Che cos’è il threat hunting?
Nessuna organizzazione può permettersi l’inazione passiva quando si tratta di cybersecurity. I cybercriminali sono ormai più astuti che mai e conducono sempre più attacchi avvalendosi di tecniche elusive coordinate da menti umane. Ecco perché la pratica del threat hunting è diventata fondamentale per proteggere le organizzazioni. Cercare e neutralizzare proattivamente le minacce prima che diventino un problema significa offrire alle organizzazioni maggiori possibilità di proteggersi dagli active adversary.
Informazioni sul Threat Hunting
Il Threat Hunting è una forma di cybersecurity dove i professionisti della sicurezza cercano proattivamente eventuali segni di attività potenzialmente dannose da parte di active adversary nella rete, nei sistemi, nelle applicazioni o nei dispositivi connessi. Per l’esecuzione del threat hunting viene generalmente applicata una combinazione di tecniche di sicurezza manuali e automatizzate. Ne sono esempi l'analisi dei dati di log per rilevare anomalie, l'esecuzione di scansioni di rete o l'utilizzo di feed di intelligence. Il principale obiettivo del threat hunting è rilevare e individuare rapidamente comportamenti potenzialmente dannosi che potrebbero non essere notati da altre forme di sicurezza.
Per molti versi, il threat hunting è analogo alla caccia vera e propria. Anziché attendere di essere raggiunti dal bersaglio, i threat hunter cercano attivamente possibili cybercriminali e attività dannose. Questi qualificatissimi professionisti della sicurezza lavorano spesso per Managed Security Service Provider (MSSP) o per un SOC (Security Operations Center) interno.
Perché è importante il threat hunting?
Dal sondaggio che abbiamo condotto su 3.000 professionisti IT in 14 paesi risulta che quasi un quarto (23%) delle organizzazioni abbia subito un attacco informatico da un active adversary nell'ultimo anno[1] - un dato preoccupante.
Gli attacchi di questa natura sono notoriamente difficili da rilevare, poiché i cybercriminali adattano al volo le proprie tecniche, tattiche e procedure (TTP) alla situazione del momento tramite operazioni hands-on-keyboard in tempo reale per reagire alle attività di difesa dei team di sicurezza IT e alle tecnologie di protezione, nonché per eludere il rilevamento.
Ciò dimostra che la tecnologia da sola non è più sufficiente a bloccare il 100% delle minacce. Il threat hunting risulta quindi essenziale per individuare e neutralizzare le minacce non rilevabili con mezzi tradizionali.
[1] Il panorama della cybersecurity 2023 - Sophos
Che relazione c’è tra l’MDR (Managed Detection and Response) e il Threat Hunting?
Il threat hunting e l’MDR (Managed Detection and Response) sembrano la stessa cosa, ma in realtà sono fondamentalmente diversi: il primo è spesso solo un componente di una strategia MDR completa.
L'ambito operativo dell’MDR è più ampio: si tratta di un approccio alla cybersecurity olistico e completamente esternalizzato, che implica il monitoraggio costante degli endpoint, della rete, della sicurezza sul cloud e delle identità degli utenti di un'organizzazione per individuare minacce e anomalie conosciute.
I servizi MDR si avvalgono di software di protezione che inviano avvisi e informazioni di sicurezza automatici ai professionisti della sicurezza. Tali avvisi vengono mappati sulle vulnerabilità note, per poi procedere all’escalation delle minacce rilevate in base a logiche e criteri specifici impostati dal professionista della sicurezza.
Il threat hunting può comunque essere esternalizzato (a un provider di MDR o a un MSSP) o condotto internamente dal SOC di un’organizzazione.
Per l’attività di threat hunting, il professionista della sicurezza setaccia attivamente i sistemi a caccia di minacce, anziché limitarsi a ricevere passivamente gli avvisi del software. Mentre l’MDR sfrutta il software e l’automazione per monitorare le minacce note, il threat hunting combina gli strumenti con l’intervento umano. Spesso, il threat hunter non è ben consapevole di cosa stia cacciando. Le attività di threat hunting possono essere basate su vulnerabilità note o sconosciute, comportamenti sospetti noti o sconosciuti oppure su semplici indizi, e sono condotte da professionisti della sicurezza altamente qualificati.
Un buon servizio MDR incorporerà il threat hunting come parte integrante del processo di rilevamento e risposta. Nel caso di Sophos MDR, i nostri analisti della sicurezza cercano proattivamente le minacce che riescono a superare i prodotti di sicurezza, per poi indagare sulla gravità di tali minacce e intraprendere azioni appropriate.

Come funziona il threat hunting?
I threat hunter esperti lavorano partendo dal presupposto che una potenziale minaccia abbia già evitato le difese di un’organizzazione e stia ora muovendosi in modo da penetrare nei sistemi. L'obiettivo finale del threat hunting è limitare il tempo di permanenza di un hacker nel sistema. Riducendo il tempo che intercorre tra la compromissione iniziale e il rilevamento effettivo, i threat hunter possono limitare i danni di un attacco e addirittura arrestarlo prima che possa prendere il sopravvento.
In gran parte dei casi, i threat hunter si focalizzano su due categorie di minacce:
- Attività di threat hunting con l’utilizzo di indizi: Una situazione nella quale il comportamento del cybercriminale ha attivato un avviso su uno o più livelli di difesa.
- Attività di threat hunting senza l’utilizzo di indizi: Una forma più proattiva di threat hunting che non dipende dall’attivazione di avvisi. Si tratta di un’attività di threat hunting assai diffusa contro le minacce sconosciute o zero-day.
Generalmente, le attività di threat hunting rivolte a minacce sconosciute e senza alcun indizio richiedono il massimo sforzo agli operatori umani e sono spesso quelle a più alto rischio di fallimento. A prescindere dal fatto che siano o meno basate su indizi, qualsiasi minaccia rilevata è sottoposta a valutazione, riceve una reazione e viene neutralizzata dalla squadra di threat hunting.
Durante un’attività di threat hunting, i team analizzano strumenti, tecniche e procedure (TTP) dei cybercriminali per determinare in che fase sia attualmente l’attacco e ottenere dati di intelligence. Una volta ottenute queste informazioni, viene intrapresa l’azione più appropriata per neutralizzare la minaccia, se richiesto.
Una strategia di threat hunting consta di cinque componenti chiave:
- Prevenzione. La disponibilità di tecnologie efficaci e correttamente configurate per la prevenzione delle violazioni dei dati, come la sicurezza degli endpoint, può impedire alla maggior parte degli hacker di infiltrarsi nella rete della tua organizzazione. Gli strumenti di prevenzione possono inoltre ridurre la quantità di avvisi di sicurezza generati ogni giorno o addirittura ogni ora. Con meno avvisi da gestire, il threat hunter è in grado di riconoscere in maniera più accurata i segnali delle minacce più gravi: gli attacchi elusivi e coordinati da menti umane.
- Raccolta di informazioni. Perché le attività di threat hunting abbiano successo, gli analisti della sicurezza devono attingere a dati di sicurezza avanzati dal tuo ambiente. A tal fine, alle organizzazioni servono sistemi di sicurezza e monitoraggio delle minacce che raccolgano costantemente dati sull'ambiente. La raccolta di dati fornisce preziosi indizi ai threat hunter, e permette loro di stabilire una linea di riferimento in base alla quale confrontare i comportamenti normali con quelli sospetti all'interno dell'ambiente. Senza il giusto volume di dati di buona qualità e di tipo adeguato, identificare in maniera accurata i potenziali indicatori di attacco è difficile per i threat hunter. Ma i dati senza contesto ostacolano il processo decisionale degli analisti nella determinazione di quanto un elemento costituisca una minaccia. Senza metadati pertinenti associati ai segnali, il threat hunter avrà difficoltà a stabilire se questi siano dannosi o innocui.
- Prioritizzazione. Il threat hunter utilizza i dati con il relativo contesto per decifrare i segnali più importanti e prendere poi decisioni informate. Per prevenire il sovraccarico di dati ed evitare che gli elementi che meriterebbero un’indagine più approfondita vengano ignorati, i threat hunter devono poter identificare con certezza gli avvisi più rilevanti. Più si è in grado di ridurre il tasso di informazioni non pertinenti mediante una combinazione tra automazione, intelligenza artificiale e informazioni contestuali provenienti esclusivamente dall’elemento che ha generato l’evento, maggiore sarà la pertinenza dei risultati. Ma anche con l’automazione, il processo è tutt’altro che semplice.
- Indagine. Quando un threat hunter ha isolato i segnali chiave, è il momento di aggiungere informazioni e confrontare una potenziale minaccia scoperta con diversi framework e modelli di settore, come il framework MITRE ATT&CK. L'obiettivo è creare una soglia di affidabilità in base alla quale decidere se il segnale indichi comportamenti dannosi o benigni.
- Azione. Una volta determinata da parte del threat hunter l’esistenza reale di una minaccia segnalata, devono accadere due cose. Innanzitutto, il problema immediato deve essere attenuato. In secondo luogo, la causa principale deve essere identificata e neutralizzata. A volte basta mettere in quarantena un computer o disconnetterlo dalla rete. Altre volte, il threat hunter deve indagare in maniera approfondita in una rete per espellere l’hacker e verificare che non possa riprovare. Ad esempio, il blocco e la rimozione del malware dai sistemi e la scomparsa dell’avviso che lo segnalava non significano necessariamente che l’hacker sia stato espulso dall’ambiente.
I threat hunter professionisti, che hanno visto migliaia di attacchi, sanno quando e dove approfondire le indagini. Cercano tracce di attività passate, presenti o future degli hacker che potrebbero avere un impatto sulla rete, le identificano e procedono alla loro neutralizzazione.
È preferibile esternalizzare il threat hunting o gestirlo internamente?
Che sia gestito internamente o esternalizzato a un vendor di servizi di sicurezza partner, il cuore del threat hunting è il SOC, o Security Operations Center.
Se la tua organizzazione sceglie di implementare e gestire il threat hunting autonomamente, deve disporre di un SOC dedicato. Un SOC è una funzione aziendale che si focalizza sul monitoraggio, sul rilevamento, sulle indagini e sulla risposta alle minacce informatiche migliorando nel contempo la postura di sicurezza complessiva della tua organizzazione. Gli analisti di sicurezza del tuo SOC fungono da “team di riferimento” quando si tratta di potenziali minacce e di tutto ciò che riguarda la cybersecurity.
Gestire le iniziative di threat hunting internamente presenta sia pro che contro. Scegliere di creare il proprio team di threat hunting interno significa dotare la propria organizzazione di una risorsa dedicata completamente focalizzata sulla sicurezza continua del proprio ambiente. Per le organizzazioni che hanno già creato un SOC e continuano a mantenerlo, una squadra di threat hunting può essere un'estensione naturale di quello che già stanno facendo. Un team interno conosce l'ambiente della tua organizzazione meglio di chiunque altro, il che spesso si traduce in tempi più rapidi per le attività di rilevamento e risposta alle minacce.
Le organizzazioni che non dispongono già di un SOC interno si troveranno invece ad affrontare diverse sfide. Una di quelle più impegnative per un'iniziativa di threat hunting interna è l’identificazione di professionisti della sicurezza dotati delle competenze ed esperienze richieste. Un'altra sfida fondamentale per le organizzazioni è trovare il giusto equilibrio tra competenze umane e strumenti di cybersecurity di supporto.
Le organizzazioni che scelgono l'esternalizzazione del threat hunting ottengono l’ulteriore vantaggio di poter disporre di un SOC (Security Operations Center) già esistente. Lavorando con un vendor di CyberSecurity-as-a-Service, avrai a disposizione un team più esteso di esperti analisti di sicurezza. Hanno migliaia di ore di esperienza nell’affrontare tutto quello che gli avversari possono lanciar loro contro. Sono inoltre in grado di sfruttare l’esperienza maturata sul campo affrontando gli attacchi al SOC di un’organizzazione per applicarla a tutti i clienti. Un altro vantaggio è la scalabilità: un team SOC esternalizzato può fornire supporto 24 ore su 24, 7 giorni su 7, alle aziende più grandi con più sedi e addirittura lavoratori remoti.
Quali sono alcuni degli strumenti di cybersecurity più comuni utilizzati dai threat hunter?
La visibilità è fondamentale per i threat hunter. Per poter fermare una minaccia informatica avanzata prima che possa apportare gravi danni, gli analisti devono poter rilevare tentativi di intrusione, accessi non autorizzati alla rete e altri comportamenti sospetti, proprio mentre stanno accadendo. È in questi casi che le tecnologie di cybersecurity supportano il threat hunter, fungendo da occhi e orecchie per la strategia di sicurezza. Questi strumenti possono aiutare un threat hunter a prendere decisioni circa gli approfondimenti richiesti su un sistema o una rete per trovare ulteriori prove di un incidente di sicurezza.
Soluzioni tecnologiche come la sicurezza endpoint next-gen e i firewall sono livelli di difesa critici, che contribuiscono al blocco degli attacchi avanzati e coordinati da menti umane.
Attualmente la maggior parte delle organizzazioni ha già implementato tali strumenti e li utilizza per raccogliere gran parte della telemetria grezza necessaria ai threat hunter per valutare i rischi e, se necessario, approfondire ulteriormente per trovare ulteriori informazioni.
Le soluzioni di sicurezza per endpoint, identità, e-mail e cloud e i firewall forniscono informazioni preziose che consentono ai threat hunter di rilevare, identificare e rispondere ad attacchi anche sofisticati.
Una volta ottenuta la visibilità, i threat hunter possono trarre approfondimenti pratici dalla telemetria di sicurezza. Questa è considerata una competenza specialistica. Il threat hunter utilizza i dati ottenuti dalla telemetria per prendere decisioni più rapide e informate su come procedere. Sebbene molte siano le tecnologie che generano avvisi di sicurezza e informazioni utili per gli analisti altamente qualificati, sfruttare al meglio tali informazioni è un'altra storia. È qui che entra in gioco il threat hunter altamente qualificato.
I threat hunter si avvalgono di strumenti di telemetria e software di sicurezza automatizzati per analizzare enormi volumi di dati. Basano la loro caccia sui dati raccolti da piattaforme MDR (Managed Detection and Response), soluzioni SIEM (Security Information and Event Management) e strumenti di analisi della sicurezza.
I threat hunter si avvalgono inoltre di piattaforme EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), che consentono loro di identificare rapidamente i comportamenti sospetti per investigarli a fondo. I software EDR forniscono input da tutti gli endpoint dell'ambiente. XDR, invece, raccoglie i segnali ricevuti dall’intero ambiente informatico, inclusi firewall e soluzioni per dispositivi mobili, e-mail e cloud security.
Chi sono i threat hunter e quali sono le loro capacità?
Il threat hunting è un’operazione estremamente complessa. Pertanto, gli individui focalizzati su questa attività possiedono una serie di abilità specifiche.
Un threat hunter di successo è caratterizzato da:
- Curiosità intellettuale: Cercare le minacce è spesso come cercare il proverbiale ago nel pagliaio. I threat hunter spesso passano giorni e giorni a individuare le minacce, utilizzando vari metodi per scovarle. Devono essere naturalmente curiosi e creativi per restare sulla traccia e risolvere i problemi.
- Grande esperienza in cybersecurity: il threat hunting è una delle attività di cybersecurity più avanzate. Per un threat hunter, è fondamentale disporre di precedenti esperienze nel settore della cybersecurity e conoscere approfonditamente i vettori di attacco più comuni.
- Conoscenza del panorama delle minacce: Un threat hunter deve restare aggiornato sulle ultime tendenze delle minacce, perché sono in continua evoluzione.
- Mentalità da hacker: Uno degli attributi chiave di un threat hunter di successo è saper pensare come un hacker.
- Capacità di scrittura tecnica: nell'ambito del processo di indagine, i threat hunter devono essere in grado di registrare tutti i risultati delle loro ricerche. Devono saper comunicare informazioni complesse alle parti interessate, che possono essere più o meno esperte dal punto di vista tecnico.
- Conoscenza del sistema operativo (SO) e della rete: Al di là dell'esperienza nel campo della cybersecurity, è essenziale anche una conoscenza operativa avanzata degli strumenti di rete e dei sistemi operativi più diffusi.
- Esperienza in programmazione/scripting: è richiesta per aiutare i threat hunter a compilare programmi, automatizzare attività, esaminare log e analizzare dati per poter svolgere le proprie indagini.
Purtroppo, i professionisti della sicurezza con queste competenze specifiche non abbondano sul mercato. E i threat hunter esperti non vengono via a poco. Molte organizzazioni si rivolgono a MDR o MSSP per assistenza nel threat hunting, perché hanno maggiori probabilità di disporre di personale con l’approfondita esperienza richiesta a un costo inferiore.
Quali passi posso fare per prepararmi a un programma di threat hunting?
La preparazione è la chiave del successo per qualsiasi iniziativa di cybersecurity, e il threat hunting non fa eccezione. Si tratti di lanciare un programma interno di threat hunting o di esternalizzare, l'ambiente della tua organizzazione deve essere all'altezza del compito. È fondamentale gettare le giuste basi prima di iniziare le attività di threat hunting.
Ecco cinque fasi per configurare la tua organizzazione in modo da avere successo con il threat hunting:
- Capire l’attuale grado di maturità delle tue SecOps. Mappare i processi rispetto a un modello di maturità di cybersecurity (come CMMC) è un ottimo modo per determinare il tuo livello di preparazione (o impreparazione) per il theat hunting. Potrebbe anche essere utile eseguire una valutazione del tuo profilo di sicurezza, per stabilire quanto potresti essere vulnerabile alle minacce.
- Decidere come svolgere il threat hunting Una volta determinato il tuo livello di maturità informatica, puoi decidere se gestire il threat hunting internamente, se affidarlo a terzi o se combinare di questi due approcci.
- Identificare eventuali lacune nelle tecnologie. Valuta gli strumenti che utilizzi al momento e identifica di cos’altro hai bisogno per svolgere il threat hunting in maniera ottimale. Quanto sono efficaci le tue tecnologie di prevenzione? Dispongono di o supportano funzionalità di threat hunting?
- Identificare eventuali lacune nelle competenze. Il threat hunting richiede competenze specialistiche. Se non sono disponibili internamente, puoi verificare l’esistenza di corsi di formazione che aiutino a sviluppare quelle di cui hai bisogno. Puoi anche collaborare con un fornitore esterno per estendere le potenzialità del tuo team.
- Sviluppare e implementare un piano di incident response. È essenziale che sia stato implementato un piano di incident response funzionale, per fare in modo che ogni risposta venga misurata e controllata. Un piano strategico di risposta ben strutturato e comprensibile, nonché semplice da implementare per tutte le persone coinvolte, riduce drasticamente l’impatto di un attacco sull’organizzazione.
Informazioni su Sophos Threat Hunting
Sophos Managed Detection and Response (MDR) offre diversi vantaggi rispetto a un programma interno di threat hunting. Il vantaggio più importante è spesso l’esperienza.
Il team Sophos MDR ha migliaia di ore di esperienza. È in grado di fornire supporto 24 ore su 24, 7 giorni su 7, a livello globale. Per discutere di come Sophos possa sostenere l’iniziativa di threat hunting della tua organizzazione
Argomento di sicurezza correlato: Quali sono i diversi tipi di cybercriminali?