HomeRisorseArticoliCybersecurityThreat Hunting vs. Threat Detection: qual è la differenza?
Cybersecurity

Threat Hunting vs. Threat Detection: qual è la differenza?

10 Febbraio 2022

Rilevamento delle minacce o caccia alle minacce?

Bella domanda.

Se anche tu ti sei mai posto questa domanda allora stai leggendo l’articolo giusto!  

Le aziende stanno diventando sempre più consapevoli dell’importanza che ricoprono le attività di Threat Hunting e Threat Detection perché hanno capito che prevenire è meglio che curare quando si tratta di proteggere il proprio business dalle minacce informatiche che incombono all’ordine del giorno.

È possibile riassumere il concetto così: agire prima che una minaccia possa diventare tale, consente di evitare di mettere a rischio la propria attività e quella dei propri clienti.

Bellissimo vero?

Forse sembra complicato ma in realtà è più semplice a farsi che a dirsi.

Gli attacchi informatici moderni sono progettati per aggirare i normali filtri di protezione utilizzati dalle tradizionali soluzioni di sicurezza e sono sempre più frequenti ma, soprattutto, sempre più sofisticati. I cosiddetti attacchi fileless, ovvero codici malevoli senza file, sono infatti quelli che vengono eseguiti con maggior successo e rendono l’identificazione della loro origine molto più complessa rispetto ai tradizionali attacchi.

Questo perché il loro rilevamento implica visibilità totale su ciò che accade nei sistemi e soprattutto la capacità di poter “viaggiare nel passato”.

Minacce di questo tipo potrebbero rimaner “nascoste” nella rete di un’azienda per mesi senza che vengano scoperte e, in effetti, non è raro che un attacco di questo tipo passi inosservato. Almeno finché non esplode, e inizia a fare danni ovviamente. 

Secondo una ricerca di Ponemon Institute, il tempo impiegato dalle aziende per rilevare e contenere un data breach è in media di 280 giorni. Questo significa che la visibilità sull’attività di analisi dovrebbe essere disponibile almeno per un anno per consentire di “tornare indietro nel tempo” e indagare sulle possibili minacce rimaste nascoste.

Il segreto per smascherare questo tipo di attacchi nelle fasi iniziali o prima ancora che si verifichino è quello di avere un approccio proattivo sia per prevenire attacchi informatici sia per consentire ai professionisti del settore di studiare le nuove tattiche usate dai cyber criminali.

Questo significa che, accanto alla tradizionale attività di Threat Detection (rilevamento delle minacce), oggigiorno è necessario e fondamentale affiancare l’attività di Threat Hunting (caccia alle minacce) in modo da garantire maggior protezione ai propri clienti.

Sebbene la prevenzione sia cosa buona e giusta, il rilevamento tempestivo delle minacce informatiche e la pronta reazione di risposta sono due carte essenziali del gioco per poter vincere la partita e ridurre il numero di potenziali attacchi.

Essenzialmente quattro sono le principali differenze tra i concetti di “caccia alle minacce” e “rilevamento delle minacce”, vediamole di seguito.

Threat Hunting e Threat Detection: quattro differenze principali

A volte le definizioni di Threat Hunting e Threat Detection generano confusione. Proviamo a fare un po’ di chiarezza per capire cosa è possibile fare per migliorare la strategia di sicurezza dei propri clienti.

Con Threat Hunting s’intende il processo attraverso il quale si ricercano i potenziali avversari prima che possano eseguire con successo un attacco. Si tratta di una componente del processo di Threat Detection che appunto ha lo scopo di identificare le minacce nella fase iniziale di un possibile attacco o compromissione.

Con il termine più ampio Threat Detection s’intende l’insieme di processi implementati al fine di identificare le minacce prima, durante o dopo che si verifichino.

Gli strumenti di ricerca preposti analizzano endpoint, applicazioni, dati e comportamento degli utenti.

Di seguito le principali differenze:

  1. la Threat Hunting è una tecnica proattiva che combina l’utilizzo di strumenti di sicurezza, analisi e intelligence sulle minacce con strumenti di analisi del comportamento umano. Chi va a caccia di minacce non aspetta di ricevere un alert in merito a schemi noti ma cerca invece di trovare indizi prima che si verifichi una compromissione di dati o prima che venga rilevato un binario sconosciuto e dannoso sugli endpoint;
  2. la Threat Hunting si “ispira” alla formulazione di nuove ipotesi in base a dei sospetti e quindi la strategia è quella di seguire indizi e idee piuttosto che verificare schemi già noti e conosciuti;
  3. l’attività di Threat Hunting può essere svolta solamente da analisti specializzati che si occupano di erogare proprio questo tipo di servizio facendo affidamento sulla propria conoscenza ed esperienza che si allinea alla mentalità tipica di un hacker. Il “cacciatore di minacce” agisce nella consapevolezza che la sicurezza del cliente è sempre in pericolo e si concentra a individuare qualsiasi tipo di indizio che consenta di identificare un potenziale attacco alla rete;
  4. la Threat Detection è un processo automatizzato e orientato a rilevare principalmente minacce note al contrario del processo descritto sopra che invece è flessibile e più “creativo”.

La soluzione?

Che la sicurezza non è cosa da prender sotto gamba ormai lo hanno capito tutti.

La questione cruciale rimane: come posso aumentare le difese dei miei clienti?

Come già detto il tradizionale antivirus ha fatto un po’ il suo tempo, ormai non basta più. Occorre affidarsi a soluzioni alternative e predittive. Soluzioni che possano mettere a tua disposizione diversi dati e permetterti di eseguire alcune delle analisi descritte sopra.

Hai mai sentito parlare di Malwarebytes?

Se vuoi scoprire perché questa soluzione potrebbe fare al caso tuo abbiamo preparato una sessione on demand per spiegarti tutto nei minimi dettagli:

Guarda il Webinar On Demand

Tratto da MSSP Alert

Autore
Gabriele Palumbo
Nasco a Bologna ma ho vissuto l’infanzia in Piemonte, l’adolescenza in Puglia e la maturità tra Umbria, Toscana, Puglia, Emilia-Romagna e Lombardia (e non è ancora finita). Ho avuto quindi modo di entrare in contatto con diversi ambienti e contesti sociali. Una formazione umanistica (Sociologia della devianza a Perugia e Relazioni Internazionali a Pisa), passione per la scrittura e decine di corsi sul mondo digital sono state ottime basi per entrare nel campo del marketing e della comunicazione. Nel 2015 pubblico il romanzo breve “Ci siamo solo persi di vista” e, a inizio 2019, pubblico la biografia della rock band “Ministri”, entrata in poche ore nei Top Sellers di Amazon. Un romanzo è in fase di scrittura. Terminati gli studi entro attivamente nel mondo della musica, organizzando svariati concerti e un festival, e della comunicazione digitale, gestendo la linea editoriale di blog e social e ricoprendo ruoli di copywriter e content editor. Nel 2017 entro nel collettivo Dischirotti. occupandomi dei contenuti web, mentre il 2018 mi vede prima nell’agenzia FLOOR concerti come booking agent per svariati artisti e poi in VOX concerti come direttore di produzione. Tornato a Bologna inizio a collaborare con l’etichetta discografica Manita Dischi come project manager e svolgo un tirocinio presso l’agenzia di marketing e comunicazione digitale Engine Lab, nel ruolo di content editor. Dal 2020 al 2023 ho collaborato, sia come editor che come contributor, con Fantastico.esclamativo, newsletter letteraria e rivista culturale creata da Alberto Guidetti de Lo Stato Sociale. Ogni due sabati invio “Capibara”, una newsletter che tratta di attualità e meme in un progetto che, occasionalmente, porto anche dal vivo sotto forma di Stand-Up. Attualmente ricopro il ruolo di Channel Marketing Manager in Achab, con particolare focus su contenuti editoriali, analytics, marketing automation e CMS.

Tag

Achab, BlackBerry, edr, sicurezza informatica, threat, Threat Detection, Threat Hunting

Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti

Tieniti aggiornato

Inserisci il tuo indirizzo e-mail per restare aggiornato su tutte le nostre iniziative

Copyright © Achab S.p.A. unipersonale Società soggetta a direzione e coordinamento da parte di Vortex Beteiligungs GmbH
Viale Monte Nero 4, 20135 Milano - Tel. +39 02 54108204
P.IVA e C.F. 11270660159 - Cap. Soc. € 60.000,00 - Registro Imprese Milano - REA 1453036 - PEC: achab@legalmail.it