Sempre più consapevoli dell’importanza di aumentare la capacità di rilevamento e ricerca, nelle aziende sta crescendo la popolarità dei servizi di Threat Hunting.
Di fronte al rilevamento di attacchi sempre più persistenti, con una durata superiore rispetto al passato è, di fatto, cresciuta la consapevolezza di come i criminali informatici hanno a disposizione diversi metodi per eludere le tradizionali misure di difesa.
Per questo motivo, oltre a individuare gli attacchi informatici, è sempre più vitale cercare di anticiparli, in modo che il gap di rilevamento sia ridotto il più possibile. Tuttavia, le aziende non dispongono sempre del budget, della tecnologia, dei processi e, soprattutto, di team di esperti necessari a questo tipo di attività e ciò rende impossibile per la maggior parte di esse, costruire e far crescere le proprie difese allo stesso ritmo con cui si evolve il crimine informatico.
Conoscere, identificare, isolare proattivamente
In questo ecosistema, il Threat Hunting si distingue come una delle tendenze più importanti degli ultimi anni nella cybersecurity aziendale. Ma per capire perché sia un aspetto così importante, è necessario comprendere esattamente di cosa si tratta.
Il Threat Hunting può essere definito come “il processo per rilevare e isolare attraverso la rete le minacce avanzate che eludono le soluzioni di sicurezza esistenti in modo proattivo e iterativo”.
A renderlo differente ci pensa la “proattività”, che distingue realmente il Threat Hunting dalle tradizionali misure di gestione delle minacce, come firewall, sistemi di rilevamento delle intrusioni (IDS), sandboxing e sistemi SIEM. Tutte queste misure rispondono a un concetto di Threat Detection e prevedono un’indagine in seguito a un potenziale attacco o a un problema di sicurezza.
Sono, quindi, misure reattive a fronte di policy/regole di ricerca note e pertanto non proattive. La proattività infatti è un elemento fondamentale nelle soluzioni avanzate di cybersecurity. Il cambio di messa a fuoco da EPP (Endpoint Protection) a EDR (Endpoint Detection and Response) implica una telemetria in tempo reale di estrema importanza per eseguire la ricerca di minacce.
Proattivi è meglio che reattivi
La caratteristica principale del Threat Hunting è l’approccio proattivo alle minacce. Ciò significa che non si tratta di una risposta agli incidenti, sebbene questo concetto sia connesso dato che dai risultati dell’indagine e dalle conclusioni è possibile stabilire nuovi indicatori di attacco o vulnerabilità.
Le misure di Threat Hunting esaminano ciò che gli strumenti tradizionali non riescono ad analizzare non sostituendo però altre strategie, come il rilevamento delle minacce.
Panda Security è l’unico vendor a includere gratuitamente un servizio di Threat Hunting già nelle soluzioni di base per la protezione degli endpoint, completamente trasparente per i clienti.
Panda Adaptive Defense Threat Hunting individua nuovi pattern di attacco utilizzando l’identificazione automatica delle anomalie nel comportamento di ogni utente, processo e macchina. I threat hunters conducono quindi le loro indagini, individuano la causa principale, ottengono una risposta immediata e utilizzano una strategia per ridurre con successo la superficie di attacco. Inoltre, ogni nuovo pattern rappresenta un comportamento di rilevamento delle minacce che può essere utilizzato per fermare i futuri hacker prima che possano causare danni, creando così un ciclo di apprendimento e rilevamento.
Più resilienti (non completamente immuni) agli attacchi
Questo mette fine alla cyber criminalità? In realtà, no, ma gli attacchi non saranno più redditizi a causa della grande difficoltà e costo e gli hacker passeranno a un altro obiettivo. Il Threat Hunting garantisce quindi alle aziende di distinguersi in termini di resilienza agli attacchi, potendo contare su un modello di sicurezza avanzata che permette di affrontare e bloccare i cyber attacchi ancora sconosciuti.