vostro. Gli specialisti di Kaspersky Lab possono analizzare la vostra infrastruttura per identificare qualsiasi segnale presente  o passato che indichi un problema, oppure possono organizzare un sistema di analisi e monitoraggio continui dei vostri dati sulle minacce. Per saperne di più sui servizi di Threat Hunting di Kaspersky Lab, vi invitiamo a visitare questa pagina.

Consigli