Gli ambienti aziendali sono in continua evoluzione, vengono introdotti nuovi strumenti, rimossi quelli vecchi e vengono apportate modifiche alla configurazione per supportare i cambiamenti, che possono introdurre nuove vulnerabilità nell'ambiente. Esempi recenti sono la vulnerabilità CVE-2020-5902 di F5 che ha colpito l'interfaccia utente di gestione del traffico (TMUI) del BIG-IP di F5; questa porta non dovrebbe mai essere accessibile pubblicamente e dovrebbe richiedere agli utenti un'autenticazione sicura e una connessione alla LAN prima di potervi accedere. Vectra AI ha riscontrato casi in cui ciò non è avvenuto e la TMUI è stata accessibile e sfruttata.
Il 2020 ha portato un enorme spostamento del lavoro da remoto a causa del COVID-19 e ha fatto sì che i team operativi si affannassero a cercare di risolvere il problema:
Il supporto di questo tipo di passaggio, soprattutto per un'azienda non pronta a supportarlo, introduce una moltitudine di problemi di sicurezza.
In un cambiamento sismico come questo, l'obiettivo principale per l'azienda è garantire che le operazioni non vengano interrotte, il che lascia i team di sicurezza con meno influenza sull'implementazione e bloccati nel supporto di una soluzione non progettata con la sicurezza in mente. Senza un'adeguata supervisione, le vulnerabilità possono essere esposte e gli aggressori possono approfittarne.
Ci sono molti esempi del perché la caccia è importante, e i due di cui parliamo di seguito sottolineano la necessità di programmi di caccia.
Analizziamo come i team di sicurezza possono sfruttare Vectra Detect e i metadati di rete per andare a caccia di comportamenti dannosi. Inoltre, anche se in questo documento facciamo riferimento a Vectra Recall , le tecniche descritte per Vectra Recall possono essere facilmente implementate sfruttando i dati di Vectra Stream.
La caccia alle minacce consiste nel dedicare del tempo alla ricerca approfondita delle idiosincrasie della propria rete.
L'obiettivo di una caccia alle minacce non è solo quello di trovare attori dannosi all'interno della rete che i rilevamenti guidati dal comportamento di Vectra non hanno necessariamente individuato o di trovare attività precursori. Si tratta anche di trovare attività di rete che non sono necessariamente dannose, ma che potrebbero violare la vostra postura di sicurezza o essere inutilmente insicure. In primo luogo, la caccia alle minacce è un'esperienza di apprendimento che aiuta a capire cosa sta accadendo sulla rete. Ciò dovrebbe semplificare le indagini future, poiché si ha già una comprensione di ciò che accade nella rete.
Come organizzazione, potreste voler documentare le vostre scoperte per condividere le conoscenze all'interno dell'azienda. Potreste decidere di dedicare una certa quantità di tempo ogni settimana o mese alla caccia alle minacce come team, con una discussione finale in cui il team discute di ciò che ha individuato e di ciò che ora sapete sulla vostra organizzazione che non sapevate prima. Potrebbe essere che c'è un server che esegue il backup di una serie di file su SMB all'una di notte ogni giorno, oppure che alcuni server in un Data Center inviano molti dati all'esterno sulla porta 46780 per un uso aziendale legittimo. Queste scoperte vi faranno risparmiare tempo in futuro, in quanto potrete rapidamente scartare ed escludere i casi d'uso noti e legittimi per concentrarvi su tutto ciò che è nuovo e preoccupante.
Dal punto di vista degli investigatori, le fonti principali di prova durante un'indagine sono due: le prove endpoint e le prove di rete. Il modo migliore per descrivere la differenza tra queste due fonti è l'analogia con il furto d'auto. Ci sono diverse fasi, dal furto d'auto, al viaggio di piacere, fino alla conclusione, che potrebbe essere un incidente d'auto. Trovarsi sulla scena del crimine è fantastico, ma non permette di avere un quadro completo. Come ha fatto il ladro a trovare l'auto? Da dove sono venuti? Che strada ha fatto l'auto? L'unico modo per avere un quadro completo è combinare tutti gli elementi.
Mentre le prove endpoint sono migliori per vedere il sito iniziale della violazione, i dati di rete sono migliori per vedere il quadro completo e collegare i punti. Immaginate di essere in un elicottero che osserva il furto d'auto e di vedere come l'auto si muove nel traffico, lungo le strade e attraverso la città. Vedremo tutto e vedremo esattamente dove finisce.
Di seguito viene fornito un rapido riferimento ai metadati disponibili e agli attributi comuni per ciascun flusso di metadati.
La caccia richiede tempo, e c'è un motivo per cui la maggior parte delle organizzazioni rifugge dalla caccia; dal punto di vista di un manager è difficile approvare il tempo dell'analista quando non si ha la garanzia di un risultato. A nostro avviso, sono due le cose che di solito risultano da una caccia di successo.
Ogni analista che trascorre del tempo in una caccia imparerà inevitabilmente dall'esperienza e avrà bisogno di ricercare e testare la propria teoria. Ciò significa che si sta esplorando un nuovo argomento mentre si acquisisce maggiore dimestichezza con l'uso della piattaforma Vectra AI , il che si può tradurre in tempo speso durante le indagini. Conosceranno la sintassi di Lucene, come impilare i dati con Visualize e i campi di metadati disponibili.
Oltre a questa ricerca, i clienti potranno anche comprendere meglio il proprio ambiente, poiché ogni rete aziendale ha una serie specifica di politiche e strumenti che utilizza. La comprensione di ciò che è normale aiuterà a identificare ciò che è anormale. Se un analista dedica del tempo alla ricerca, aumenterà la sua capacità di comprensione che si tradurrà in efficienza.
Un risultato tangibile sarà un modello personalizzato, in modo che le conoscenze e la comprensione dell'ambiente possano essere applicate per creare un modello personalizzato su misura che funzioni per la vostra organizzazione. Ciò consentirà di abilitare i modelli personalizzati in Vectra Detect e di inserirli nel flusso di lavoro quotidiano degli analisti, aumentando la copertura degli attacchi e l'efficienza.
Nell'odierno ambiente dinamico delle minacce, la caccia proattiva alle minacce non è solo vantaggiosa, ma è essenziale per mantenere solide difese di cybersecurity. Le soluzioni avanzate diVectra AI consentono ai team di sicurezza di scoprire e affrontare in modo efficiente le minacce nascoste, migliorando la resilienza della vostra organizzazione contro gli attacchi informatici. Contattateci oggi stesso per scoprire come possiamo supportare le vostre iniziative di threat hunting e rafforzare la vostra posizione di sicurezza.
La caccia alle minacce è la ricerca proattiva delle minacce informatiche che si annidano in una rete senza essere rilevate. A differenza delle misure di sicurezza tradizionali che si basano sugli avvisi, la caccia alle minacce prevede la ricerca attiva di indicatori di compromissione (IoC) per identificare le attività dannose.
La caccia alle minacce è fondamentale perché aiuta le organizzazioni a identificare e ridurre le minacce prima che causino danni. Consente ai team di sicurezza di essere sempre un passo avanti agli aggressori, scoprendo malware nascosti, minacce persistenti e minacce interne che eludono i metodi di rilevamento tradizionali.
Una caccia efficace alle minacce richiede una combinazione di competenze tecniche, tra cui la conoscenza dell'architettura di rete, dei principi di cybersecurity e la familiarità con le più recenti tecniche di attacco, oltre a capacità analitiche per interpretare i dati e identificare gli schemi di attività dannose.
Vectra AI facilita la caccia alle minacce fornendo funzionalità di rilevamento basate sull'intelligenza artificiale che identificano automaticamente i comportamenti indicativi di minacce avanzate. Ciò consente ai team di sicurezza di concentrare i propri sforzi sull'analisi dei rischi ad alta priorità, semplificando il processo di ricerca delle minacce.
Gli strumenti e le tecnologie comuni utilizzati per la caccia alle minacce includono sistemi SIEM (Security Information and Event Management), piattaforme EDR ( Endpoint Detection and Response), analisi avanzate e feed di threat intelligence per raccogliere e analizzare i dati da varie fonti.
Le organizzazioni possono sviluppare una strategia di threat hunting definendo obiettivi chiari, mettendo insieme un team di threat hunting competente, sfruttando soluzioni di sicurezza avanzate come Vectra AI e aggiornando continuamente la propria base di conoscenze con le ultime informazioni sulle minacce.
L'apprendimento automatico svolge un ruolo fondamentale nella caccia alle minacce, automatizzando il rilevamento di anomalie e schemi che possono indicare una minaccia, consentendo ai team di sicurezza di concentrarsi su analisi e indagini più approfondite sui rischi potenziali.
Mentre alcuni aspetti della caccia alle minacce possono essere automatizzati, come la raccolta dei dati e l'analisi preliminare, la natura complessa dell'identificazione e dell'interpretazione di sottili indicatori di compromissione richiede competenza e intuizione umana.
Le sfide includono la necessità di personale qualificato, la grande quantità di dati da analizzare, la distinzione tra falsi positivi e minacce reali e il continuo adattamento alle tattiche in evoluzione degli aggressori.
La caccia alle minacce migliora la postura complessiva della sicurezza identificando tempestivamente le vulnerabilità e le minacce, consentendo una mitigazione tempestiva, riducendo la superficie di attacco dell'organizzazione e migliorando l'efficacia delle misure di sicurezza esistenti.