Cos'è l'individuazione delle minacce?
L'individuazione delle minacce informatiche (nota anche come cyberthreat hunting) è un approccio proattivo per identificare minacce precedentemente sconosciute, o minacce attuali non ancora risolte, all'interno della rete di un'organizzazione.
Un uomo seduto davanti al suo laptop accanto alla finestra di sera
Perché l'individuazione delle minacce è importante

L'individuazione delle minacce è importante in quanto le minacce più sofisticate potrebbero superare le soluzioni di sicurezza informatica automatizzata. Sebbene la sicurezza informatica automatizzata e gli analisti dei centri operativi di sicurezza (SOC) di livello 1 e 2 dovrebbero essere in grado di gestire circa l'80% delle minacce, devi comunque preoccuparti del restante 20%. È probabile che questo restante 20% includa minacce sofisticate capaci di causare danni significativi. Con tempo e risorse sufficienti, potrebbero irrompere in qualsiasi rete e non essere individuate in media fino a 280 giorni. Un'efficace individuazione delle minacce aiuta a ridurre il tempo dall'intrusione alla scoperta, riducendo la quantità di danni causati dagli aggressori.

Gli aggressori si possono spesso nascondere per settimane o addirittura mesi prima di essere scoperti. Aspettano pazientemente al fine di raccogliere abbastanza dati, informazioni o credenziali riservate per poter ottenere ulteriore accesso, ponendo le basi per una significativa violazione dei dati. Quanti danni possono causare potenziali minacce? Secondo il "Cost of a Data Breach Report," una violazione dei dati costa in media a un'azienda quasi 4 milioni di dollari. Gli effetti malevoli di una violazione possono persistere per anni. Maggiore è il tempo che intercorre tra l'errore di sistema e la risposta implementata, maggiore è il costo per l'organizzazione.

Come funziona l'individuazione delle minacce?

Un efficace programma di individuazione delle minacce si basa sulla fertilità dei dati di un ambiente. In altre parole, l'organizzazione che lo adotta deve prima disporre di un sistema di sicurezza aziendale per la raccolta dei dati. Le informazioni raccolte forniscono preziosi indizi per i ricercatori di minacce.

I ricercatori di minacce informatiche (noti anche come threat hunter) portano l'elemento umano nella sicurezza aziendale, integrando i sistemi automatizzati. Sono professionisti esperti della sicurezza IT che ricercano, registrano, monitorano e neutralizzano le minacce prima che possano causare seri problemi. La figura ideale è un analista della sicurezza all'interno del reparto IT di un'azienda che ne conosca bene le operazioni, ma a volte si tratta di analisti esterni.

L'individuazione delle minacce è l'arte di individuare le incognite di un ambiente. Va oltre le tradizionali tecnologie di rilevamento, come SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) e altre. I ricercatori di minacce esaminano i dati della sicurezza. Cercano malware, aggressori nascosti e modelli di attività sospette che un computer potrebbe non notare o ritenere risolte. Aiutano anche a riparare le falle del sistema di sicurezza di un'azienda per prevenire il ripetersi di quel tipo di attacco informatico.

Tipologie di individuazione delle minacce

I ricercatori di minacce partono da un'ipotesi basata su dati di sicurezza o un fattore scatenante. L'ipotesi o il fattore scatenante servono da base per un'indagine più approfondita sui potenziali rischi. E queste indagini approfondite portano a una diversa tipologia di ricerca delle minacce: strutturata, non strutturata o situazionale.

Individuazione strutturata

L'individuazione strutturata si basa sull'indicatore di attacco (IoA) e su tattiche, tecniche e procedure (TTP) dell'attaccante. Le operazioni di individuazione si basano sui TTP dei malintenzionati dietro alla minaccia. Il ricercatore può pertanto identificare gli aggressori ancora prima che causino danni all'ambiente. Questo tipo di individuazione utilizza il framework MITRE ATT&CK (MITRE Adversary Tactics e Common Knowledge) (link esterno a ibm.com), utilizzando sia i framework PRE-ATT&CK che quelli aziendali.

Individuazione non strutturata

L'individuazione non strutturata viene avviata in presenza di un fattore scatenante, uno dei molti possibili IoC (indicatori di compromissione). Questo fattore spesso spinge il ricercatore a utilizzare modelli di pre e post-rilevamento. Guidando il proprio approccio, il ricercatore può effettuare ricerche nei limiti permessi dalla conservazione dei dati e dai reati precedentemente associati.

Situazionale o mosso da entità

Un'ipotesi situazionale deriva da una valutazione del rischio interna a un'azienda o da un'analisi di tendenze e vulnerabilità uniche di un determinato ambiente IT. I lead basati su entità provengono da dati di attacco crowd-sourced che, se esaminati, rivelano i più recenti TTP per affrontare le attuali minacce informatiche. Un ricercatore di minacce può quindi cercare questi specifici comportamenti all'interno dell'ambiente.

Modelli di individuazione
Individuazione basata su intelligence

L'individuazione basata su informazioni di intelligence è un modello di individuazione reattiva (link esterno a ibm.com) che utilizza IoC da fonti di threat intelligence. Partendo da queste, l'individuazione segue le regole predefinite stabilite dal SIEM e dalla threat intelligence.

Le individuazioni basate su intelligence possono utilizzare IoC, valori hash, indirizzi IP, nomi di dominio, reti o artefatti host forniti da piattaforme di condivisione dell'intelligence come i CERT (Computer Emergency Response Teams). Gli avvisi automatici di queste piattaforme possono essere esportati e immessi nel SIEM come STIX (Structured Threat Information Expression) (link esterno a ibm.com) o come TAXII (Trusted Automated Exchange of Intelligence Information) (link esterno a ibm.com). Una volta che il SIEM dispone di un avviso basato su un IoC, il ricercatore di minacce può indagare sull'attività dannosa prima e dopo l'avviso per identificare le compromissioni nell'ambiente.

Ricerca di ipotesi

La ricerca di ipotesi è un modello di individuazione delle minacce proattivo basato su una libreria. È allineato con il framework MITRE ATT&CK e utilizza dei playbook di rilevamento globale per identificare gruppi avanzati di minacce persistenti e attacchi malware.

La ricerca basata su ipotesi utilizza gli IoA e i TTP degli aggressori. Il ricercatore identifica gli attori della minaccia in base all'ambiente, al dominio e ai comportamenti di attacco impiegati per ottenere un'ipotesi allineata con il framework MITRE. Una volta identificato un comportamento, il ricercatore di minacce monitora i modelli di attività per rilevare, identificare e isolare la minaccia. In questo modo, il ricercatore può rilevare in modo proattivo gli attori delle minacce prima che possano danneggiare un ambiente.

Individuazione personalizzata

L'individuazione personalizzata si basa sulla consapevolezza situazionale e su metodologie di individuazione industry-based. Identifica le anomalie negli strumenti SIEM ed EDR ed è personalizzabile in base alle esigenze del cliente.

Le individuazioni personalizzate o situazionali si basano sui requisiti dei clienti oppure vengono eseguite in modo proattivo in base alla situazione, come nel caso di un problema geopolitico e di attacchi mirati. Queste attività di individuazione possono attingere a modelli di individuazione basati su informazioni e ipotesi utilizzando le informazioni IoA e IoC

Tecniche di individuazione delle minacce: guida rapida
Strumenti di individuazione delle minacce

I ricercatori utilizzano i dati di MDR, SIEM e altri strumenti di analytics della sicurezza come base per individuare le minacce. Possono anche utilizzare altri strumenti, come gli sniffer, per eseguire ricerche in una rete specifica. Tuttavia, l'utilizzo degli strumenti SIEM e MDR richiede l'integrazione di tutte le fonti e gli strumenti essenziali dell'ambiente. Questa integrazione garantisce che gli indizi IoA e IoC possano fornire alla ricerca di minacce la giusta direzione.

MDR (Managed Detection and Response)

MDR applica l'intelligence sulle minacce e la ricerca delle minacce proattiva per identificare e correggere le minacce avanzate. Questo tipo di soluzione di sicurezza può contribuire a ridurre il tempo necessario per identificare gli attacchi e offrire delle risposte veloci e decisive agli attacchi nella rete.

SIEM

Combinando SIM (Security Information Management) e SEM (Security Event Management), SIEM (Security Information and Event Management) offre un monitoraggio e un'analisi in tempo reale degli eventi e la traccia e la registrazione dei dati d sicurezza. SIEM può scoprire le anomalie nel comportamento degli utenti e altre irregolarità che forniscono indizi essenziali per un'indagine più approfondita.

Analytics di sicurezza

Gli analytics di sicurezza mirano a superare i sistemi SIEM di base per offrire insight più approfonditi sui dati di sicurezza. Combinando i big data raccolti dalle tecnologie di sicurezza grazie a machine learning e AI, più veloci, sofisticati e integrati, gli analytics di sicurezza possono accelerare le indagini sulle minacce fornendo dati di osservabilità dettagliati per l'individuazione delle minacce informatiche.

Qual è la differenza tra l'individuazione delle minacce e l'intelligence sulle minacce?

L'intelligence sulle minacce è un set di dati che documenta le intrusioni e i tentativi di intrusione, generalmente raccolti e analizzati da sistemi di sicurezza automatizzati con machine learning e intelligenza artificiale.

L'individuazione delle minacce utilizza questo intelligence per eseguire una ricerca approfondita dei malintenzionati a livello di sistema. In altre parole, l'individuazione delle minacce inizia dove finisce l'intelligence sulle minacce. Inoltre, una ricerca delle minacce di successo può identificare le minacce che non sono state ancora individuate sul campo.

Inoltre, l'individuazione delle minacce utilizza gli indicatori di minaccia come indizio o ipotesi di ricerca. Gli indicatori di minaccia sono impronte virtuali lasciate da malware o da un utente malintenzionato: uno strano indirizzo IP, e-mail di phishing o altro traffico di rete insolito.

Soluzioni correlate
Individuazione delle minacce informatiche

Migliora significativamente i tassi di identificazione e accelera i tempi per rilevare, indagare e rimediare alle minacce. Scopri come avviare il tuo programma di individuazione di minacce informatiche.

Esplora le soluzioni di individuazione delle minacce informatiche
Rilevamento e risposta gestiti

IBM Security MDR (Managed Detection and Response) offre una funzionalità pronta all'uso per la prevenzione, il rilevamento e la risposta alle minacce 24 ore su 24, 7 giorni su 7. I ricercatori di minacce di IBM collaborano con le organizzazioni per contribuire a identificare proattivamente i loro asset più appetibili (conosciuti come crown jewel assets, "i gioielli della corona") e le vulnerabilità critiche.

Passa a soluzioni proattive per le minacce
Informazioni sul SIEM (security information and event management)

Crea la tua base SIEM e sviluppa un programma completo pronto a essere ampliato con il passare del tempo. Identifica le minacce interne, traccia i dispositivi endpoint, proteggi il cloud e gestisci la conformità con IBM Security.

Esplora le soluzioni SIEM
SOAR (Security Orchestration, Automation and Response)

Il rilevamento delle minacce è solo metà dell'equazione della sicurezza. Per migliorare il tuo SOC (Security Operations Center), devi anche considerare una risposta intelligente agli incidenti e un'unica piattaforma SOAR (Security Orchestration, Automation and Response) integrata con i servizi gestiti.

Trova soluzioni SOAR efficaci
Servizi di sicurezza offensivi

Trova e correggi le tue vulnerabilità note e sconosciute più critiche con X-Force® Red. Questo team indipendente di hacker esperti lavora con IBM per testare la tua sicurezza e svelare le vulnerabilità che degli aggressori malintenzionati potrebbero sfruttare per il loro tornaconto.

Vai all'attacco con X-Force Red
Risorse Ultime notizie sull'individuazione delle minacce

Leggi gli articoli sull'individuazione delle minacce informatiche, tra cui l'intelligence sulle minacce, nuove tattiche e difese.

Raggiungere risultati strategici con un fornitore di servizi MDR

Che cos'è l'MDR e come puoi allineare il tuo team di sicurezza alle best practice? Scopri come un servizio MDR efficace aiuta le organizzazioni a raggiungere i propri obiettivi, inclusa l'individuazione mirata delle minacce.

X-Force Threat Intelligence Index

Comprendi i rischi di attacco informatico con una visione globale del panorama delle minacce

Il costo di una violazione dei dati

Il Cost of a Data Breach Report analizza gli impatti finanziari e le misure di sicurezza che possono aiutare la tua organizzazione a evitare una violazione dei dati o, nel caso se ne verificasse una, a ridurne i costi.

Dairy Gold

Scopri come Dairy Gold ha migliorato la sua posizione in materia di sicurezza quando ha implementato IBM® QRadar® per le sue capacità di integrazione e rilevamento e IBM BigFix per il rilevamento e la gestione degli endpoint.