Che cos'è la ricerca delle minacce?
La ricerca delle minacce è una funzione di sicurezza che combina metodologia proattiva, tecnologia innovativa e intelligence sulle minacce per individuare e bloccare le attività malevole.
Per le aziende che sono pronte ad adottare un approccio più proattivo alla sicurezza informatica, che tenti di fermare gli attacchi prima che diventino troppo profondi, l'aggiunta della ricerca delle minacce al loro programma di sicurezza è il passo logico successivo.
Dopo aver consolidato la sicurezza degli endpoint e le strategie di risposta agli incidenti per mitigare gli attacchi malware noti che oggi sono inevitabili, le organizzazioni possono passare all'offensiva. Sono pronte a scavare a fondo e trovare ciò che non è stato ancora rilevato: questo è esattamente lo scopo della ricerca delle minacce.
La ricerca delle minacce è una tattica aggressiva che parte dal presupposto della violazione: gli hacker sono già all'interno della rete di un'organizzazione e la stanno monitorando e percorrendo di nascosto. Questo può sembrare inverosimile, ma in realtà gli hacker possono rimanere all'interno di una rete per giorni, settimane o addirittura mesi, preparando ed eseguendo attacchi come le minacce persistenti avanzate, senza che alcuna difesa automatizzata rilevi la loro presenza. La ricerca delle minacce blocca questi attacchi cercando indicatori di compromissione (IOC) nascosti in modo che possano essere mitigati prima che gli attacchi raggiungano i loro obiettivi.
Minacce per il data center: trasformare l'accesso remoto in denaro
VMware ottiene la prima valutazione AAA del settore per il rilevamento e la risposta della rete da SE Labs
Gli elementi chiave della ricerca delle minacce
L'obiettivo della ricerca delle minacce è monitorare le attività quotidiane e il traffico nella rete e indagare su possibili anomalie per trovare attività malevole ancora da scoprire che potrebbero portare a una violazione completa. Per raggiungere questo livello di rilevamento precoce, la ricerca delle minacce incorpora quattro componenti ugualmente importanti:
Metodologia. Per avere successo nella ricerca delle minacce, le aziende devono impegnarsi in un approccio proattivo e a tempo pieno che sia continuo e in continua evoluzione. Una prospettiva reattiva e ad hoc in base al tempo a disposizione sarà controproducente e darà solo risultati minimi.
Tecnologia. La maggior parte delle aziende dispone già di soluzioni di sicurezza degli endpoint complete con rilevamento automatizzato. La ricerca delle minacce si aggiunge a queste ultime e aggiunge tecnologie avanzate per trovare anomalie, modelli insoliti e altre tracce di hacker che non dovrebbero trovarsi nei sistemi e nei file. Le nuove piattaforme di protezione degli endpoint (EPP) native per il cloud che sfruttano l'analisi dei Big Data possono acquisire e analizzare grandi volumi di dati degli endpoint non filtrati, mentre l'analisi comportamentale e l'intelligenza artificiale possono fornire una visibilità estesa e ad alta velocità sui comportamenti malevoli che all'inizio sembrano normali.
Personale dedicato e altamente qualificato. I ricercatori di minacce o analisti delle minacce alla sicurezza informatica sono una categoria a sé stante. Questi esperti non solo sanno come utilizzare la tecnologia di sicurezza menzionata, ma uniscono anche un'incessante aspirazione a passare all'offensiva con funzionalità forensi di risoluzione dei problemi intuitive per scoprire e mitigare le minacce nascoste.
Intelligence sulle minacce. L'accesso all'intelligence globale basata sull'evidenza di esperti di tutto il mondo migliora e accelera ulteriormente la ricerca di IOC già esistenti. I ricercatori sono aiutati da informazioni come le classificazioni degli attacchi per il malware e l'identificazione dei gruppi di minacce, nonché da indicatori avanzati delle minacce che possono aiutare a individuare gli IOC malevoli.
Lo studio del report sulla ricerca delle minacce 2018 di Crowd Research Partners conferma l'importanza di queste funzionalità di ricerca delle minacce. Quando è stato chiesto di classificare la funzionalità più importante, dal sondaggio è emerso quanto segue:
Il69% ha scelto l'intelligence sulle minacce
Il57% ha scelto l'analisi comportamentale
Il56% ha scelto il rilevamento automatico
Il54% ha scelto l'apprendimento automatico e l'analisi automatizzata
Profilo di un ricercatore di minacce produttivo
I ricercatori di minacce cercano gli hacker che passano inosservati, attraverso vulnerabilità di cui un'azienda potrebbe anche non essere a conoscenza. Questi hacker trascorrono una notevole quantità di tempo a pianificare ed eseguire attività di ricognizione, agendo solo quando sanno di poter penetrare con successo nella rete senza preavviso. Inoltre, installano e creano malware che non è stato ancora riconosciuto o utilizzano tecniche che non si basano affatto sul malware per creare una base persistente da cui far partire l'attacco.
Cosa serve per superare in astuzia anche gli hacker più furbi?
I ricercatori di minacce informatiche sono instancabili e sono in grado di trovare anche la più piccola traccia di ciò che gli hacker si lasciano alle spalle.
I ricercatori di minacce sfruttano le loro competenze approfondite per individuare i piccoli cambiamenti che si verificano quando gli hacker si spostano all'interno di un sistema o di un file.
I migliori ricercatori di minacce si affidano al proprio istinto per fiutare le mosse furtive dell'aggressore più nefasto.
Soluzioni e prodotti correlati
NSX Sandbox
Analisi completa del malware
Carbon Black Workload
Sicurezza avanzata specifica per i carichi di lavoro
VMware Carbon Black Endpoint
Protezione degli endpoint nativa per il cloud.