Che cos'è l'individuazione delle minacce?

Autore

Matthew Kosinski

Staff Editor

IBM Think

Che cos'è l'individuazione delle minacce?

Il rilevamento delle minacce, noto anche come rilevamento delle minacce informatiche, è un approccio proattivo per identificare minacce informatiche precedentemente sconosciute o attualmente in corso all'interno della rete di un'organizzazione.

Il rilevamento delle minacce è importante perché aiuta le organizzazioni a rafforzare il proprio livello di sicurezza contro ransomware, minacce interne e altri attacchi informatici che altrimenti potrebbero passare inosservati.

Mentre gli strumenti di sicurezza automatizzati e gli analisti del Security Operations Center (SOC) possono rilevare la maggior parte delle minacce alla cybersecurity prima che causino danni gravi, alcune minacce sofisticate possono sfuggire a queste difese.

Quando un malintenzionato entra in un sistema, può nascondersi per settimane o addirittura mesi prima di essere scoperto. Secondo il report Cost of a Data Breach di IBM, ci vogliono in media 181 giorni per identificare che si è verificata una violazione dei dati. Nel frattempo, gli aggressori stanno sottraendo dati e rubando credenziali per sbloccare ulteriori accessi. 

Quanti danni possono fare queste potenziali minacce? Secondo il report Cost of a Data Breach, il costo medio di una violazione dei dati per un'azienda è di 4,88 milioni di dollari. Più lungo è il tempo tra l'accesso iniziale e il contenimento, più può costare a un'organizzazione.  

Un efficace rilevamento delle minacce implica che i team di sicurezza cerchino in modo proattivo queste minacce nascoste. Di conseguenza, le organizzazioni possono scoprire le intrusioni e implementare le misure di mitigazione molto più rapidamente, riducendo i danni che i criminali possono arrecare.

Newsletter di settore

Le ultime notizie nel campo della tecnologia, supportate dalle analisi degli esperti

Resta al passo con le tendenze più importanti e interessanti del settore relative ad AI, automazione, dati e altro con la newsletter Think. Leggi l'Informativa sulla privacy IBM.

Grazie per aver effettuato l'iscrizione!

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'Informativa sulla privacy IBM.

Come funziona il rilevamento delle minacce informatiche

I rilevatori di minacce sono professionisti esperti in cybersecurity. Di solito sono analisti della sicurezza all'interno del dipartimento IT di un'azienda che conoscono bene le operazioni dell'organizzazione, ma a volte sono analisti esterni. I team di rilevamento delle minacce utilizzano l'automazione per aiutare a cercare, registrare, monitorare e neutralizzare le minacce prima che possano causare problemi seri.

I programmi di rilevamento delle minacce si basano su dati—specificamente, sui set di dati raccolti dai sistemi di rilevamento delle minacce di un'organizzazione e da altre soluzioni di sicurezza aziendale.  

Durante il processo di rilevamento delle minacce, i rilevatori di minacce esaminano questi dati di sicurezza, alla ricerca di malware nascosto, aggressori invisibili e qualsiasi altro segnale di attività sospetta che i sistemi automatici potrebbero avere ignorato.  

Quando i rilevatori di minacce trovano qualcosa, entrano in azione, sradicando la minaccia e rafforzando le difese per assicurarsi che questa non si ripresenti.

Mixture of Experts | 28 agosto, episodio 70

Decoding AI: Weekly News Roundup

Unisciti al nostro gruppo di livello mondiale di ingegneri, ricercatori, leader di prodotto e molti altri mentre si fanno strada nell'enorme quantità di informazioni sull'AI per darti le ultime notizie e gli ultimi insight sull'argomento.
Guarda gli ultimi episodi del podcast

Tipi di rilevamento delle minacce

I cacciatori partono da un'ipotesi basata sulle loro osservazioni, sui dati di sicurezza o su qualche altro fattore scatenante. L'ipotesi serve da trampolino di lancio per un'indagine più approfondita sulle potenziali minacce.  

Le indagini assumono solitamente una di queste tre forme: rilevamento strutturato, rilevamento non strutturata o rilevamento situazionale.

Rilevamento strutturato

I framework formali, come il framework MITRE Adversary Tactics Techniques and Common Knowledge (ATT & CK), guidano i rilevamenti strutturati. Cercano indicatori di attacco definiti (IoA) e tattiche, tecniche e procedure (TTP) di noti attori delle minacce.  
Rilevamento non strutturato

Un rilevamento non strutturato è più reattivo di un rilevamento strutturato. Spesso è innescato dalla scoperta di un indicatore di compromissione (IoC) nel sistema di un'organizzazione. I rilevatori cercano quindi cosa ha causato l'IoC e se è ancora presente nella rete.
Rilevamento situazionale o basato su entità

Una caccia situazionale è una risposta alla situazione unica di un'organizzazione. È solitamente guidato dai risultati di una valutazione dei rischi interna o di un'analisi delle tendenze e delle vulnerabilità dell'ambiente IT.  

I rilevamenti basati su entità si concentrano in modo specifico su asset e sistemi critici in una rete. I rilevatori di minacce identificano le minacce informatiche che potrebbero rappresentare un rischio per queste entità e cercano segnali di compromissione continuativa.

Modelli di rilevamento

Rilevamento basato su intelligence

La caccia basata su Intel si basa sugli IoC provenienti da fonti di threat intelligence. I cacciatori di minacce utilizzano strumenti come i sistemi di gestione delle informazioni di sicurezza e degli eventi (SIEM) per monitorare gli IOC noti, come valori hash, indirizzi IP, nomi di dominio e artefatti dell'host. Quando vengono scoperti gli IOC, i cacciatori indagano su potenziali attività dannose esaminando lo stato della rete prima e dopo l'avviso.

Rilevamento basato su ipotesi

Il rilevamento basato su ipotesi è guidato dagli IoA noti registrati in framework come MITRE ATT&CK. Le ricerche basate su ipotesi esplorano se gli aggressori possono utilizzare determinati TTP per ottenere l'accesso a una particolare rete. Quando viene identificato un comportamento, i rilevatori di minacce possono monitorare i modelli di attività per rilevare, identificare e isolare eventuali minacce che utilizzano tale comportamento.  

Grazie alla loro natura proattiva, la caccia basata su ipotesi può aiutare a identificare e bloccare le minacce persistenti avanzate (APT) prima che causino danni ingenti.

Rilevamento personalizzato

Il rilevamento personalizzato si basa sul contesto dell'organizzazione: precedenti incidenti di sicurezza, problemi geopolitici, attacchi mirati, avvisi dai sistemi di sicurezza e altri fattori. I rilevamenti personalizzati possono combinare le qualità delle metodologie di rilevamento basate su informazioni e ipotesi.  

Strumenti di rilevamento delle minacce

I team di sicurezza utilizzano vari strumenti per assistere nella ricerca delle minacce. Alcuni dei più comuni includono:

Security Information and Event Management (SIEM)

SIEM è una soluzione di sicurezza che aiuta le organizzazioni a riconoscere e affrontare minacce e vulnerabilità prima che possano interrompere le operazioni di business. I SIEM possono aiutare a rilevare gli attacchi in anticipo e a ridurre il numero di falsi positivi su cui i cacciatori di minacce devono indagare.

Rilevamento e risposta degli endpoint (EDR) 

Rilevamento e risposta degli endpoint (EDR) è un software che utilizza l'analisi in tempo reale e l'automazione basata sull'AI per proteggere gli utenti finali, i dispositivi endpoint e gli asset IT di un'organizzazione dalle minacce informatiche che superano i tradizionali strumenti di endpoint security.

Managed Detection and Response (MDR) 

MDR è un servizio di cybersecurity che monitora, rileva e risponde alle minacce in tempo reale. Combina tecnologia avanzata e analisi esperte per promuovere il rilevamento proattivo delle minacce, consentire risposte efficaci agli incidenti e procedere rapidamente alla correzione delle minacce.

Analytics della sicurezza

Questi sistemi offrono informazioni più approfondite sui dati di sicurezza combinando i big data con sofisticati strumenti di apprendimento automatico e intelligenza artificiale. L'analisi della sicurezza può accelerare il rilevamento delle minacce informatiche fornendo dati di osservabilità dettagliati.

Rilevamento delle minacce e threat intelligence a confronto

La threat intelligence, chiamata anche "cyberthreat intelligence", consiste in informazioni dettagliate e fruibili che le organizzazioni possono utilizzare per prevenire e combattere le minacce alla cybersecurity.

La threat intelligence offre alle organizzazioni insight sia sulle minacce più recenti che prendono di mira le loro reti, sia sul più ampio landscape. 

I rilevatori di minacce utilizzano la threat intelligence per condurre ricerche approfondite a livello di sistema, alla ricerca di malintenzionati. In altre parole, il rilevamento delle minacce inizia dove finisce la threat intelligence, poiché trasforma gli insight della threat intelligence in azioni concrete, necessarie per sradicare le minacce esistenti e prevenire attacchi futuri.
Soluzioni correlate
Servizi di gestione delle minacce

Prevedi, previeni e reagisci alle minacce moderne aumentando la resilienza aziendale.

 

 Esplora i servizi di gestione delle minacce
Soluzioni di rilevamento e risposta alle minacce

Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.

 Esplora le soluzioni di rilevamento delle minacce
Soluzioni di difesa dalle minacce ai dispositivi mobili (Mobile threat defense, MTD)

Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.

 Esplora le soluzioni di difesa dalle minacce ai dispositivi mobili
Fai il passo successivo

Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.

 Esplora i servizi di gestione delle minacce Prenota un briefing sulle minacce