Il Threat Hunting per gli MSP:: come superare gli ostacoli per un’implementazione di successo

Elaborare internamente un programma di ricerca delle minacce comporta una serie di sfide, tra cui:

1. Carenza di risorse umane dedicate alla ricerca delle minacce

Solo i più esperti “cacciatori” di minacce sono in grado di decidere quali analisi per il rilevamento proattivo automatizzare e come farlo, oltre a coordinare suggerimenti e domande. Poiché tali decisioni sono in costante evoluzione, occorre includere la ricerca continua delle minacce nei flussi di lavoro quotidiani per la sicurezza. Molte aziende aggiungono questa responsabilità all’elenco già infinito dei compiti assegnati agli analisti della sicurezza. Così, le attività di ricerca vengono svolte solo in base al tempo a disposizione e non sono abbastanza strutturate per definire, eseguire e applicare concetti e osservazioni.

Il servizio di ricerca delle minacce di WatchGuard vanta un know-how di spicco ed è in grado di ampliare incisivamente le capacità del team di sicurezza.

2. Flussi di lavoro poco strutturati per accelerare l'elaborazione

Stabilire flussi di lavoro strutturati e coerenti è un elemento fondamentale per garantirsi una ricerca delle minacce efficace. Nel caso di minacce ben organizzate e ricche di risorse, adottare un approccio non strutturato alle operazioni di ricerca riduce le possibilità di successo.

Il processo di ricerca delle minacce di WatchGuard segue una metodologia ben strutturata per sfruttare al meglio e a lungo termine tutto il valore della telemetria. Tale processo include gli strumenti e i flussi di lavoro che sfruttano, da un lato, la telemetria per rilevare le minacce non visibili e, dall'altro, i risultati di tali indagini per migliorare il rilevamento automatizzato, che si traduce in informazioni dettagliate per mitigare le minacce e ridurre la superficie di attacco.

3. Mancanza di visibilità

Che sia per funzionalità di ricerca, indagine o diagnosi, l'accesso a lungo termine alla telemetria è essenziale. Pertanto, la telemetria di tutti gli endpoint è indispensabile per il rilevamento e la risposta degli endpoint stessi. Gli agenti endpoint a basso impatto acquisiscono una telemetria solida, in modo da offrire una visibilità approfondita per favorire ricerche, indagine e risposte più veloci e accurate nel processo di protezione dalle minacce.

I dati telemetrici devono essere normalizzati in modo automatico, memorizzati su larga scala e accessibili per un'analisi immediata e coerente. Secondo il Ponemon Institute, nel 2021 il tempo medio necessario per individuare una violazione era pari a 212 giorni, mentre erano in media 75 i giorni richiesti per contenerla. I threat hunter devono condurre ricerche retrospettive su un minimo di 300 giorni; altrimenti, rischiano di essere attaccati alle spalle nelle loro indagini.

Per WatchGuard, 365 giorni di conservazione sono un must. I nostri threat hunter utilizzano la potente telemetria in tempo reale, godendo di una visibilità completa e sempre a portata di mano.

4. Mancanza di tecnologie, strumenti e intelligence sulle minacce aggiornati in tempo reale

Per essere efficaci, le soluzioni EDR devono disporre di una grande mole di dati telemetrici raccolti dagli endpoint, contestualizzati e correlati, per favorirne l'estrazione volta a ricercare eventuali segnali di attacco. Disporre di strumenti di ricerca che favoriscono un'analisi facile e veloce dei dati telemetrici è indispensabile, poiché consentono ai “cacciatori” di minacce di basarsi su entità, eventi e parametri con rapidità. In questo modo possono identificare i modelli di attacco, esaminare il flusso di attività negli endpoint e individuare così le minacce più tempestivamente.

Inoltre, un programma di ricerca delle minacce efficace deve basarsi sull'intelligence. La grande maggioranza delle aziende che esegue la ricerca delle minacce internamente oggi opera a livelli di maturità ridotti, poiché le attività di ricerca sono reattive e spesso basate sull'utilizzo di IoC noti. La vera ricerca delle minacce, invece, è una funzione proattiva e implica l’individuazione di comportamenti sconosciuti per rilevare e bloccare le minacce prima che causino danni. Affinché il loro lavoro sia efficace, i threat hunter devono disporre di intelligence di alta qualità, in tempo reale e contestualizzata.

La Unified Security Platform™ di WatchGuard arricchisce la telemetria sia con il nostro servizio Zero Trust per le applicazioni sia con un elevatissimo volume di intelligence sulle minacce, aggiornata in tempo reale, di alta qualità e contestualizzata.

5. Costi proibitivi e complessità

Le aziende sono sempre più consce di aver bisogno di ricercare minacce in continua evoluzione. Tuttavia, quelle che hanno tentato di elaborare internamente un programma di ricerca delle minacce ben sviluppato ne hanno presto ammesso la complessità e i costi, a causa dell'infrastruttura, degli strumenti, delle conoscenze, dell'intelligence sulle minacce e dei flussi di lavoro necessari.

Mantenere la coerenza delle prassi senza alcun supporto esterno può essere fuori dalla portata persino dei team di sicurezza più abili.

Scopri di più leggendo il nostro ultimo e-book “Your Threat Hunting Service Program Simplified With WatchGuard” e intraprendi un nuovo percorso di threat hunting con la sicurezza avanzata endpoint di WatchGuard.