Il cyber threat hunting analizza minacce che ancora non esistono

Nel settore della sicurezza informatica c’è una prassi che si sta cominciando a consolidare: il cyber threat hunting. Lo hanno spiegato alcuni ricercatori a DIFESA E SICUREZZA. Si tratta di un processo di ricerca attraverso i network per rilevare e isolare minacce avanzate, che riescono a evadere le soluzioni di sicurezza esistenti. Dai firewall ai sistemi di rilevamento delle intrusioni (IDS), È una concezione nuova di cybersecurity, rispetto a quanto avvenuto finora. A oggi, infatti, tradizionalmente si analizza una minaccia dopo che questa si è presentata ed è stata sventata. O in alternativa quando ha causato un cyber incident. “Di fatto – hanno sottolineato le fonti – si sta passando da un ambiente in cui prevale la reazione a un altro, basato sulla prevenzione”.

La “caccia alle minacce “è un metodo empirico che punta ad anticipare le mosse degli attori malevoli

È comunque un metodo empirico, hanno aggiunto i ricercatori. Si sviluppa su un processo manuale, in cui il security analyst passa al setaccio i dati e le informazioni in base alla sua conoscenza e familiarità del network. L’obiettivo è creare ipotesi di possibili minacce alternative e studiare come annientarle prima che si presentino. Come dice il termine esatto, cyber threat hunting, si va a caccia dei pericoli, invece di aspettare che si presentino. In pratica, spiegano gli hacker, si punta ad anticipare le mosse che attori malevoli potrebbero attuare contro i sistemi. Sia in relazione ad attacchi condotti con malware già esistenti sia con nuovi strumenti e tecniche (TTP).

Quali sono i concetti su cui si basa il procedimento

Per andare a “caccia” delle minacce informatiche si usano essenzialmente tre tipi di tecniche/tattiche. La prima è, come scrive anche Wikipedia, Analytics-Driven: si usano machine learning software e programmi che analizzano i comportamenti degli utenti e delle entità (UEBA), per informare l’analista sui potenziali rischi in arrivo. Si creano dei punteggi aggregati sui pericoli, che determinano poi le ipotesi da analizzare. Il secondo è Situational-Awareness Driven: si studiano gli assestment dei rischi aziendali e i trend di comportamento a livello impresa e dipendenti. Infine, ci sono gli Intelligence-Driven: questi nascono dai rapporti sulle minacce esistenti, sull’analisi dei malware e sulle scansioni legate alla vulnerabilità. Qui l’obiettivo è “predire” quali potrebbero essere le evoluzioni dei pericoli, che già si sono manifestati.

La strategia di analisi per prevenire prende sempre più piede. Anche grazie alle piattaforme già disponibili

La crescente pratica del cyber threat hunting ha determinato anche una omonima categoria di premio al Cybersecurity Excellence Award 2017. Ad aggiudicarsela è stata Sqrrl con la sua piattaforma ad hoc per la ricerca delle minacce informatiche. Non solo. In un sondaggio tra oltre 330 specialisti della cybersecurity, è emerso che quasi l’80% degli intervistati si è detto certo che la “caccia alle cyber minacce” diventerà una delle principali iniziative nel settore aziende quest’anno. Per gli esperti, infatti, le piattaforme come quella di Sqrrl facilitano notevolmente il lavoro delle organizzazioni di prevenzione dei rischi per i loro network. D’altronde, le stanno già adottando alcuni Security Operations Centers (SOC) con risultati più che soddisfacenti.