Cybersecurity

Threat Hunting vs. Threat Detection: qual è la differenza?

10 Febbraio 2022

Rilevamento delle minacce o caccia alle minacce?

Bella domanda.

Se anche tu ti sei mai posto questa domanda allora stai leggendo l’articolo giusto!  

Le aziende stanno diventando sempre più consapevoli dell’importanza che ricoprono le attività di Threat Hunting e Threat Detection perché hanno capito che prevenire è meglio che curare quando si tratta di proteggere il proprio business dalle minacce informatiche che incombono all’ordine del giorno.

È possibile riassumere il concetto così: agire prima che una minaccia possa diventare tale, consente di evitare di mettere a rischio la propria attività e quella dei propri clienti.

Bellissimo vero?

Forse sembra complicato ma in realtà è più semplice a farsi che a dirsi.

Gli attacchi informatici moderni sono progettati per aggirare i normali filtri di protezione utilizzati dalle tradizionali soluzioni di sicurezza e sono sempre più frequenti ma, soprattutto, sempre più sofisticati. I cosiddetti attacchi fileless, ovvero codici malevoli senza file, sono infatti quelli che vengono eseguiti con maggior successo e rendono l’identificazione della loro origine molto più complessa rispetto ai tradizionali attacchi.

Questo perché il loro rilevamento implica visibilità totale su ciò che accade nei sistemi e soprattutto la capacità di poter “viaggiare nel passato”.

Minacce di questo tipo potrebbero rimaner “nascoste” nella rete di un’azienda per mesi senza che vengano scoperte e, in effetti, non è raro che un attacco di questo tipo passi inosservato. Almeno finché non esplode, e inizia a fare danni ovviamente. 

Secondo una ricerca di Ponemon Institute, il tempo impiegato dalle aziende per rilevare e contenere un data breach è in media di 280 giorni. Questo significa che la visibilità sull’attività di analisi dovrebbe essere disponibile almeno per un anno per consentire di “tornare indietro nel tempo” e indagare sulle possibili minacce rimaste nascoste.

Il segreto per smascherare questo tipo di attacchi nelle fasi iniziali o prima ancora che si verifichino è quello di avere un approccio proattivo sia per prevenire attacchi informatici sia per consentire ai professionisti del settore di studiare le nuove tattiche usate dai cyber criminali.

Questo significa che, accanto alla tradizionale attività di Threat Detection (rilevamento delle minacce), oggigiorno è necessario e fondamentale affiancare l’attività di Threat Hunting (caccia alle minacce) in modo da garantire maggior protezione ai propri clienti.

Sebbene la prevenzione sia cosa buona e giusta, il rilevamento tempestivo delle minacce informatiche e la pronta reazione di risposta sono due carte essenziali del gioco per poter vincere la partita e ridurre il numero di potenziali attacchi.

Essenzialmente quattro sono le principali differenze tra i concetti di “caccia alle minacce” e “rilevamento delle minacce”, vediamole di seguito.

Threat Hunting e Threat Detection: quattro differenze principali

A volte le definizioni di Threat Hunting e Threat Detection generano confusione. Proviamo a fare un po’ di chiarezza per capire cosa è possibile fare per migliorare la strategia di sicurezza dei propri clienti.

Con Threat Hunting s’intende il processo attraverso il quale si ricercano i potenziali avversari prima che possano eseguire con successo un attacco. Si tratta di una componente del processo di Threat Detection che appunto ha lo scopo di identificare le minacce nella fase iniziale di un possibile attacco o compromissione.

Con il termine più ampio Threat Detection s’intende l’insieme di processi implementati al fine di identificare le minacce prima, durante o dopo che si verifichino.

Gli strumenti di ricerca preposti analizzano endpoint, applicazioni, dati e comportamento degli utenti.

Di seguito le principali differenze:

  1. la Threat Hunting è una tecnica proattiva che combina l’utilizzo di strumenti di sicurezza, analisi e intelligence sulle minacce con strumenti di analisi del comportamento umano. Chi va a caccia di minacce non aspetta di ricevere un alert in merito a schemi noti ma cerca invece di trovare indizi prima che si verifichi una compromissione di dati o prima che venga rilevato un binario sconosciuto e dannoso sugli endpoint;
  2. la Threat Hunting si “ispira” alla formulazione di nuove ipotesi in base a dei sospetti e quindi la strategia è quella di seguire indizi e idee piuttosto che verificare schemi già noti e conosciuti;
  3. l’attività di Threat Hunting può essere svolta solamente da analisti specializzati che si occupano di erogare proprio questo tipo di servizio facendo affidamento sulla propria conoscenza ed esperienza che si allinea alla mentalità tipica di un hacker. Il “cacciatore di minacce” agisce nella consapevolezza che la sicurezza del cliente è sempre in pericolo e si concentra a individuare qualsiasi tipo di indizio che consenta di identificare un potenziale attacco alla rete;
  4. la Threat Detection è un processo automatizzato e orientato a rilevare principalmente minacce note al contrario del processo descritto sopra che invece è flessibile e più “creativo”.

La soluzione?

Che la sicurezza non è cosa da prender sotto gamba ormai lo hanno capito tutti.

La questione cruciale rimane: come posso aumentare le difese dei miei clienti?

Come già detto il tradizionale antivirus ha fatto un po’ il suo tempo, ormai non basta più. Occorre affidarsi a soluzioni alternative e predittive. Soluzioni che possano mettere a tua disposizione diversi dati e permetterti di eseguire alcune delle analisi descritte sopra.

Hai mai sentito parlare di Cylance Protect e dell’EDR Cylance Optics?

Se vuoi scoprire perché questa soluzione potrebbe fare al caso tuo abbiamo preparato una sessione on demand per spiegarti tutto nei minimi dettagli:

Guarda il Webinar On Demand

Tratto da MSSP Alert

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti