Secondo il rapporto del 2021 Cost of Data Breach, il “tempo di permanenza” medio di un attacco è di 287 giorni, periodo in cui l’hacker può  raccogliere informazioni preziose per rubare o compromettere i dati. Più lungo è il tempo di permanenza, maggiori sono i costi. Lo stesso rapporto afferma che una violazione con un ciclo di vita superiore a 200 giorni costa in media 5 milioni di dollari contro 3.61 per una violazione inferiore a 200 giorni.

E tu? Hai gli strumenti e le pratiche di sicurezza necessarie per rilevare e mitigare le minacce nascoste? La threat-hunting è l’approccio più proattivo alla sicurezza informatica per identificare le minacce che eludono i controlli di sicurezza prima che si possa eseguire un attacco.

Cos'è la  threat-hunting

La threat-hunting, è un processo di ricerca di comportamenti sospetti sull’intera superficie di attacco, che richiede un’ottima conoscenza dell’architettura, del sistema, dell’applicazione e del comportamento di rete. Ciò consente di porre domande mirate che aiutano a scoprire comportamenti e valori anomali come tecniche e procedure note (TTP), utilizzati dagli aggressori.

Sei best practice per sviluppare un programma di  threat-hunting

Capire se il proprio ambiente è ottimale
Capire se il tuo ambiente di lavoro è ottimale è importante. Se si cerca una minaccia si deve avere una buona conoscenza dell'azienda, del comportamento dei dipendenti, dei dati, nonché delle attività commerciali solite degli hacker.
Sviluppare ipotesi di minaccia
Come si fa threat-hunting? Innanzitutto cerca di capire se la minaccia è nota o sconosciuta. Se è nota, puoi iniziare esaminando varie fonti di intelligence che utilizzano indicatori di compromissione (IoC), valori hash, indirizzi IP o nomi di dominio. Tuttavia, ci sono molte minacce sconosciute costantemente sviluppate e utilizzate negli attacchi. See, invece, la minaccia è sconosciuta crea ipotesi sulle attività che potrebbero aver luogo all'interno dell'ambiente e testale di seguito.
Avere i dati giusti nel contesto giusto
Avere i dati giusti per rispondere alle giuste domande è fondamentale per la threat-hunting e i dati devono essere completi ed inseriti nel contesto giusto.
Indagare sulle potenziali minacce
Se l'ipotesi che crei è corretta e trovi prove di attività dannose, devi convalidarla immediatamente. È qui che gli strumenti di indagine sulle minacce tornano utili. Il passaggio successivo del processo consiste nell'identificare nuovi pattern dannosi nei dati e scoprire i TTP dell'attaccante.
Rispondere in modo efficace
Una volta identificato un nuovo TTP, è necessario rispondere in modo efficace e rimediare alla minaccia. Ciò significa che è necessario, non solo adottare misure immediate per neutralizzare l'attacco e impedire che danneggi il sistema, ma anche adottare misure per prevenire attacchi futuri.
Migliorare la sicurezza globale
L'ultimo passaggio consiste nell'arricchire l'analisi con approfondimenti derivanti da cacce concluse con successo. Così si può utilizzare la conoscenza generata dalla threat-hunting per migliorare i sistemi EDR, consolidando, allo stesso tempo, la sicurezza aziendale a livello globale.

Compila il form per avere maggiori informazioni su N-able 

Scopri i prodotti N-able
Scopri i prodotti N-able

Articolo originale: How to develop a successful threat-hunting program –  autore Emma Nistor

Traduzione e riadattamento da parte di CIPS Informatica - N-ABLE authorised distributor

© 2021 N‑able Solutions ULC and N‑able Technologies Ltd. All rights reserved.

This document is provided for informational purposes only and should not be relied upon as legal advice. N‑able makes no warranty, express or implied, or assumes any legal liability or responsibility for the accuracy, completeness, or usefulness of any information contained herein.

The N-ABLE, N-CENTRAL, and other N‑able trademarks and logos are the exclusive property of N‑able Solutions ULC and N‑able Technologies Ltd. and may be common law marks, are registered, or are pending registration with the U.S. Patent and Trademark Office and with other countries. All other trademarks mentioned herein are used for identification purposes only and are trademarks (and may be registered trademarks) of their respective companies.

Credits articolo
MENU
Torna in cima