Cos'è la ricerca delle minacce?

La ricerca delle minacce, nota anche come ricerca delle minacce informatiche, è un approccio proattivo per individuare le minacce precedentemente sconosciute o le minacce attuali per cui non è stato ancora trovato un rimedio all'interno di una rete aziendale.

A man sitting in front of his laptop against the evening window.

Perché la ricerca delle minacce è importante

La ricerca delle minacce è importante perché le minacce sofisticate possono oltrepassare la sicurezza informatica automatizzata. Sebbene gli strumenti di sicurezza automatizzata e gli analisti SOC (Security Operation Center) di livello 1 e 2 dovrebbero essere in grado di gestire circa l'80% delle minacce, è doveroso concentrarsi anche sul restante 20%. Esiste una maggiore probabilità che il restante 20% delle minacce includa minacce sofisticate che possono causare gravi danni. Avendo a disposizione tempo e risorse adeguate, le minacce saranno in grado di penetrare in qualsiasi rete e, in media, riusciranno ad eludere i sistemi di rilevamento fino a un massimo di 280 giorni. Una ricerca delle minacce efficace aiuta a diminuire il tempo che intercorre dall'intrusione al rilevamento, riducendo l'entità dei danni provocati dagli aggressori.

Gli aggressori si nascondono spesso per settimane o addirittura mesi prima di essere scoperti. Attendono con pazienza di sottrarre i dati e scoprire un numero sufficiente di informazioni o credenziali riservate per sbloccare un ulteriore accesso, ponendo le basi per una grave violazione dei dati. Quanti danni possono causare le potenziali minacce? Secondo il "Cost of a Data Breach Report 2020," una violazione dei dati costa a un'azienda in media quasi 4 milioni di dollari. Senza contare il fatto che i danni provocati da una violazione possono persistere per anni. Più lungo è il tempo che intercorre tra il malfunzionamento di un sistema e l'implementazione della risposta, maggiore è il costo che un'organizzazione deve sostenere.


Come funziona la ricerca delle minacce

Un programma di ricerca delle minacce efficace si basa sulla ricchezza dei dati presenti in un ambiente. In altre parole, un'organizzazione deve prima dotarsi di un sistema di sicurezza aziendale per la raccolta dei dati. Le informazioni acquisite da questo sistema forniscono indizi preziosi per coloro che si occupano di individuare le minacce.

I ricercatori delle minacce informatiche introducono il fattore umano nella sicurezza aziendale, integrando i sistemi automatizzati. Sono professionisti esperti della sicurezza IT che individuano, registrano, monitorano e neutralizzano le minacce prima che possano causare gravi problemi. Idealmente, sono analisti della sicurezza che provengono dal reparto IT di un'azienda di cui conoscono bene le operazioni, altre volte si tratta di analisti esterni.

L'arte della ricerca delle minacce individua le incognite dell'ambiente. Non si limita solo alle tradizionali tecnologie di rilevamento quali SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) e altre ancora. I ricercatori delle minacce esaminano accuratamente i dati di sicurezza. Ricercano il malware o gli aggressori nascosti e individuano i modelli o le attività sospette che un computer potrebbe non aver rilevato o che potrebbe avere erroneamente valutato come risolti. Inoltre, contribuiscono ad applicare le correzioni al sistema di sicurezza di un'azienda per evitare il ripetersi di un determinato tipo di attacco informatico.


Tipi di ricerca delle minacce

I ricercatori iniziano con un'ipotesi basata su dati di sicurezza o su un trigger. L'ipotesi o il trigger rappresentano l'opportunità per eseguire un'analisi più approfondita sui potenziali rischi. Inoltre, queste analisi approfondite delineano una ricerca strutturata, non strutturata e situazionale.

Ricerca strutturata

Una ricerca strutturata si basa su un indicatore di attacco (o IoA - Indicator of Attack) e su strategie, tecniche e procedure (o TTP - Tactics Techniques and Procedures) di un aggressore. Tutte le ricerche sono allineate e basate sulle TTP degli autori delle minacce. Pertanto, il ricercatore può di norma identificare un autore delle minacce ancor prima che l'aggressore possa causare dei danni all'ambiente. Questo tipo di ricerca utilizza il framework MITRE ATT&CK (Adversary Tactics Techniques and Common Knowledge) (link esterno a ibm.com) sfruttando sia il framework PRE-ATT&CK che quello aziendale.

Ricerca non strutturata

Una ricerca non strutturata viene avviata sulla base di un trigger, uno dei tanti indicatori di compromissione (o IoC, Indicators of Compromise). Questo trigger spesso spinge un ricercatore a individuare modelli di pre e post-rilevamento. Orientando il loro approccio, il ricercatore può eseguire una ricerca a ritroso fin quando la conservazione dei dati e gli attacchi precedentemente associati lo consentono.

Situazionale o basato sulle entità

Un'ipotesi situazionale deriva da una valutazione interna dei rischi di un'azienda o da un'analisi delle tendenze e delle vulnerabilità specifica per il proprio ambiente IT. Gli indizi orientati alle entità provengono dai dati di crowdsourcing relativi agli attacchi che, se esaminati, rivelano le TTP più recenti delle attuali minacce informatiche. Un ricercatore delle minacce può quindi individuare questi comportamenti specifici all'interno dell'ambiente.


Modelli di ricerca

Ricerca basata sull'intelligence

La ricerca basata sull'intelligence rappresenta un modello di ricerca  reattiva (link esterno a ibm.com) che utilizza gli IoC da fonti di intelligence sulle minacce. Da questo momento, la ricerca segue delle regole predefinite stabilite dal SIEM e dall'intelligence sulle minacce.

Le ricerche basate sull'intelligence possono utilizzare IoC, valori hash, indirizzi IP, nomi di dominio, reti o risorse host forniti da piattaforme di condivisione di intelligence come ad esempio i CERT (Computer Emergency Response Team). Un avviso automatizzato può essere esportato da queste piattaforme e immesso nel SIEM come STIX (Structured Threat Information eXpression) (link esterno a ibm.com) e TAXII (Trusted Automated eXchange of Intelligence Information) (link esterno a ibm.com). Una volta che il SIEM dispone dell'avviso basato su un IoC, il ricercatore delle minacce può esaminare l'attività sospetta prima e dopo l'avviso per individuare eventuali compromissioni nell'ambiente.

Ricerca delle ipotesi

La ricerca delle ipotesi è un modello di ricerca proattivo che utilizza una libreria di ricerca delle minacce. È allineata con il framework MITRE ATT&CK e utilizza i playbook di rilevamento globale per individuare i gruppi APT (Advanced Persistent Threat - minacce persistenti avanzate) e gli attacchi malware.

Le ricerche basate sulle ipotesi utilizzano gli IoA e le TTP degli aggressori. Il ricercatore identifica gli autori delle minacce in base all'ambiente, al dominio e al comportamento degli attacchi impiegati per creare un'ipotesi allineata al framework MITRE. Una volta individuato un comportamento, il ricercatore delle minacce monitora i modelli di attività per rilevare, identificare e isolare la minaccia. In questo modo, il ricercatore è in grado di individuare proattivamente gli autori delle minacce prima che possano arrecare danni a un ambiente.

Ricerca personalizzata

La ricerca personalizzata si basa sulle metodologie di ricerca di settore e sulla SA (Situational Awareness). Individua le anomalie negli strumenti SIEM ed EDR ed è personalizzabile a seconda dei requisiti del cliente.

Le ricerche personalizzate o situazionali si basano sui requisiti dei clienti oppure vengono eseguite in modo proattivo in base alle situazioni, come ad esempio problemi geopolitici e attacchi mirati. Queste attività di ricerca possono attingere sia a modelli di ricerca basati sull'intelligence che a modelli basati sulle ipotesi che utilizzano le informazioni IoA e IoC


Strumenti per la ricerca delle minacce

I ricercatori utilizzano i dati da strumenti di analytics della sicurezza, SIEM e MDR come base per una ricerca. Inoltre, possono utilizzare altri strumenti come gli analizzatori di pacchetti, per eseguire ricerche basate sulla rete. Tuttavia, l'utilizzo di strumenti SIEM e MDR richiede l'integrazione di tutte le fonti e gli strumenti principali in un ambiente. Questa integrazione garantisce che gli indizi IoA e IoC possano fornire un adeguato orientamento alla ricerca.


Qual è la differenza tra la ricerca delle minacce e l'intelligence sulle minacce?

L'intelligence sulle minacce è un dataset sulle intrusioni tentate o riuscite, generalmente raccolto e analizzato da sistemi di sicurezza automatizzati con machine learning e AI.

La ricerca delle minacce utilizza questa intelligence per eseguire una ricerca completa a livello di sistema per individuare l'eventuale presenza di utenti malintenzionati. In altri termini, la ricerca delle minacce inizia dove finisce l'intelligence sulle minacce. Oltremodo, una ricerca delle minacce efficace può rilevare le minacce che non sono state ancora individuate sul campo.

Inoltre, la ricerca delle minacce utilizza gli indicatori delle minacce come un indizio o un'ipotesi per una ricerca. Gli indicatori delle minacce sono le impronte digitali virtuali lasciate dal malware o da un aggressore, un indirizzo IP sospetto, e-mail di phishing o altre anomalie nel traffico di rete.


Altre soluzioni

Ricerca delle minacce informatiche

Migliora in modo significativo le percentuali di rilevamento e accelera il tempo necessario per individuare, analizzare e risolvere le minacce. Scopri come avviare il tuo programma di ricerca delle minacce informatiche.

Rilevamento e risposta gestiti

IBM Security MDR (Managed Detection and Response) fornisce una funzionalità di prevenzione, rilevamento e risposta alle minacce attiva 24 ore su 24, 7 giorni su 7 e pronta all'uso. I ricercatori proattivi delle minacce di IBM collaborano con le organizzazioni per contribuire a identificare i loro asset di maggior valore e le preoccupazioni maggiori.

SIEM (Security Information and Event Management)

Crea la tua base SIEM e sviluppa un programma completo che può essere esteso con il passare del tempo. Individua le minacce interne, monitora i dispositivi endpoint, proteggi il cloud e gestisci la conformità con IBM Security.

SOAR (Security Orchestration, Automation and Response)

Il rilevamento delle minacce è solo una parte dell'equazione di sicurezza. Inoltre, per migliorare il tuo SOC (Security Operations Center) è opportuno valutare la risposta intelligente agli incidenti e una singola piattaforma SOAR (Security Orchestration, Automation and Response) integrata con i servizi gestiti.

Offensive Security Services

Individua e correggi le vulnerabilità note e sconosciute di maggior criticità con X-Force® Red. Questo team autonomo di hacker esperti collabora con IBM per verificare il tuo livello di sicurezza e scoprire le vulnerabilità che gli utenti malintenzionati potrebbero utilizzare per un profitto personale.