Cyber Threat Investigation e Threat Hunting
Secondo il Verizon Data Breach Investigation Report (DBIR), le minacce avanzate si nascondono negli ambienti senza essere rilevate, spesso per mesi, mentre cercano furtivamente di raccogliere informazioni preziose o dati da compromettere.
Aspettare che tali minacce diventino visibili o che sia generato un avviso dai tradizionali strumenti di monitoraggio SOC, potrebbe rivelarsi un errore fatale. La Cyber Threat Intelligence (CTI) si occupa della raccolta e dell’analisi di informazioni al fine di identificare e caratterizzare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici.
Per far questo, i professionisti della CTI devono necessariamente operare delle pratiche di vera e propria investigazione, cd. Threat Investigation, alla ricerca delle minacce o dei gruppi criminali alle spalle di queste, quanto delle vulnerabilità nelle infrastrutture interessate.
La Cyber Threat Intelligence
La Cyber Threat Intelligence è una pratica che consente di adottare strumenti di difesa specifici per i possibili attacchi e individuare eventuali nuove vulnerabilità all’interno della rete aziendale.
Come qualsiasi comunità, anche quella dei cyber criminali ha su Internet i suoi riferimenti, luoghi di incontro e canali di comunicazione. Il monitoraggio di questo sottobosco diffuso sul Web, composto da forum specializzati, canali di chat e marketplace più o meno clandestini, offre agli esperti di cybersecurity un vantaggio strategico che consente di migliorare l’efficacia degli strumenti di protezione.
La Threat Intelligence spesso si intreccia con il penetration testing e la ricerca dei malware, con cui gli esperti si adoperano per scovare vulnerabilità nei software e negli applicativi, permettendo alle aziende di porre rimedio prima che si verifichi un data breach.
Cyber Threat Investigation e Threat Hunting
La Cyber Threat Investigation è una attività di ricerca condotta attraverso reti, endpoint e set di dati in cerca di attività cyber dannose, sospette o rischiose, che non sono state rilevate (o sono in grado di eludere il rilevamento) da parte degli strumenti di sicurezza in uso.
Le tattiche proattive di Threat Investigation, come il Threat Hunting, si sono evolute per utilizzare le informazioni sulle minacce nei dati raccolti in precedenza al fine di identificare e classificare le potenziali minacce preventivamente, prima di un attacco. Il personale addetto alla sicurezza non può permettersi di credere che il proprio sistema di sicurezza sia impenetrabile. Deve rimanere sempre vigile per individuare la prossima minaccia o vulnerabilità.
Piuttosto che sedersi e aspettare che le minacce colpiscano, le attività di Threat Hunting sviluppano ipotesi basate sulla conoscenza dei comportamenti degli attori delle minacce e sulla convalida di tali ipotesi attraverso ricerche attive nell’ambiente, anche grazie a strumenti come il framework MITRE ATT&CK.
Con il Threat Hunting, un esperto non parte da un allarme o da un indicatore di compromissione (IOC), ma da un ragionamento più approfondito di stampo forense. In molti casi, gli sforzi del Threat Hunter creano e corroborano l’allarme o l’IOC. La Cyber Threat Investigation presuppone che si sia verificata o si verificherà una violazione nei sistemi informatici dell’azienda considerata.
Sostanzialmente, tutto ciò che viene fatto in forma preventiva all’infezione informatica viene considerato Threat Hunting; mentre tutte le operazioni fatte proattivamente a seguito di una infezione rilevata, vengono considerate iniziative di Threat Investigation, seguite solitamente dalle attività di Incident Response.
La Threat Investigation di Telsy
La Threat Investigation è dunque un’attività difensiva che consente di rilevare ed isolare quelle minacce che sfuggono ai rilevamenti delle soluzioni di sicurezza esistente in quanto nuove e non conosciute. Il servizio di Threat Investigation di Telsy offre un’attività specialistica finalizzata a raccogliere evidenze riconducibili ad una specifica anomalia o artefatto riscontrato dal Cliente, con l’obiettivo di ripristinare la business continuity.
L’obiettivo è convalidare, comprendere e reagire agli eventi, così da prevenirli o mitigarne l’impatto, attraverso la combinazione di analisi automatizzate e approfondimenti degli esperti di Telsy.
L’offerta comprende la fornitura di un report tecnico contenente la descrizione evento, data enrichment, indicatori di compromissione, le modalità di attacco (Threat Modelling) utilizzate, e infine la programmazione di una strategia di difesa e garanzia di supporto al ripristino della business continuity.
Scopri di più su https://www.telsy.com/it/soluzioni/cyber/
Leggi gli altri report sul blog di Telsy
Claudio Di GiuseppeVedi tutti gli articoli
Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).