Servizi di threat hunting

Servizi di threat hunting

Migliora l'efficienza del rilevamento e della risposta alle minacce informatiche.

Contatto

Sapevate che il tempo medio per rilevare una violazione della sicurezza è di 200 giorni? Sapevate che, una volta rilevata, ci vogliono in media 66 giorni per contenere l'incidente? Ciò dimostra che gli attuali meccanismi di rilevamento e risposta sono insufficienti.

Sebbene la maggior parte del mercato parli di threat hunting per spiegare i propri meccanismi di rilevamento, la realtà è che pochissimi sviluppano un approccio di rilevamento accurato.

Perché threat hunting proattivo?

Tutti conosciamo organizzazioni che, anche con notevoli sforzi, non riescono a rilevare le minacce avanzate. In alcuni casi sono addirittura colpiti da multipli ransomware, a causa della mancanza di adeguate capacità di rilevamento e risposta.

Questo scenario diventa evidente nel momento in cui ci si rende conto che un approccio classico di Threat Detection non è sufficiente, per cui è necessario evolvere da un modello SOC tradizionale a un modello proattivo di Threat Hunting. Ciò implica una maggiore attenzione all'analisi delle TTP invece che dei CIO, nell'ambito di un approccio proattivo che presuppone ipotesi di compromissione invece di approcci reattivi come conseguenza del rilevamento di un evento di sicurezza.

SOC tradizionale

Threat Detection

Protegge da un attacco ben noto

Reattività

L'indagine viene svolta a seguito di un allarme o di un evento.

Strati di rilevamento

Tecnologia SIEM, IDS, FW o Proxy, tra gli altri.

Attacchi noti

Rilevamento basato su pattern e IOC

Configurazione complessa

Implementazione della tecnologia, creazione di use-cases, diversità delle fonti, punti ciechi, errori di configurazione, allarmi e falsi positivi.

Approccio avanzato

Threat Hunting

Vengono studiate nuove forme di attacco

Proattività

Stiamo costantemente indagando su scenari di compromissione non rilevati, il che richiede l'ipotesi che si sia verificato un attacco sofisticato anche se non sono stati generati eventi di sicurezza.

Telemetria e inganno

Raccogliamo e analizziamo le attività su endpoint, server e campagne di inganno.

Attacchi sconosciuti e mirati

TPP, intelligence, indagini e rilevamento guidato da ipotesi

Configurazione semplice

Rilevamento basato sulla telemetria fornito dalla tecnologia EDR/XDR

Cosa rende il nostro approccio di Threat Hunting così speciale?

Il nostro servizio di threat hunting proattiva 24x7 conosce gli avversari dannosi meglio di un SOC tradizionale, consentendo di rilevare e rispondere a un'operazione dannosa prima ancora che venga generato un singolo evento di sicurezza. Questo è possibile perché il nostro modello di threat hunting proattivo si basa sui seguenti principi:

Tecnologia agnostica

Caccia solo con EDR/XDR approvato

  • Analizziamo continuamente la tecnologia esistente per poter fornire un servizio di threat hunting di alta qualità.
  • Per mantenere il nostro standard di qualità, utilizziamo solo tecnologie che hanno superato un rigoroso processo di valutazione interna.

Mentalità offensiva

Conosciamo i nostri avversari

  • Anche in assenza di rilevamento da parte della tecnologia, i nostri esperti possono identificare le operazioni dannose dalla telemetria disponibile.
  • Il nostro Red Team è uno straordinario acceleratore del servizio di Threat Hunting.
  • La nostra tecnologia di rilevamento, chiamata Threat Hunting Intelligence™, si aggiunge alle capacità di rilevamento dell'EDR/XDR.

Ipotesi di compromesso

Threat hunting proattivo

  • Il nostro servizio prevede un processo continuo di caccia proattiva basato su ipotesi di compromesso.
  • Il mantenimento delle ipotesi di compromesso consente di rilevare gli attori maligni sconosciuti.
  • Eseguiamo migliaia di interrogazioni mensili sulla telemetria disponibile per rilevare le minacce sconosciute.

Squadra riconosciuta

Esperti

  • I nostri threat hunters sono veri investigatori che pensano come veri avversari.
  • Questo ci permette di fornire un servizio eccezionale che tiene conto delle più innovative tecniche di attacco e delle possibilità di elusione del rilevamento.
  • Utilizziamo la tecnologia più innovativa per analizzare le minacce emergenti.

Threat Hunting Intelligence ™ come valore differenziale del nostro servizio di Threat Hunting

Threat Hunting Intelligence EDR/XDR gaps Threat actors Research Red team Malops Advisors

Il nostro servizio di Threat Hunting è ottimizzato non solo dalla ricerca continua, dalla ricerca di Malicious Operations, dalla profilazione di Malicious Actors o dall'analisi degli advisory pubblici, ma anche dal miglioramento delle capacità di rilevamento anche quando la minaccia è in grado di adottare tecniche di evasione avanzate.

Tutti questi miglioramenti costituiscono la nostra Threat Hunting Intelligence™, che è inclusa nel nostro esclusivo servizio di Threat Hunting.

Particolarmente rilevante in questo contesto è il fatto che il nostro Red Team fornisce uno straordinario acceleratore del servizio di Threat Hunting e viceversa. In effetti, l'approccio combinato di entrambi i servizi allo stesso tempo è una possibilità sempre più richiesta:

Servizio di red team

Il nostro Red Team simula attori maligni, avversari o esercitazioni informatiche per eludere i livelli difensivi.

Segnaliamo costantemente le possibilità di miglioramento al team di Threat Hunting.

Servizio di threat hunting

I nostri ricercatori imparano continuamente nuove tecniche, tattiche e procedure (TTP) utilizzate dagli attori malintenzionati, un processo che viene accelerato dalle esercitazioni del Red Team.

Superamento delle capacità di rilevamento EDR/XDR

Per fornire un servizio di threat huntig proattivo eccellente, utilizziamo le soluzioni EDR/XDR solo quando sono state accettate dopo test intensivi* e tecniche di evasione condotte nel nostro laboratorio.

Oltre alle capacità di rilevamento fornite dalla tecnologia EDR/XDR, il nostro servizio di Threat Hunting implementa ulteriori capacità ed esegue proattivamente migliaia di test di rilevamento personalizzati in base al contesto di ciascun cliente.

*Il processo di approvazione della tecnologia EDR/XDR utilizzata è in corso, pertanto se siete interessati a qualsiasi altra soluzione tecnologica non esitate a contattarci per ulteriori informazioni.

crowdstrike sentinelone Microsoft_endpoint_defender Cortex

Domande frequenti sul threat hunting

Che cos'è il threat hunting?

Threat Hunting è un servizio finalizzato al rilevamento proattivo di minacce avanzate, sia nei computer che nelle reti aziendali, stabilendo ipotesi di compromissione e rispondendo a tali compromissioni.

Quali sono i tipi di Threat Hunting?

Un servizio di Threat Hunting si concentra specificamente sulla gestione delle minacce sconosciute. Ciò è possibile perché, invece di concentrarsi sugli Indicatori di Compromissione (IOC), utilizza le tecniche, le tattiche e le procedure MITRE per rilevare le Operazioni Malevole che un APT potrebbe eseguire in assenza di IOC.

Cosa fa un threat hunter?

Un Threat Hunter deve svolgere le seguenti attività:

  • Analizzare i rilevamenti sospetti provenienti da tecnologie EDR o XDR, comprese le indagini che richiedono la conferma di un’operazione dannosa o l’eliminazione di un falso positivo.
  • Ricerca sulle minacce, compreso il mantenimento di conoscenze aggiornate e dettagli di basso livello su vulnerabilità, exploit, APT, campagne di attacco, tecniche, tattiche e procedure che un attore malintenzionato potrebbe utilizzare per compromettere le organizzazioni e le loro risorse.
  • Trasformare i risultati delle attività di ricerca in caccia proattiva sfruttando i dati o la telemetria disponibili.

 

Quali sono i vantaggi del Threat Hunting?

Sebbene l’obiettivo sia lo stesso, le attività di Threat Hunting differiscono dal tradizionale Threat Detection per il modo in cui vengono raggiunti gli obiettivi. Alcune delle principali differenze possono essere riassunte come segue:

  • Il Threat Hunting richiede un’indagine proattiva sulle minacce sconosciute, mentre il Threat Detection è un processo reattivo avviato alla generazione di un avviso.
  • Il Threat Hunting analizza i TTP, mentre il Threat Detection si concentra sui CIO e sui modelli precedentemente noti.
  • Il Threat Hunting si concentra sull’analisi dei dati e della telemetria forniti dalle tecnologie EDR o XDR, mentre il Threat Detection analizza gli eventi e i log centralizzati in un SIEM.

Che cos'è una squadra di hunting?

Le apparecchiature che svolgono attività di threat hunting di cybersecurity non sono stratificate come un tradizionale servizio di rilevamento delle minacce. I threat hunters possiedono invece sempre le più elevate capacità tecniche che consentono loro di comprendere il funzionamento interno di un attacco, in modo da poter identificare qualsiasi operazione dannosa semplicemente analizzando le risorse disponibili, come dati e telemetria (anche quando non vi è alcun allarme nella tecnologia associata all’operazione dannosa).

Tra le discipline che un team di Threat Hunting deve possedere, spiccano (tra le altre) le seguenti:

  • Ampia esperienza nelle tecniche offensive
  • Ottima conoscenza degli interni di Windows e Linux, nonché delle reti e delle comunicazioni.
  • Reverse engineering del malware
  • Ricerca continua di tecniche offensive nuove ed emergenti.
  • Supporto ai team coinvolti nella risposta agli incidenti.