Scopri le minacce nascosteAdotta un programma di Threat Hunting efficace

CISCO CYBERSECURITY SERIES 2019 • THREAT HUNTINGAGOSTO 2019

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

2

Introduzione 3

Cosa accade in realtà 3

Meglio prevenire che curare 3

Da dove iniziare 3

Threat Hunting e 4

Risposta agli incidenti a confronto 4

Test di penetrazione 4

Gestione del rischio 4

Valutazione della compromissione 4

Le 5 domande chiave 5

Perché? 5

Chi 5

Quando 6

Cosa e dove 6

La piramide del dolore 7

Come cercare 8

Analisi dei log 8

Verifica di una teoria 8

Ricerca dell'origine 9

La conseguenza 11

Conclusioni 11

Strumenti per il Threat Hunting 12

Sommario

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

3

Introduzione

Forse è il momento di prendere in considerazione il Threat Hunting. Il Threat Hunting ci spinge ad andare oltre ciò che già conosciamo. I software di sicurezza segnalano solo i rischi e i comportamenti che sappiamo essere dannosi. Il Threat Hunting, invece, ci porta a navigare verso l'ignoto

È una pratica di sicurezza attiva che serve a trovare e sradicare gli hacker che sono riusciti a fare breccia nel nostro ambiente senza fare rumore. Questo approccio è in contrasto con le classiche verifiche e risposte agli avvisi generati dopo che è stata rilevata un'attività potenzialmente dannosa.

Cosa accade in realtàCerto questo scenario sembra poco realistico. Voglio dire, quando capita davvero di avere un pomeriggio libero? C'è sempre qualcos'altro da fare, giusto?

La verità è che, la maggior parte delle volte, il Threat Hunting non è un'attività che si svolge per ingannare il tempo. Non è neppure una delle fasi di una procedura di indagine in corso. Piuttosto, è un'attività da pianificare scientemente e da svolgere con regolarità per contribuire a rafforzare il livello di sicurezza. In sostanza, è un'altra arma che si aggiunge all'arsenale della sicurezza.

Quando il tuo programma è già fitto e ti ritrovi con un elenco infinito di cose da fare, aggiungere un'altra attività non è semplice. Eppure, riservare qualche ora di tempo al Threat Hunting può essere molto vantaggioso.

Meglio prevenire che curarePer cominciare, identificare e sradicare le minacce sconosciute e non rilevate è sempre una buona cosa. Anche quando non scopre una minaccia specifica, il Threat Hunting spesso identifica i punti deboli dell'ambiente, così è possibile consolidarli e impostare nuove policy. In definitiva, una regolare attività di Threat Hunting può ridurre notevolmente l'area di attacco a disposizione dei criminali informatici.

I dati raccolti durante una campagna di Threat Hunting offrono anche notevoli opportunità per accrescere il livello di sicurezza. Queste pratiche possono identificare aree dove mettere in atto misure di segnalazione dei comportamenti dannosi oppure dove sviluppare funzionalità di automazione per riprodurre più volte una particolare attività di Threat Hunting. A partire da questo punto, è possibile svolgere altri esercizi di Threat Hunting, sviluppando e ampliando protezioni e funzionalità.

Da dove iniziareL'obiettivo di questo documento è fornire una panoramica della disciplina del Threat Hunting. Esploreremo tutti i dettagli del Threat Hunting, spiegando perché vale la pena di attuarlo, quali sono le figure coinvolte, cosa e dove cercare, e quando.

Esistono diverse discipline che riguardano la sicurezza le cui attività si sovrappongono in parte al Threat Hunting. Noi le confronteremo e le contrapporremo, dimostrando che , sebbene simile ad altre attività, il Threat Hunting merita un posto nell'arsenale della sicurezza.

Sono le 13 e tutto procede normalmente. Sei un esperto del centro operativo di sicurezza, e dopo la pausa pranzo hai appena controllato se i dashboard del SIEM segnalano qualche avviso. Non noti nulla di anomalo che attiri la tua attenzione. La funzionalità di automazione introdotta di recente ha ridotto drasticamente il tempo necessario per eseguire questo controllo di sicurezza, quindi hai a disposizione del tempo che prima avresti dovuto destinare a questa attività. Come sfruttare questa opportunità?

Il Threat Hunting è un'attività da pianificare scientemente e da svolgere con regolarità per contribuire a rafforzare il livello di sicurezza.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

4

Infine, spiegheremo come creare campagne di Threat Hunting efficaci all'interno di un'azienda. Una degli aspetti più difficili da determinare è da dove partire. Per aiutarti, inizieremo con alcuni semplici passi utili per cominciare a sviluppare la tua strategia di Threat Hunting e rafforzare la sicurezza della tua azienda.

Per quanto riguarda le discipline di sicurezza, il Threat Hunting è una specialità relativamente giovane. Detto questo, esistono punti di contatto con altre pratiche relative alla sicurezza. Di fatto, molti di coloro che si stanno occupando di Threat Hunting hanno lavorato in questi ruoli nel corso della loro carriera. Di seguito riportiamo alcuni rapidi confronti con altre discipline.

Risposta agli incidenti

Questo è forse il ruolo più simile al Threat Hunting. Entrambe le discipline hanno direttamente a che fare con le minacce nell'ambiente. La differenza principale è che la risposta a un incidente è reattiva: sai che qualcosa è entrato in rete, o almeno ha tentato di farlo, perché hai ricevuto avvisi di sicurezza, hai osservato il comportamento della rete o degli endpoint o hai comunque altre prove. Al contrario, il Threat Hunting non presuppone necessariamente l'esistenza di prove. Piuttosto, invece di contenere e porre rimedio a un attacco in corso, presuppone una ricerca attiva.

Test di penetrazione

Il Threat Hunting presenta anche qualche similitudine con i test di penetrazione. Entrambi tentano di individuare i punti deboli in una rete. Tuttavia, i test di penetrazione in genere cercano problemi di configurazione o vulnerabilità note al fine di ottenere l'accesso a una rete o a dati sensibili. L'obiettivo del Threat Hunting non è necessariamente quello di accedere a qualcosa, ma piuttosto di identificare le minacce nascoste in un ambiente, sradicarle e impostare policy per prevenirle in futuro.

Gestione del rischio

L'idea alla base della gestione del rischio è determinare i punti deboli in una rete o nei sistemi, comprenderne la gravità, assegnare le priorità e quindi adottare le misure appropriate per correggerli. L'attività può comportare l'identificazione delle fonti delle minacce, e il Threat Hunting può contribuire a dare forma alla valutazione del rischio. Tuttavia, l'ambito di queste valutazioni è in genere molto più ampio rispetto al Threat Hunting, perché osservano tutti i rischi potenziali, noti e sconosciuti.

Valutazione della compromissione

Analogamente al Threat Hunting, la valutazione della compromissione si occupa di scoprire se la rete è stata violata da hacker sconosciuti. Tuttavia, si tratta di una pratica molto più estesa rispetto al Threat Hunting. Le valutazioni di compromissione prevedono l'installazione di diversi strumenti che analizzano la rete in generale cercando qualcosa di anomalo. Al contrario, il Threat Hunting inizia con un'idea o uno scenario specifico e mantiene l'attenzione su tale ambito.

Threat Hunting e

4

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

5

Quando si cerca di definire le attività di Threat Hunting da mettere in atto all'interno dell'azienda, capire da dove iniziare può essere difficile. Prendere in prestito le cinque domande chiave usate dai giornalisti può essere un buon modo per iniziare a pianificare il processo.

Perché?Gli investimenti iniziali nel rilevamento proattivo delle minacce possono rafforzare in modo significativo il livello di sicurezza di un'azienda. I criminali informatici esistono e sono bene organizzati, esperti e provvisti di risorse finanziarie. Se prendono di mira un'organizzazione, possono dedicare molto tempo a cercare un punto debole in cui fare breccia. Purtroppo, neppure i migliori strumenti di sicurezza riescono ad accorgersi di tutto. È qui che entra in gioco il Threat Hunting: il suo compito principale è trovare proprio questi tipi di hacker.

Le attività di Threat Hunting, inoltre, generano familiarità con strumenti e tecniche che saranno altrettanto importanti in caso di infezione o violazione in atto. Dal momento che molto probabilmente sarà il team responsabile della risposta agli incidenti a svolgere le attività di Threat Hunting, potrà affinare le proprie competenze e ridurre i tempi di risposta di fronte a un incidente reale. Potremmo parlare di esercitazioni in vista di un evento reale.

ChiFormare un team di Threat Hunting può essere deprimente quanto trovare un gruppo di supereroi da mandare a combattere per sconfiggere un nemico comune. In parte si tratta di mettere insieme persone con competenze ed esperienze diverse.

Se l'azienda è grande, il primo passo può essere semplicemente fare in modo che il tuo Tiger

Team dedichi qualche ora di lavoro al mese a pianificare e attuare una campagna di Threat Hunting svolgendo anche le necessarie attività di reporting. Se invece l'azienda è piccola e hai a disposizione solo un paio di persone (o magari solo una), il compito potrebbe non essere così facile. In questo caso la consulenza di un'organizzazione esterna potrebbe esserti utile. Questa scelta comporta vantaggi e svantaggi. Fra gli aspetti positivi, probabilmente entrerai in contatto con persone competenti in attività di Threat Hunting. Tuttavia, a differenza del personale interno, un team esterno non avrà familiarità con tutte le caratteristiche della tua rete.

A parte questo, per poter condurre adeguatamente una campagna di Threat Hunting, un team deve avere un mix di competenze fondamentali:

● Familiarità con la sicurezza di endpoint e reti

Non c'è bisogno di dirlo. Ti occorreranno membri esperti del team SOC o IT, che conoscano a fondo le questioni legate alla sicurezza e le procedure consigliate.

● Comprendere l'analisi dei dati

Spesso il Threat Hunting richiede di estrapolare modelli dai dati grezzi. La comprensione dell'analisi statistica contribuirà a identificare i modelli nei dati. La visualizzazione dei dati è altrettanto importante per individuare e condividere le anomalie riscontrate.

● Curiosità innata

Il Threat Hunting non è una pratica tanto semplice. A volte si può paragonare a un esercizio artistico. Richiede una certa predisposizione al pensiero creativo, che consenta di mettere in relazione elementi apparentemente scollegati, cercando di immaginare "cosa accadrebbe se..."

Le cinque domande chiave

Dal momento che molto probabilmente sarà il team responsabile della risposta agli incidenti a svolgere le attività di Threat Hunting, potrà affinare le proprie competenze e ridurre i tempi di risposta di fronte a un incidente reale.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

6

Il Threat Hunting è divertente, e questo è uno degli aspetti positivi per un professionista della sicurezza. Il Threat Hunting consente agli esperti SOC e IT di mettere da parte per un attimo la natura difensiva del loro ruolo per passare direttamente all'attacco. Un compito così attivo e ricco di soddisfazione può spesso migliorare la fidelizzazione degli esperti SOC, spingendoli a restare in un campo in cui il personale altamente qualificato può essere difficile da trovare e spesso tende a lasciare l'azienda.

QuandoIn definitiva, le ricerche di maggior successo sono quelle pianificate. È necessario impostare un ambito di ricerca, identificare obiettivi chiari e destinare del tempo alla parte pratica. Alla fine, sarà necessario valutare le varie fasi per migliorare il livello di sicurezza, definendo manuali di sicurezza per applicare i risultati e guardare avanti.

In altri casi potrebbe essere indicato mettere in atto una campagna di Threat Hunting anche quando si sospetta la presenza di un comportamento rischioso.

● Un particolare utente scarica molti più dati del normale in un determinato giorno?

● Un utente tenta di accedere a un sistema senza esserne autorizzato?

● Un amministratore sembra aver cancellato i suoi log dei comandi bash?

Molti di questi comportamenti potrebbero indicare che un criminale informatico ha compromesso un dispositivo; a questo punto sarebbe abbastanza ovvio partire da qui per avviare una campagna di Threat Hunting.

Infine, vi sono momenti in cui un'opportunità di Threat Hunting potrebbe presentarsi inaspettatamente. È mai successo che un nuovo caso di cybersecurity abbia catturato l'attenzione dei CIO e portato a controllare con

una e-mail o una telefonata se l'azienda fosse vulnerabile? La domanda è legittima, e disporre di una procedura per mettere in campo indagini di questo tipo può far risparmiare parecchio in termini di tempo e risorse.

Cosa e doveIn definitiva, i dati sono fondamentali per qualsiasi ricerca sulle minacce. Prima di mettere in atto qualsiasi attività di Threat Hunting, è necessario assicurarsi di aver abilitato registrazioni adeguate a svolgerla. Purtroppo infatti, se non si riesce a vedere cosa sta accadendo sui sistemi, non è possibile rispondere a tono.

Scegliere i sistemi da cui attingere dipenderà spesso dall'ambito della ricerca: un obiettivo potrebbero essere gli endpoint dell'ufficio finanze, un'altra ricerca potrebbe concentrarsi sui server web. In alcuni casi, potrebbe essere utile installare strumenti nell'ambiente per monitorare determinati tipi di traffico. I log estrapolati da questi sistemi temporanei verranno poi utilizzati nella ricerca.

Naturalmente, abilitare le registrazioni può riempire rapidamente le risorse di archiviazione e la raccolta dei log può facilmente incidere sul tempo a disposizione del team. Potrebbe essere necessario procurare risorse fisiche dove conservare i log e configurare semplici funzioni di automazione per archiviarli. Entro poco tempo, potrebbe essere necessario diventare selettivi sul numero di sistemi da configurare per la registrazione. L'utilizzo di strumenti come software di Security Information and Event Management (SIEM) può aiutare a rendere l'analisi dei log più facile e veloce.

Nei primi esercizi di Threat Hunting, il risultato potrebbe includere un elenco di domande senza risposta, sulla base dei log disponibili. Con il tempo sarà più facile capire di quali sistemi abilitare la registrazione, e a quale livello, al fine di ottenere i risultati desiderati.

Prima di mettere in atto qualsiasi attività di Threat Hunting, è necessario assicurarsi di aver abilitato registrazioni adeguate a svolgerla.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

7

Difficile

Problematico

Fastidioso

Semplice

Facile

Banale

David Blanco, ricercatore della sicurezza, si è inventato un approccio chiamato Piramide del dolore, che spiega come rendere la vita difficile ai criminali informatici quando attaccano la rete. Ciascuno dei sei livelli della piramide rappresenta diversi approcci, dal più semplice al più complesso.

Ad esempio, alla base della piramide ci sono gli hash. I file che contengono hash dannosi noti sono facili da rilevare, ma anche facili da rimpiazzare per un hacker. Lo stesso vale per gli indirizzi IP, con qualche difficoltà in più nella ricerca e anche, per gli hacker, nel rimpiazzo; si tratta di una parte più piccola della piramide. I domini sono un po' più difficili, gli artefatti di rete ancora più difficili e così via.

La pratica di Threat Hunting deve portare a scoprire le tattiche, le tecniche e le procedure

di un hacker (TTP). Questi sono gli aspetti più preziosi, perché un hacker riesce a rimpiazzarli con difficoltà. Spesso sono i più difficili e/o lunghi da identificare, soprattutto perché richiedono di confrontare i punti di dati provenienti da set diversi e di stabilire correlazioni dove a prima vista non ce ne sono.

Man mano che sali di livello nella piramide, il trucco sta nel costringere gli avversari a spendere più risorse per attaccare la rete, rendendo il loro compito più difficile e aumentando le probabilità che vengano scoperti. L'obiettivo finale della piramide del dolore è fare in modo che, seguendone i principi, la rete diventi tanto complessa da spingere i criminali informatici a cambiare obiettivo.

La piramide del dolore

TTP

Strumenti

Artefatti di rete/host

Nomi di dominio

Indirizzi IP

Valori hash

Fonte: David J. bianca, blog personale

Una pratica di Threat Hunting deve mirare a scoprire i TTP, le risorse più preziose e difficili da rimpiazzare per un hacker.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

8

Per quanto riguarda il come, esistono molti modi per affrontare una pratica di Threat Hunting. Le risorse e le competenze disponibili determineranno il livello di dettaglio della campagna.

Nella prossima sezione inizieremo a vedere metodi semplici e basilari per iniziare il Threat Hunting, per poi aumentare progressivamente il grado di complessità. L'idea alla base è che, dopo ogni pratica di Threat Hunting, si possa sfruttare ciò che si è appreso per migliorare progressivamente il livello di sicurezza. Definendo manuali, funzioni di automazione e modifiche alle policy, laddove necessario, sarà possibile passare a tecniche più avanzate.

Analisi dei log A volte, le attività di Threat Hunting più semplici derivano da ricerche o report su minacce di recente scoperta. Oggi è prassi comune includere nella ricerca gli indicatori di compromissione (IOC), in modo che altri se ne possano servire. Questi punti di dati sono generalmente costituiti da indirizzi IP , URL, domini, file hash o altri IOC che formano una minaccia.

Uno dei modi più semplici per dare inizio a una pratica di Threat Hunting consiste nel confrontare i log dei sistemi con gli IOC. Per iniziare possono essere sufficienti strumenti della riga di comando o semplici script. Un sistema SIEM è un altro metodo per confrontare rapidamente IOC e log. Esistono anche soluzioni di sicurezza più avanzate che possono facilitare il Threat Hunting consentendo di copiare e incollare gli IOC in un dashboard per verificare se la loro presenza è stata registrata nell'ambiente.

Dopo aver familiarizzato con queste attività, è arrivato il momento di analizzare i log in profondità e iniziare a scoprire i nuovi eventuali IOC. È qui che entrano in gioco le

competenze di analisi dei dati. L'applicazione di modelli statistici ai log , come il clustering o la distribuzione delle frequenze, può contribuire a fare luce sulle anomalie. In ultima analisi, stai cercando di raggiungere la cima della piramide del dolore e di identificare i TTP di un criminale informatico.

Come cercare

Threat Hunting in azione

Jeff Bollinger gestisce le indagini di sicurezza per CSIRT in Cisco. Di seguito riportiamo un resoconto di una pratica di Threat Hunting svolta dal suo team.

"Esaminando la cronologia dei dati dell'endpoint Cisco AMP alla ricerca di indicatori di compromissione, abbiamo rilevato un dropper binario sospetto che l'utente aveva eliminato.

Lo abbiamo recuperato ripristinando il file dall'archivio di backup (aziendale) dell'utente e siamo riusciti a invertirlo ed estrapolare ulteriori indicatori (hostname C2) che abbiamo poi applicato a tutti i dati telemetrici della rete.

In questo modo abbiamo scoperto altri host colpiti che non si erano attivati sull'hash del dropper originale."

8

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

9

Testare una teoriaAlcuni potrebbero obiettare che un semplice confronto fra log e IOC noti non è vero Threat Hunting. Questo perché il confronto è 1:1. In questi casi, per fare davvero Threat Hunting, bisogna scavare più a fondo.

E qui viene in aiuto la creatività. Bisogna inventarsi una teoria che spieghi dove può risiedere una minaccia, i vettori che potrebbe aver usato per arrivare a quel punto o le tecniche che ha sfruttato. Qui trovi alcune idee del tipo di indagine che potresti svolgere.

● Ultime notizie sulla sicurezza

Leggendo le ultime notizie sul panorama delle minacce puoi trovare un sacco di spunti per il Threat Hunting. Ad esempio, se di recente è stata segnalata una vulnerabilità critica in un processo di Windows, potresti indagare per scoprire se si è verificata qualche attività insolita che ha coinvolto questo processo. Naturalmente, dovrai prestare particolare attenzione al materiale pertinente al tuo settore. Ad esempio, se lavori nell'aviazione, un furto di carte di credito non sarà una priorità assoluta. Viceversa, se lavori nel settore bancario, l'attacco di un ICS non susciterà grande preoccupazione.

● Leggi le segnalazioni di comportamenti insoliti

Analizza i report sulle attività insolite del personale. Sistemi in modalità sospensione si risvegliano improvvisamente durante la notte? Cerca di capire perché. Un ufficio ha riferito di aver trovato dati interni su una fonte esterna? Cerca di scoprire da dove sono usciti.

● Escludi quello che è normale per trovare le anomalie

Un'attività insolita è un buon punto di partenza, ma non sempre è facile da individuare. A volte per trovarla bisogna

cercare fra l'erba alta. Osserva un'attività particolare pensando a un obiettivo dannoso. Ad esempio:

∙ Cerca connessioni alla rete di lunga durata, che potrebbero indicare una fuga di dati. Escludi le connessioni di cui sei a conoscenza e controlla se una qualsiasi di quelle che rimangono è sospetta.

∙ Osserva i picchi di attività della CPU e i processi che li generano: potrebbero indicare cryptomining o un accesso finalizzato al furto di informazioni. Filtra i picchi noti ed esamina quelli che non lo sono.

∙ Quali file sta scaricando BITSAdmin ? Lo strumento potrebbe essere utilizzato per scaricare in locale tool dannosi, poiché molte minacce si nascondono proprio al loro interno. Escludi i download che sai essere normali e concentrati sul resto.

∙ Osserva le attività pianificate. I criminali informatici possono infiltrare le proprie attività per avviare attività dannose. Ne noti alcune che non vengono eseguite dagli amministratori di sistema? Indaga su quelle che sembrano sospette.

Tutti i casi in cui un comportamento sembra insolito sono aree dove continuare a scavare per trovare la causa profonda. Tuttavia, è importante affrontare qualsiasi riscontro con un margine di cautela. Solo perché qualcosa sembra strano, non significa necessariamente che sia opera di un hacker. Assicurati di confrontare i risultati ottenuti con altre fonti di dati prima di trarre eventuali conclusioni. Allo stesso tempo, anche se sei il più anziano del gruppo, non pensare di non avere più nulla da scoprire. Piuttosto, prova a dimostrare che non si tratta di una minaccia. E se non riesci a farlo subito, allora scava più a fondo.

Se sei il più anziano del team, non pensare di non avere più nulla da scoprire. Piuttosto, prova a dimostrare che non si tratta di una minaccia. E se non riesci a farlo subito, allora scava più a fondo.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

10

Cercare l'origine

Sei riuscito a identificare una minaccia nella rete, hai capito come è entrata e hai messo in atto le misure per evitare che si ripeta. Tuttavia, la prossima volta che farai un esercizio di Threat Hunting, ti accorgerai che gli hacker sono tornati passando per un'altra strada.

Se la tua azienda è sempre vittima di qualche attacco, potrebbe valere la pena di indagare sugli autori e sull'infrastruttura che stanno usando, e tentare di bloccarli.

Tuttavia, non ti stiamo suggerendo di passare all'offensiva. Per quanto possa essere allettante, questa via presenta una serie di problemi.

Per cominciare, se attacchi un'infrastruttura dannosa, è molto probabile che gli hacker se ne accorgano e ti colpiscano ancora più duramente, e questa volta non per rubarti informazioni, ma per vendicarsi, disattivando o distruggendo i sistemi durante il loro passaggio.

Un altro motivo per evitare il contrattacco è che nella maggior parte dei paesi del mondo si tratta di una pratica illegale. Anche se i criminali in questione stanno svolgendo attività illegali, il contrattacco è comunque sempre una forma di pirateria informatica.

La buona notizia è che hai comunque a disposizione altre armi. Gli IOC di un attacco possono rivelare molto sugli hacker senza nemmeno dover toccare le loro reti.

L'approccio migliore per bloccare i pirati informatici è raccogliere tutti gli IOC che riesci a scoprire, dagli hash ai TTP, creare un profilo dei criminali e passare questi dettagli alle forze dell'ordine. Ricorrere alle autorità è il metodo migliore per perseguire e bloccare legalmente un criminale informatico.

Naturalmente per tutte le aziende, eccetto le più grandi e organizzate, non è facile condurre queste operazioni internamente. Di conseguenza, la gran parte può e deve affidarsi a team di sicurezza esterni che si dedicano esclusivamente a indagare su questi attacchi. Le organizzazioni di intelligence sulle minacce come Talos Intelligence o i Cisco Incident Response Service sono qui per aiutarti.

L'approccio migliore per bloccare i pirati informatici è raccogliere tutti gli IOC che riesci a scoprire, creare un profilo dei criminali e passare questi dettagli alle forze dell'ordine.

Sfruttare il Threat Hunting

Sean Mason, responsabile Threat Management di Cisco Security Advisory Services, riflette sul modo in cui i suoi team hanno sfruttato il Threat Hunting in Cisco.

"Ho davvero iniziato a capire e il valore del Threat Hunting nel 2011, sulla scia dell'attacco alla RSA. Mi sono ritrovato a partecipare a riunioni su riunioni per capire come avremmo potuto rilevare questo tipo di minaccia. Abbiamo davvero iniziato a pensare in modo diverso. Abbiamo anche capito quali erano le nostre lacune di visibilità. Nel corso degli anni i vari team di cui ho fatto parte hanno sfruttato questa attività in molti modi diversi: a scopo preventivo in seguito a un sospetto, per rispondere a un incidente o dopo aver letto qualche articolo sulla sicurezza. Dopo aver tratto vantaggio dal Threat Hunting per più di otto anni e in tante attività diverse posso dire onestamente che è un componente fondamentale di ogni buon programma di sicurezza."

10

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

11

Per quanto sia importante identificare e sradicare le minacce nascoste nella rete, scoprire come sono entrate e adottare misure per prevenire attacchi futuri è forse l'aspetto più importante del Threat Hunting. Pianifica una riunione per discutere i risultati della ricerca. Illustra i riscontri e discuti le misure da attuare per porre rimedio alle minacce. Quindi implementa le modifiche delle policy di rete per bloccarle.

A volte non si tratta di trovare una minaccia, ma piuttosto di scoprire i punti deboli all'interno dell'azienda. Una buona campagna di Threat Hunting potrebbe scoprire un server non configurato correttamente o una violazione delle policy che deve essere corretta. Anche se sembra un controsenso, a volte le migliori campagne di Threat Hunting non scoprono proprio nulla. Eppure anche in questi casi ne vale la pena: ora sai per certo che la strada su cui hai indagato al momento non costituisce un rischio per la tua azienda.

L'aggiunta delle funzioni di automazione è un'altra fase cruciale successiva al Threat Hunting. Una volta conclusa la ricerca, è importante controllare periodicamente se l'attività che hai scoperto si ripresenta. Converti quello che hai scoperto in un processo ripetibile. Imposta una trap che ti avvisi quando viene attivata. Nel corso del tempo entrerà a far parte del manuale sulla sicurezza.

Conclusioni

Non c'è modo di sapere se una rete è completamente priva di minacce. Questo non significa che la ricerca sia inutile. Il vantaggio del Threat Hunting, oltre a sradicare le minacce che sono riuscite a oltrepassare le difese, è che consente di estendere il livello di sicurezza.

Pensa al Threat Hunting come a un'opera di muratura. Quando si costruisce una casa, si inizia con una prima fila di mattoni, si aggiunge malta per fissarli, quindi si posiziona un'altra fila di mattoni. Continuando in questo modo, fila dopo fila, si costruiscono i muri.

Nel Threat Hunting, la prima fila di mattoni potrebbe consistere nell'abilitare e archiviare un numero di log sufficiente. La malta è l'automazione grazie alla quale i log arrivano regolarmente. La fila successiva di mattoni consiste nel confrontare i log con gli IOC. L'automazione di questi processi tiene i mattoni al loro posto. Continua a imparare con l'analisi dei dati, i test delle teorie e così via.

Molto presto, avrai costruito un processo di Threat Hunting solido e stabile grazie al quale potrai pensare con ragionevole certezza che entro i limiti dell'ambiente la tua AZIENDA è priva di minacce.

La conseguenza

A volte le migliori campagne di Threat Hunting non scoprono nulla. Eppure anche in questi casi ne vale la pena: ora sai per certo che la strada su cui hai indagato al momento non costituisce un rischio per la tua azienda.

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

12

Di seguito consigliamo alcuni strumenti da usare per il Threat Hunting. Non si tratta di un elenco esaustivo, ma potrà essere una base di partenza.

Cisco Threat ResponseCisco Threat Response automatizza le integrazioni fra le soluzioni di sicurezza Cisco, applica l'intelligence sulle minacce di Cisco Talos e di terze parti agli eventi di sicurezza per ricercare automaticamente gli indicatori di compromissione (IOC) e verificare le minacce rapidamente. Inoltre, offre la possibilità di raccogliere e archiviare le informazioni chiave dell'indagine, di gestire e documentare i progressi e i risultati e di porre rimedio alle minacce direttamente dal dashboard.

Cisco Threat GridThreat Grid combina sandboxing avanzato e intelligence sulle minacce in una soluzione unificata per proteggere le aziende dal malware. Grazie a una solida knowledge base con un ricco compendio contestuale, potrai capire l'attività del malware, l'entità della minaccia e la strategia di difesa.

Cisco Stealthwatch Cisco Stealthwatch è una soluzione completa di visibilità e analisi della sicurezza del traffico di rete e del cloud. Può anche rilevare il malware nel traffico criptato senza decrittografia. Offre rilevamento avanzato delle minacce, risposta accelerata alle minacce e segmentazione della rete semplificata utilizzando il machine learning multilivello e la modellazione delle entità. Con l'analisi comportamentale avanzata, puoi scoprire chi si trova sulla rete o nell'infrastruttura cloud pubblica e cosa sta facendo.

Cisco Advanced Malware Protection (AMP) per endpointAMP protegge gli endpoint e può supportare l'analisi del malware e il Threat Hunting proattivo. Le solide funzionalità di ricerca di AMP consentono di trovare varie informazioni, come file, hash, URL, indirizzo IP, chiavi di registro, utenti, processi, applicazioni e così via. Può anche mostrare il ciclo di vita di un file nell'ambiente, fin dalla prima volta in cui viene rilevato, le sue azioni sull'endpoint e altre informazioni.

Umbrella InvestigateInvestigate offre la panoramica più completa delle relazioni e dell'evoluzione di domini, IP, sistemi autonomi (ASN) e hash dei file. Accessibile tramite web console e API, la sofisticata intelligence sulle minacce di Investigate aggiunge gli elementi contestuali necessari per scoprire e prevedere le minacce.

Strumenti SIEM (Security Information and Event Management)Un SIEM è essenziale per svolgere attività di Threat Hunting, soprattutto all'inizio. Un SIEM ben configurato può ridurre notevolmente il tempo impiegato per raccogliere i log e svolgere l'analisi di base. Tra i SIEM più noti troviamo Splunk, IBM QRadar e Exabeam.

Strumenti di monitoraggio degli endpointEsistono vari strumenti disponibili per raccogliere i log dettagliati dagli endpoint. Il Registro eventi di Windows è un buon punto di partenza; gli strumenti più complessi come Sysmon e Process Monitor possono estendere le funzionalità di registrazione. (Esistono anche configurazioni precostituite che all'inizio possono essere di aiuto). Per visualizzare i log su Apple Mac è necessario consultare la Console.

Analizzatori di pacchettiSono strumenti che possono monitorare il traffico di rete. Applicazioni come Wireshark e tcpdump, e API come pcapP sono strumenti noti per raccogliere informazioni sui dati trasferiti sulla rete.

Strumenti per il Threat Hunting

CISCO CYBERSECURITY SERIES 2019 Threat Hunting

12

Le filiali Cisco nel mondo sono oltre 200. Gli indirizzi, i numeri di telefono e di fax sono disponibili sul sito web Cisco all'indirizzo www.cisco.com/go/offices.

Pubblicato ad agosto 2019

© 2019 Cisco e/o relativi affiliati. Tutti i diritti sono riservati.

Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o dei relativi affiliati negli Stati Uniti e in altri paesi. Per visualizzare l'elenco di marchi Cisco, visitare questo indirizzo: www.cisco.com/go/trademarks. I marchi commerciali di terze parti citati sono proprietà dei rispettivi titolari. L'uso del termine "partner" non implica una relazione di partnership tra Cisco e altre aziende. (1110R)

Sede centrale Americhe Cisco Systems, Inc. San Jose, CA

Sede centrale Asia Pacifico Cisco Systems (USA), Pte. Ltd. Singapore

Sede centrale Europa Cisco Systems International BV Amsterdam, Paesi Bassi

Nell'ultimo decennio, Cisco ha pubblicato molte informazioni sulla sicurezza e l'intelligence sulle minacce per i professionisti del settore interessati allo stato della sicurezza informatica mondiale. Questi report esaustivi contenevano resoconti dettagliati degli scenari delle minacce, le implicazioni per le aziende e le procedure consigliate per difendersi dall'impatto nefasto della violazione dei dati.

In qualità di guida autorevole nel settore, Cisco Security ha in programma la pubblicazione di una serie di testi basati su ricerche e dati concreti che usciranno in una collana intitolata Cisco Cybersecurity Series. Abbiamo ampliato il numero di titoli per includere varie tematiche e rivolgerci ai professionisti della sicurezza con interessi diversi. Basandosi sulla vastità e profondità della nostra esperienza nella ricerca delle minacce e nell'innovazione della sicurezza, la raccolta di report serie 2019 include lo studio comparativo sulla privacy dei dati, il report sulle minacce e lo studio comparativo sui CISO (Chief Information Security Officer). Altri se ne aggiungeranno durante l'anno.

Per ulteriori informazioni e per accedere a tutte le relazioni e le copie archiviate, visita www.cisco.com/go/securityreports.

Cisco Cybersecurity Series

THRT_05_0819_r1