A volte ci riferiamo a concetti senza conoscerne appieno il significato. Vediamo cosa significano reattivo, proattivo e caccia alle minacce nel contesto della maturità del Security Operation Center (SOC).
Modelli operativi SOC
Negli ultimi anni, le operazioni di sicurezza hanno acquisito importanza rappresentando la funzione che dovrebbe avere la responsabilità del rilevamento e della risposta in linea con gli obiettivi aziendali. Tuttavia, lavorando a stretto contatto con centinaia di clienti, ho osservato che il SOC non ha lo stesso significato per tutti. Ciò sembra dipendere dal modo in cui il centro operativo di sicurezza è stato avviato in un'organizzazione.
In alcuni casi, si tratta di raggruppare poche persone attorno a una tecnologia esistente con processi molto semplici. In questi casi, gli unici miglioramenti in fase di overtime si verificano sul fronte della tecnologia. In altri casi, le operazioni di sicurezza sono gestite da un partner, fornite come servizio e utilizzate dal personale interno addetto alla sicurezza per il follow-up e la risoluzione degli incidenti.
Esiste anche una combinazione di questi due modelli in un approccio ibrido a più livelli. Nell'approccio ibrido, il rilevamento iniziale e il triage degli avvisi vengono eseguiti da un'organizzazione esterna, mentre l'indagine più approfondita e la risposta sono di competenza di un team interno.
Capire quale sia l'approccio migliore esula dallo scopo di questo articolo e l'approccio più ottimale per voi deve essere considerato nel contesto della vostra specifica organizzazione.
È una questione di maturità
Un aspetto universalmente vero e applicabile a ogni organizzazione è il modo in cui le operazioni di sicurezza maturano nel tempo, il modo in cui tale maturità è guidata dagli obiettivi aziendali e il modo in cui viene monitorata. L'allineamento degli obiettivi aziendali è un aspetto fondamentale per ogni funzione di supporto di un'organizzazione. Ciò è ancora più vero per le operazioni di sicurezza, che sono in prima linea per ridurre i rischi aziendali.
Un altro aspetto fondamentale è il raggiungimento del giusto equilibrio tra persone, processi e tecnologia. La tecnologia è in genere la parte più semplice, perché si tratta semplicemente di acquisire hardware, software o servizi e di consumarne i risultati.
Le persone sono probabilmente la sfida più difficile da superare. La carenza di professionisti della cybersecurity competenti e ben qualificati non è un segreto e l'elevatissimo turnover degli analisti rappresenta un problema quotidiano per la gestione dei SOC.
I processi sono il collante che tiene tutto insieme. Possono avere un impatto positivo quando sono pienamente allineati con il business e forniscono agilità e coerenza. I processi devono includere metriche valide e accurate per valutare l'andamento del SOC rispetto agli indicatori di prestazione chiave e agli obiettivi aziendali.
Il raggiungimento di un equilibrio tra questi tre elementi si tradurrà in una buona maturità e, soprattutto, nella capacità di maturare più rapidamente.
React vs. hunt
I processi dovrebbero in parte definire e implementare un approccio investigativo proattivo che vada oltre il modello di rilevamento e reazione che raramente impara dagli incidenti.
L'approccio reattivo tende a cercare rapidamente una soluzione senza approfondire considerazioni più ampie. Le indagini proattive vanno oltre, ponendo sempre più domande per scoprire aspetti nascosti della minaccia, punti in comune tra più incidenti ed effetti secondari non associati all'incidente in esame.
Quando questo approccio diventa sistematico e tende a essere sempre più slegato da incidenti specifici, assume le caratteristiche di threat hunting. Nella caccia alle minacce, l'ambiente e i dati storici vengono ricercati alla ricerca di artefatti correlati alla minaccia.
La caccia alle minacce dovrebbe concentrarsi sui comportamenti degli aggressori sotto forma di TTP, metodologia e strumenti di attacco piuttosto che sugli indicatori atomici. Questo approccio avrà un impatto positivo sia sulla copertura delle minacce che sulla durata del rilevamento.
Non sto dicendo che gli hash dei file, gli indirizzi IP o i domini non siano utili. Possono essere un ottimo modo per individuare la portata di una violazione. Ma un approccio proattivo investe più tempo nella ricerca delle minacce per ottenere un risultato più duraturo.
La caccia alle minacce dovrebbe essere eseguita anche in combinazione con il MITRE ATT&CK MITRE. Come afferma Matt Bromiley del SANS Institute: "Associando la caccia alle minacce con gli obiettivi, le tecniche e le tattiche note degli attori delle minacce, iniziate a pensare alla caccia alle minacce non come a un'attività singola, ma piuttosto nel contesto di come un attaccante può raggiungere quell'obiettivo all'interno del vostro ambiente".
Un approccio scientifico
Un'altra differenza fondamentale tra threat hunting e threat detection risiede nei processi che li guidano. Il rilevamento delle minacce è un processo lineare in cui gli avvisi vengono generati, analizzati e, se pertinenti, viene avviata la fase di risposta.
D'altra parte, la caccia alle minacce rientra maggiormente nella metodologia scientifica che inizia con la formulazione di un'ipotesi. Poi comporta una ricerca, una valutazione dei risultati e il ritorno a ulteriori ricerche se i risultati non dimostrano l'ipotesi.
I metodi reattivi, proattivi e di caccia alle minacce apportano tutti un valore, ma a livelli diversi.
Un SOC maturo e di successo, che si allinea ai driver aziendali, è probabilmente passato attraverso l'esercizio di bilanciamento di persone, processi e componenti tecnologici. Allo stesso tempo, consente di passare da una modalità reattiva a una vera e propria caccia alle minacce basata su comportamenti e metodologie di attacco piuttosto che su artefatti utilizzati come possibili prove.
