.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Durante la conferenza NorthSec 2026, François Labrèche, Principal Data Scientist di Sophos, ha presentato un intervento intitolato: "A Needle in a Haystack: Identifying an Infostealer Attack Through Trillions of Events in a Large-scale Modern SOC" ("Un ago in un pagliaio: identificare un attacco infostealer attraverso trilioni di eventi in un moderno SOC di grandi dimensioni").
Questa ricerca affronta uno dei maggiori problemi che oggi devono fronteggiare gli analisti dei Security Operations Center (SOC): la cosiddetta alert fatigue, ovvero il sovraccarico causato dall'enorme quantità di avvisi di sicurezza da analizzare, molti dei quali risultano irrilevanti o benigni.
Alcune ricerche precedenti hanno esplorato modalità per ridurre i falsi positivi e il rumore all'interno dei framework di alerting dei SOC, ma presentano due limitazioni persistenti, in contrasto con la realtà di un moderno SOC su larga scala:
- Gli approcci pubblicati si concentrano spesso sugli avvisi provenienti dagli Intrusion Detection System (IDS);
- La dimensione dei dataset utilizzati nelle ricerche precedenti non riflette adeguatamente quella di un SOC moderno di grandi dimensioni: i dataset analizzati variano infatti generalmente da 100.000 a 10 milioni di eventi o avvisi (esempi: 1, 2, 3, 4, 5, 6).
François ha quindi presentato un approccio alternativo e più realistico: una serie di framework di rilevamento e filtraggio multilivello, caratterizzati da una complessità crescente e progettati per intervenire sui diversi livelli della pipeline di gestione degli avvisi.
Per dimostrare come un approccio multilivello possa facilitare l'attività di threat hunting, François ha utilizzato una finestra temporale di due settimane di dati provenienti dalla telemetria Sophos, comprendente trilioni di eventi. Ha quindi combinato tecniche di deduplicazione degli alert, rilevatori basati su regole e modelli di machine learning, meccanismi di soppressione degli alert e un modello supervisionato di prioritizzazione degli avvisi basato su machine learning, ottenendo una drastica riduzione del rumore.
Grazie a questa significativa riduzione degli alert non rilevanti, François ha mostrato come sia possibile individuare con precisione un reale attacco infostealer nascosto all'interno di una mole enorme di dati.
Leggi tutto l’articolo: https://www.sophos.com/en-us/blog/a-needle-in-a-stack-of-needles-hunting-infostealers-with-ai