Threat Hunting: un must per le aziende, un’opportunità per gli MSP

Oggi i cybercriminali si nascondono in ogni angolo di Internet, sempre pronti a colpire e alla ricerca costante di nuove tecniche per attaccare. Spesso i più abili non hanno bisogno di distribuire malware nelle prime fasi di un attacco, e possono utilizzare strumenti come componenti del sistema operativo, configurazioni errate o software installato per raggiungere i propri obiettivi.

Anche il rilevamento avanzato delle minacce, che tende a identificare gli attacchi dopo che sono già iniziati, può non essere sufficiente per proteggere le organizzazioni. Per costruire una difesa più solida serve un approccio più proattivo. Con il threat hunting (ricerca delle minacce), l’obiettivo è anticipare e prevenire gli attacchi analizzando reti, endpoint e dati per identificare attività sospette che potrebbero non essere rilevate dalle soluzioni esistenti.

I principali ostacoli al threat hunting “fai da te”

Sebbene le soluzioni tecnologiche restino importanti, il threat hunting richiede anche un approccio incentrato sull’uomo per essere efficace. Ciò consente a un’organizzazione di muoversi più velocemente rispetto alla minaccia, interrompendo spesso gli attacchi prima che inizino.

Tuttavia implementare un programma di threat hunting può essere difficile. Secondo un recente sondaggio sullo “stato dell’arte del threat hunting nelle aziende”, condotto da WatchGuard e Pulse su 100 leader IT in Nord America ed EMEA, oltre la metà delle organizzazioni indica i vincoli di budget e la mancanza di competenze di sicurezza informatica come due dei principali ostacoli per un threat hunting di successo. Di fronte a questi ostacoli, non sorprende che le organizzazioni stiano cercando fornitori di servizi gestiti (MSP) per occuparsi di threat hunting.

I benefici del threat hunting

Per gli MSP si tratta di una grande opportunità. Il threat hunting consente loro di aggiungere un enorme valore alle posizioni di sicurezza dei loro clienti. Tra i vantaggi che apporta emergono:

• Una risposta tempestiva alle minacce. Un approccio guidato dall’uomo aumenta l’efficacia di qualsiasi controllo tecnologico prima ancora che si verifichi una violazione.

• Tempi di indagine ridotti. Il threat hunting non solo intercetta le minacce che altrimenti potrebbero non essere rilevate per giorni, settimane, a volte anche mesi, ma riduce al minimo il tempo di permanenza nei sistemi della minaccia ed è fondamentale per interrompere in modo affidabile le violazioni.

• Migliori informazioni per i team di sicurezza. Se eseguito in modo efficace, un programma di threat hunting ben orchestrato fornisce ai team di sicurezza analisi di alto livello per ridurre i dati pertinenti necessari per stabilire le migliori pratiche e interrompere le minacce future.

• Miglioramenti nel ridurre al minimo la superficie di attacco e aumentare il rilevamento automatico. Il threat hunting può rilevare nuovi modelli, che a loro volta aiutano le organizzazioni a migliorare le capacità di rilevamento, evitando che le minacce possano nascondersi da qualche parte.

Per adottare correttamente il threat hunting, le organizzazioni, inclusi gli MSP, devono cambiare mentalità sulla sicurezza, andando oltre la prevenzione e la risposta agli incidenti verso un modello di risposta proattivo e continuo, partendo dal presupposto che le organizzazioni vengono compromesse e necessitano quindi di monitoraggio e correzione costanti.

La visibilità è il cuore del threat hunting

La visibilità è la spina dorsale di qualsiasi programma di threat hunting efficace. In qualsiasi momento, utenti ed endpoint producono preziose informazioni di telemetria su ciò che sta accadendo all’interno dell’organizzazione. Anche se la stragrande maggioranza di tale telemetria riguarda attività legittime, tecnologie avanzate come l’apprendimento automatico e l’analisi comportamentale possono rivelare comportamenti anomali che potrebbero essere segnali di attività sospette attivando un avviso di sicurezza. Questo processo si basa su analisi automatizzate e richiede tecnologie, processi e risorse specifici per essere eseguito correttamente.

Il threat hunting viene eseguito in tandem con questo flusso di lavoro. La funzione principale consiste nell’usare query nel data lake e strumenti specifici per ottenere informazioni dettagliate dalla telemetria per automatizzare nuove analisi deterministiche. Il threat hunting può anche applicare queste nuove analisi alla telemetria e contestualizzare i segnali deboli per snellire e semplificare l’identificazione degli attacchi effettivi.

Da “nice to have” a “must”: l’opportunità per gli MSP

Aggiungendo il threat hunting ai loro arsenali, gli MSP possono offrire ai propri clienti una protezione migliore e un rilevamento delle minacce più affidabile prima che si possa verificare qualsiasi danno, rafforzando le difese contro eventuali attacchi futuri.

Un tempo considerata come funzionalità “nice-to have”, oggi il threat hunting è sempre più un must per tutte le organizzazioni in tutti i settori. Vista la velocità con cui le minacce si diffondono, l’hunting non è più qualcosa da aggiungere alla lista dei desideri: deve essere visto come una capacità di ogni organizzazione per mantenere gli utenti e i dati al sicuro.

I risultati emersi dal sondaggio realizzato da WatchGuard e Pulse sono sintetizzati in questo ebook.

WatchGuard offre un servizio di threat hunting incluso nelle soluzioni di sicurezza avanzata degli endpoint. Maggiori informazioni si possono trovare qui.