Caccia alle minacce
La caccia alle minacce proattiva rappresenta un passaggio da misure di cybersecurity reattive a un atteggiamento più aggressivo, che cerca attivamente le minacce nascoste all'interno della rete di un'organizzazione prima che si manifestino in attacchi veri e propri.
- Uno studio del SANS Institute ha rilevato che le organizzazioni che si impegnano in attività regolari di threat hunting hanno registrato un miglioramento significativo nella loro capacità di rilevare e rispondere alle minacce.
- Secondo un'indagine di CrowdStrike, oltre il 60% delle organizzazioni considera la caccia alle minacce una componente necessaria della propria strategia di sicurezza, a testimonianza della sua crescente importanza nel panorama della cybersecurity.
Gli ambienti aziendali sono in continua evoluzione, vengono introdotti nuovi strumenti, rimossi quelli vecchi e vengono apportate modifiche alla configurazione per supportare i cambiamenti, che possono introdurre nuove vulnerabilità nell'ambiente. Esempi recenti sono la vulnerabilità CVE-2020-5902 di F5 che ha colpito l'interfaccia utente di gestione del traffico (TMUI) del BIG-IP di F5; questa porta non dovrebbe mai essere accessibile pubblicamente e dovrebbe richiedere agli utenti un'autenticazione sicura e una connessione alla LAN prima di potervi accedere. All'indirizzo Vectra AI abbiamo riscontrato casi in cui ciò non è avvenuto e la TMUI è stata accessibile e sfruttata.
Il 2020 ha portato un enorme spostamento del lavoro da remoto a causa del COVID-19 e ha fatto sì che i team operativi si affannassero a cercare di risolvere il problema:
- Sostenere questo nuovo ambiente di lavoro
- Proteggere gli utenti nel passaggio dall'ufficio alla casa.
Il supporto di questo tipo di passaggio, soprattutto per un'azienda non pronta a supportarlo, introduce una moltitudine di problemi di sicurezza.
In un cambiamento sismico come questo, l'obiettivo principale per l'azienda è garantire che le operazioni non vengano interrotte, il che lascia i team di sicurezza con meno influenza sull'implementazione e bloccati nel supporto di una soluzione non progettata con la sicurezza in mente. Senza un'adeguata supervisione, le vulnerabilità possono essere esposte e gli aggressori possono approfittarne.
Ci sono molti esempi del perché la caccia è importante, e i due di cui parliamo di seguito sottolineano la necessità di programmi di caccia.
Vediamo come i team di sicurezza possono sfruttare Vectra Detect e i metadati di rete per cercare comportamenti dannosi. Inoltre, sebbene in questo documento si faccia riferimento a Vectra Recall , le tecniche descritte per Vectra Recall possono essere facilmente implementate sfruttando i dati di Vectra Stream.
Perché il Threat Hunting è importante
La caccia alle minacce consiste nel dedicare del tempo alla ricerca approfondita delle idiosincrasie della propria rete.
L'obiettivo di una caccia alle minacce non è solo quello di trovare attori dannosi all'interno della rete che i rilevamenti guidati dal comportamento di Vectra non hanno necessariamente individuato o di trovare attività precursori. Si tratta anche di trovare attività di rete che non sono necessariamente dannose, ma che potrebbero violare la vostra postura di sicurezza o essere inutilmente insicure. In primo luogo, la caccia alle minacce è un'esperienza di apprendimento che aiuta a capire cosa sta accadendo sulla rete. Ciò dovrebbe semplificare le indagini future, poiché si ha già una comprensione di ciò che accade nella rete.
Come organizzazione, potreste voler documentare le vostre scoperte per condividere le conoscenze all'interno dell'azienda. Potreste decidere di dedicare una certa quantità di tempo ogni settimana o mese alla caccia alle minacce come team, con una discussione finale in cui il team discute di ciò che ha individuato e di ciò che ora sapete sulla vostra organizzazione che non sapevate prima. Potrebbe essere che c'è un server che esegue il backup di una serie di file su SMB all'una di notte ogni giorno, oppure che alcuni server in un Data Center inviano molti dati all'esterno sulla porta 46780 per un uso aziendale legittimo. Queste scoperte vi faranno risparmiare tempo in futuro, in quanto potrete rapidamente scartare ed escludere i casi d'uso noti e legittimi per concentrarvi su tutto ciò che è nuovo e preoccupante.
Caccia alle minacce con i metadati di rete
Dal punto di vista degli investigatori, le fonti principali di prova durante un'indagine sono due: le prove di endpoint e le prove di rete. Il modo migliore per descrivere la differenza tra queste due fonti è l'analogia con il furto d'auto. Ci sono diverse fasi, dal furto d'auto, al viaggio di piacere, fino alla conclusione, che potrebbe essere un incidente d'auto. Trovarsi sulla scena del crimine è fantastico, ma non basta per avere un quadro completo. Come ha fatto il ladro a trovare l'auto? Da dove sono venuti? Che strada ha fatto l'auto? L'unico modo per avere un quadro completo è combinare tutti gli elementi.
Mentre le prove di endpoint sono migliori per vedere il luogo iniziale della violazione, i dati di rete sono migliori per vedere il quadro completo e collegare i punti. Immaginate di essere in un elicottero che osserva il furto d'auto e di vedere come l'auto si muove nel traffico, lungo le strade e attraverso la città. Vedremo tutto e vedremo esattamente dove finisce.
Di seguito viene fornito un rapido riferimento ai metadati disponibili e agli attributi comuni per ogni flusso di metadati.
Il valore della caccia alle minacce
La caccia richiede tempo e c'è un motivo per cui la maggior parte delle organizzazioni la evita; dal punto di vista del manager è difficile approvare il tempo dell'analista quando non si ha la garanzia di un risultato. A nostro avviso, sono due le cose che di solito risultano da una caccia di successo.
1. La conoscenza
Ogni analista che trascorre del tempo in una caccia imparerà inevitabilmente dall'esperienza e avrà bisogno di ricercare e testare la propria teoria. Ciò significa che si sta esplorando un nuovo argomento, mentre si acquisisce una maggiore familiarità con l'uso della piattaforma Vectra AI , che può essere tradotta in tempo speso durante le indagini. Conosceranno la sintassi di Lucene, come impilare i dati con Visualize e i campi di metadati disponibili.
2. Comprensione dell'ambiente
Oltre a questa ricerca, i clienti potranno anche comprendere meglio il proprio ambiente, poiché ogni rete aziendale ha una serie specifica di politiche e strumenti che utilizza. La comprensione di ciò che è normale aiuterà a identificare ciò che è anormale. Se un analista dedica del tempo alla ricerca, aumenterà la sua capacità di comprensione che si tradurrà in efficienza.
Un risultato tangibile sarà un modello personalizzato, in modo che le conoscenze e la comprensione dell'ambiente possano essere applicate per creare un modello personalizzato su misura che funzioni per la vostra organizzazione. Ciò consentirà di abilitare i modelli personalizzati in Vectra Detect e di inserirli nel flusso di lavoro quotidiano degli analisti, aumentando la copertura degli attacchi e l'efficienza.
Nell'odierno ambiente dinamico delle minacce, la ricerca proattiva delle minacce non è solo vantaggiosa, ma è essenziale per mantenere solide difese di cybersecurity. Vectra AI Le nostre soluzioni avanzate consentono ai team di sicurezza di scoprire e affrontare in modo efficiente le minacce nascoste, migliorando la resilienza dell'organizzazione contro gli attacchi informatici. Contattateci oggi stesso per scoprire come possiamo supportare le vostre iniziative di threat hunting e rafforzare la vostra posizione di sicurezza.