Il 65% dei Ciso fa fatica a determinare l’entità di un attacco, contenerlo e porvi rimedio, e questo nonostante le organizzazioni stiano migliorando le proprie difese, e siano più efficaci i metodi e gli strumenti per individuare le minacce e prevenire le violazioni. E’ questo il primo rilievo del report Cisco Ciso Benchmark Study 2019. Si tratta dell’ultimo studio sulla sicurezza condotto da Cisco. La particolarità di questa ricerca è che studia e analizza nel dettaglio la tecnica del Threat Hunter.
Si tratta di una tecnica proattiva che mira a scovare ed eliminare gli attacchi che sono riusciti a superare le barriere di sicurezza aziendali senza essere stati scoperti.
La differenza rispetto ai metodi tradizionali è che questa tecnica, proattiva, anche quando non viene rilevata una specifica minaccia, prevede l’identificazione dei punti deboli e delle policy da rafforzare con lo scopo di ridurre la superficie di attacco.
Entra nel dettaglio Stefano Vaninetti, security leader di Cisco Italia: “Identificare e sradicare le minacce nascoste nella rete aziendale, scoprire come sono entrate e prendere misure per prevenire futuri attacchi è un’aspetto fondamentale della sicurezza informatica. Il Threat Hunting, combinato con altre tecniche complementari, aiuta a rilevare le vulnerabilità, ridurre la superficie di attacco e rafforzare le policy”.
E’ evidente quindi la contrapposizione rispetto ai metodi di investigazione tradizionali, che vengono attivati solo dopo che è stata rilevata attività potenzialmente dannosa. Si tratta di un aspetto da non sottovalutare questo e rischioso.
Il report infatti evidenzia come spesso i criminali informatici abbiano a disposizione troppo tempo per agire. Si registrano campagne rimaste attive e passate inosservate anche per settimane, mesi o anni. Non mancano gli esempi.
Cisco ne cita tra i tanti uno individuato dalla propria divisione di cyber intelligence, Talos, e cioè Sea Turtle, attivo dal 2017 al 2019 questo attacco ha colpito 40 diverse realtà di 13 nazioni differenti dal Mediterraneo al Medio Oriente, causando il furto di nomi utente e password, ed è stato scoperto dalla divisione di cyber intelligence dell’azienda (Talos).
Sono gli stessi Ciso ad indicare i tempi di remediation come un parametro efficace per misurare la validità della protezione, con una percentuale in crescita (il 48% nel 2019 rispetto al 30% nel in 2018) rispetto ai tempi di applicazione delle patch e il tempo medio di rilevamento.
Come funziona però il Threat Hunting dal punto di vista tattico? Prima di tutto questa tecnica è sempre attiva ma a differenza di quelle di incident response e compromise assessment è attiva anche quando in azienda non sta proprio accadendo nulla.
Questo perché prevede l’investigazione di quanto accade “ad altri” anche in altri contesti di business e contestualizza l’investigazione nel proprio ambito aziendale. Per esempio si indaga su un furto di credenziali in altre organizzazioni (come è accaduto, cosa sarebbe successo nella propria azienda) o si eseguono analisi dopo il riscontro di una vulnerabilità generalizzata del software. Per farlo Cisco oltre al proprio servizio Talos aiuta le aziende con gli strumenti Cisco Threat Response, Cisco Threat Grid, Cisco Stealthwatch o Cisco Advanced Malware Protection for Endpoints.
Il metodo prevede un’accurata analisi dei log, ma anche la messa alla prova della propria teoria, l’aggiornamento sulle news di security, il filtraggio come attraverso un setaccio di tutti quelli che in rete sono comportamenti normali, per individuare le anomalie. L’automazione almeno di parte di questi processi fa parte essa stessa di un corretto approccio da Threat Hunter.
© RIPRODUZIONE RISERVATA
