Serie sulla ricerca delle minacce per MSP: ecco come non lasciarsi sfuggire l'opportunità
Nell'ambito delle operazioni di ricerca delle minacce, le attività che ne derivano possono essere troppo complesse o persino impossibili da condurre senza disporre dei dati, della tecnologia, dei processi e delle competenze necessarie.
Le operazioni di ricerca delle minacce possono essere suddivise in tre categorie principali:
- L’approccio basato sull'analisi. Se eseguito adottando metodi statistici, il processo effettivo di ricerca delle minacce comporta spesso l'esame degli outlier e analisi sistematiche per rilevare anomalie latenti o irregolarità che, secondo i dati di riferimento dell'ambiente, potrebbero essere dannose.
- L'approccio basato sulle ipotesi permette ai migliori threat hunter una maggiore creatività, per pensare come l'avversario. Ad esempio, sviluppare e testare teorie su dove e come un determinato aggressore potrebbe tentare di operare, muoversi nella rete e utilizzare tecniche Living off the Land, rimanendo invisibili fino al momento opportuno per attaccare.
- Infine, l'approccio basato sull'intelligence, il più comune, comporta l'uso di informazioni sulle minacce aggiornate in tempo reale, per cercare eventuali tracce di intrusione nei dati cronologici.
L'impiego dell'intelligence sulle minacce finalizzato alla loro ricerca non dovrebbe però limitarsi ai soli IoC (indicatori di compromissione). Ancora più importante per i threat hunter è un tipo di intelligence sulle minacce chiamato TTP (tattiche, tecniche e procedure). Si tratta essenzialmente di “schemi di attività o metodi associati a una minaccia o a un gruppo di minacce specifiche”.
Le TTP sono molto più difficili da alterare per un aggressore rispetto agli IoC. Gli avversari riutilizzano le proprie TTP da un attacco all'altro modificando i binari o l'infrastruttura di comando e controllo (C&C). Prendiamo l'indirizzo IP di un C&C: modificarlo è facilissimo. Modificare il protocollo di comunicazione utilizzato, invece, è molto più complesso, perché richiede un grosso lavoro di programmazione. Il framework MITRE ATT&CK cerca di mappare queste TTP in qualcosa di utilizzabile.
Il Servizio di Ricerca delle Minacce di WatchGuard come estensione del tuo team
Un approccio collaborativo e coordinato è la chiave per bloccare le violazioni odierne e fornire ai tuoi clienti il più elevato livello di sicurezza gestita senza interruzioni.
Il nostro Servizio di ricerca delle minacce, incluso in WatchGuard EDR e WatchGuard EPDR, offre uno strumento efficiente che consente di rilevare precocemente le tecniche Living off the Land più comuni, riducendo il tempo di permanenza e rafforzando le difese contro attacchi futuri.
I nostri partner possono ampliare rapidamente la propria gamma di servizi sfruttando i risultati del Servizio di ricerca delle minacce, convalidando gli IoA (indicatori di attacco) e rispondendo all’attacco.
Quando emerge un nuovo IoA, WatchGuard EDR e WatchGuard EPDR possono inviare una notifica immediata ai partner. Ogni indicatore viene fornito con un elenco di azioni raccomandate per bloccare, correggere ed evitare eventuali attacchi futuri, utilizzando le stesse TTP come punto di partenza per i partner.
In aggiunta, per consentire agli analisti di migliorare la produttività durante la convalida degli IoA identificati nelle console di gestione WatchGuard EDR e WatchGuard EPDR, ogni IoA è mappato al framework MITRE ATT&CK™ (una knowledge base delle tattiche e delle tecniche degli avversari accessibile ovunque e basata su casi reali).
Vuoi sapere di più sul Servizio di Ricerca delle Minacce? Scarica l’e-book “Servizio di Ricerca delle Minacce semplificato con WatchGuard” e muovi i primi passi nella Sicurezza Avanzata degli Endpoint di WatchGuard.
