Di recente ho avuto l'opportunità di incontrare René Kretzinger, senior threat hunter di Infoguard, per parlare della caccia alle minacce nel mondo reale. Ha condiviso il modo in cui utilizza la Vectra AI Platform nel suo lavoro quotidiano per scoprire le minacce, indagare sugli incidenti e colmare le lacune di visibilità. Di seguito sono riportati i punti chiave e gli esempi condivisi direttamente dalla sua esperienza sul campo.
Che cos'è il Threat Hunting? Il punto di vista di un professionista
La caccia alle minacce è un processo proattivo, basato su ipotesi, progettato per scoprire le minacce che i sistemi tradizionali basati su allarmi potrebbero non notare. Implica l'assunzione di un compromesso e la ricerca attiva di segnali del comportamento dell'avversario. Invece di aspettare un avviso, i cacciatori di minacce utilizzano le conoscenze contestuali, l'intuizione e gli indizi comportamentali per identificare attività anomale o dannose.
La caccia efficace alle minacce si basa sulla visibilità. Se non si può vedere, non si può cacciare. La telemetria della rete, degli endpoint, dei sistemi di identità e degli ambienti cloud è la base. È anche una mentalità: dovete pensare come un avversario mentre difendete il vostro ambiente.
Elementi costitutivi di una caccia alle minacce efficace
- Visibilità: Raccogliere dati su tutta la superficie di attacco: Registri DNS, registri SMB, traffico proxy, registri dei processi endpoint , record di autenticazione, attività USB, attività di identità e utilizzo cloud .
- Centralizzazione dei dati: Aggregare la telemetria in un unico luogo. I registri frammentati rallentano il rilevamento e riducono la precisione.
- Baselining: Stabilire i comportamenti "normali" per individuare più efficacemente le deviazioni.
- Conoscenza del TTP avversario: Studiare i playbook e gli strumenti di attacco del mondo reale per individuare il comportamento degli avversari.
Tipi di Threat Hunting ed esempi del mondo reale
1. Caccia di base
La ricerca della linea di base inizia con la comprensione di ciò che è tipico tra i sistemi, gli utenti e le applicazioni. Ciò potrebbe comportare la catalogazione di quanti strumenti di gestione remota sono previsti nell'ambiente e su quali sistemi. Quando le postazioni HR, che di solito non eseguono alcun RMM, ne mostrano dieci o più installati, si tratta di una forte deviazione dalla norma e di un potenziale segnale di uso improprio o di errata configurazione da parte di un insider.
Anche le attività pianificate offrono indizi. Ad esempio, un'attività trovata su una workstation non amministrativa che lancia script PowerShell durante l'orario di lavoro può indurre a indagare sull'automazione non autorizzata o sulla persistenza dell'aggressore.
Un altro esempio riguarda le estensioni del browser. Un'estensione dall'aspetto legittimo potrebbe essere installata su più endpoint, ma avvia connessioni alle API di Mega o Telegram, che sono destinazioni poco comuni per il traffico aziendale, evidenziando problemi di esposizione dei dati.
2. Caccia al TTP dell'attore pericoloso
Questo approccio prevede una caccia basata su tattiche, tecniche e procedure (TTP) note degli aggressori. Ad esempio, quando i gruppi di ransomware o altri attori delle minacce rendono noti i loro strumenti o le loro tecniche, questi indicatori possono essere utilizzati per cercare attività simili all'interno di un ambiente. Strumenti come Rclone o Mimikatz vengono spesso rinominati dagli aggressori, ma il loro comportamento a riga di comando rimane invariato. La ricerca in base agli argomenti della riga di comando aiuta a rilevare questi strumenti anche quando sono offuscati.
3. Caccia all'esfiltrazione
Le cacce focalizzate sull'esfiltrazione cercano segni che indicano che i dati vengono messi in scena e trasferiti fuori dall'ambiente. In un caso, un processo con nome ChatGPT situato in una cartella di Firefox è stato osservato mentre trasferiva i dati delle password e dei cookie di Firefox all'API di Telegram. In un altro caso, sono stati creati file ZIP prima che un utente si connettesse a un servizio di cloud storage, il che indica una possibile messa in scena e il contrabbando di dati sensibili.
Queste attività sono spesso subdole. Gli aggressori possono distribuire i caricamenti nel tempo per simulare il comportamento regolare degli utenti ed evitare il rilevamento. Le connessioni a canali di esfiltrazione noti come le piattaforme di archiviazione cloud , le API di messaggistica o persino i trasferimenti di e-mail da riga di comando via SMTP sono segnali di interesse.
4. Caccia basata su Exploit/CVE
La caccia basata su CVE recenti consiste nel verificare se gli aggressori stanno sfruttando attivamente le vulnerabilità appena divulgate. Ad esempio, dopo la divulgazione di una CVE che riguardava i sistemi SAP, i cacciatori di minacce hanno cercato segni di sfruttamento, come l'implementazione di web shell o il movimento laterale iniziato dopo l'esposizione di RDP.
Questo tipo di caccia comprende l'esame dei registri alla ricerca di sequenze di attacco note o catene di esecuzione di comandi in seguito a tentativi di sfruttamento.
5. Caccia basata sulla conformità
La caccia alla conformità garantisce l'allineamento dei controlli di sicurezza a standard come HIPAA, PCI-DSS o ISO. I cacciatori di minacce verificano la presenza di violazioni quali:
- Aprire le condivisioni SMB contenenti informazioni sensibili.
- Memorizzazione delle credenziali in chiaro in file Excel o di testo.
- Uso non autorizzato di unità USB per il trasferimento di dati. Inoltre, gli strumenti collocati in cartelle non monitorate (ad esempio, C:´temp, C:´pictures) ed esclusi dalle scansioni di sicurezza possono essere sfruttati dagli attori delle minacce per persistere o evadere. La presenza di tali strumenti è spesso correlata alla non conformità e a un rischio elevato.
6. Caccia basata su credenziali e identità
La caccia alle credenziali spesso inizia con le credenziali trapelate trovate nei dati delle violazioni o sulle piattaforme del dark web. I cacciatori di minacce risalgono alle credenziali e alle attività degli utenti all'interno dell'organizzazione. In alcuni casi, le estensioni del browser che rubano le credenziali o gli adware in bundle con i programmi gratuiti sono stati collegati all'esfiltrazione delle password.
Anche comportamenti come accessi inaspettati da IP stranieri o eventi MFA che comportano tecniche di aggiramento come EvilGinx, destano sospetti. Ad esempio, è stato osservato un utente con sede in Svizzera che ha effettuato l'accesso dagli Stati Uniti senza un contesto di viaggio valido, il che indica un dirottamento di sessione.
Come Vectra AI fa la differenza nella caccia alle minacce
1. Visibilità unificata tra rete, identità e Cloud
Vectra AI riunisce in un'unica piattaforma la telemetria del traffico di rete, l'identità degli utenti e l'attività cloud . Poiché le reti moderne comprendono infrastrutture on-premise, campus, uffici remoti, data center cloud , identità cloud , SaaS, IoT e sistemi OT, questo approccio olistico elimina la necessità di spostarsi tra strumenti isolati. Consente ai cacciatori di minacce di monitorare l'intera superficie di attacco in un unico luogo, una capacità essenziale per gli ambienti ibridi di oggi.
2. L'esclusiva visibilità della rete espone l'intera portata degli attacchi
Nel caso di un cliente, l'esfiltrazione lenta e furtiva si è verificata nell'arco di sei mesi attraverso un host che non disponeva di un agente EDR. Poiché non era disponibile la telemetria endpoint , l'esfiltrazione non è stata rilevata fino all'implementazione di Vectra AI . Grazie alla sua esclusiva analisi dei metadati di rete, Vectra AI ha rivelato il modello di traffico in uscita coerente verso un servizio di cloud storage, scoprendo sia la tattica che la sua durata. Questo dimostra come Vectra AI colmi le lacune di visibilità che altri strumenti potrebbero non cogliere.
3. Accelerazione dell'indagine grazie al chiarimento delle attività e degli utenti
Vectra AI arricchisce la telemetria grezza con una mappatura contestuale degli IP dei dispositivi e degli ID delle sessioni a utenti e risorse nominati. Nei casi di furto di credenziali o di anomalie di identità (ad esempio, elusione dell'MFA o accessi sospetti), questo ha permesso di determinare rapidamente quale utente fosse coinvolto e a quali sistemi avesse avuto accesso. René ha sottolineato come questa chiarezza abbia ridotto i tempi di indagine e aiutato a isolare i sistemi interessati senza ritardi.
4. Rivelazione delle violazioni della conformità
Durante le ricerche basate sulla conformità, Vectra AI ha rilevato attività come connessioni RDP non autorizzate, l'uso di memorie USB non autorizzate e condivisioni SMB aperte contenenti dati sensibili. Questi risultati hanno fornito prove concrete di violazioni delle policy e hanno contribuito a informare la preparazione alla conformità per framework come PCI DSS e HIPAA.
5. Esperienza di indagine semplice e intuitiva
Vectra AI offre ai cacciatori di minacce l'accesso diretto alle ricerche salvate e alle query curate sviluppate dagli esperti di sicurezza. René ha sottolineato la facilità con cui è stato possibile passare da un rilevamento all'altro, approfondire gli avvisi, visualizzare gli attacchi multidominio e ricostruire le tempistiche utilizzando la piattaformaVectra AI . L'accesso semplificato agli approfondimenti ha consentito una caccia efficiente e mirata in tutti gli ambienti.
Per iniziare: Le migliori pratiche per la caccia alle minacce
- Iniziate con la visibilità: Assicuratevi di avere i dati della rete, degli endpoint, del cloud e delle fonti di identità in un unico posto.
- Comportamento normale di base: Capire come funzionano di solito gli utenti e i sistemi.
- Cacce regolari a tema: Strutturare le ricerche su casi d'uso specifici o scenari di minaccia su base mensile o trimestrale. Potete anche sfruttare le ricerche salvate di Vectra AI e le ricerche suggerite da esperti per dare il via alla vostra caccia alle minacce.
- Automatizzare dove possibile: Creare regole di rilevamento per modelli ricorrenti, come le installazioni di nuovi strumenti RMM.
- Utilizzare i rapporti e le piattaforme CTI: Sfruttare i feed di informazioni sulle minacce e i report per costruire nuove ipotesi di caccia.
Pensieri finali
La caccia alle minacce consiste nel conoscere il proprio ambiente abbastanza bene da riconoscere ciò che non è appropriato. Vectra AI trasforma questo processo offrendo visibilità su tutte le superfici di attacco, arricchendo i dati con un contesto comportamentale e collegando il tutto.
Iniziare in piccolo. Scegliete un caso d'uso. Correlate ciò che trovate. Con Vectra AI, la prima caccia può essere la prima vittoria.
Siete pronti a vedere la Vectra AI Platform in azione?
Guardate la demo e scoprite come facciamo la differenza nelle vostre indagini e nella caccia alle minacce.