Security+ Sezione 1 Panoramica | Caccia alle minacce
La caccia alle minacce è proattiva anziché reattiva, come se si trattasse di una risposta a un incidente.
L'idea qui è che stiamo andando a caccia o cercando quelle minacce all'interno della nostra rete, invece di aspettare che attacchino.
Per fare la caccia alle minacce, iniziamo stabilendo un'ipotesi. Ora, quando stabiliamo un'ipotesi, la dedurremo dal modello di minaccia che abbiamo fatto. E si baserà sui potenziali eventi con maggiore probabilità e maggiore impatto se dovessero verificarsi.
E esaminando la nostra intelligence sulle minacce, possiamo creare una buona ipotesi su quale tipo di campagna o quale tipo di gruppo avversario potrebbe volerci far del male. Quindi, passeremo alla definizione del profilo degli attori e delle attività delle minacce.
A questo punto, faremo davvero affidamento su quell'intelligence sulle minacce.
La caccia alle minacce si baserà sull'uso di strumenti sviluppati per il monitoraggio regolare della sicurezza e la risposta agli incidenti. Analizzeremo i registri, le informazioni sui processi e le modifiche al file system e al registro da tutti i diversi host.
In generale, tutte queste informazioni verranno consolidate per noi all'interno di un SIEM. Essendo all'interno di un sistema di informazioni di sicurezza e di gestione degli eventi, saremo in grado di correlare i dati più rapidamente e fare una migliore ricerca delle minacce, invece di dover andare a ciascuno di quei sistemi individualmente.
intendo con questo è che hai già sistemi di monitoraggio in atto che rilevano e monitorano le cose attraverso le tue reti. E se funzionassero correttamente, avresti già trovato questo cattivo.
Quindi, quando eseguiamo la caccia alle minacce, stiamo cercando quelle cose che non vengono rilevate, cose che hanno aggirato le regole, cose in cui la query non restituisce i dati che ci aspettavamo. E questo è davvero il punto cruciale della caccia alle minacce. Queste tattiche sono sviluppate intorno alla consapevolezza che l'avversario è intelligente e ha buoni TTP per cercare di evitare il rilevamento.
Supponiamo di disporre di informazioni sulle minacce che ci dicevano che i desktop Windows di molte aziende diverse erano stati infettati da un nuovo tipo di malware disponibile. E non ci sono definizioni di malware attuali per questo.
Bene, possiamo iniziare la caccia alle minacce sulla base di tali informazioni. Cosa potremmo fare? Potremmo iniziare con l'analisi del traffico di rete per determinare se c'è traffico in uscita verso una sorta di dominio sospetto o un qualche tipo di server C2 basato sulla nostra ricerca sulle minacce e sui database reputazionali di cui abbiamo parlato in precedenza.
Un'altra cosa che puoi fare è che può essere integrato con la tua intelligenza. La ricerca delle minacce è un ottimo caso d'uso per correlare l'intelligence sulle minacce esterne che hai ottenuto con ciò che vedi nei tuoi registri interni e in altre fonti. Mettendo insieme queste due cose, ora hai un'intelligenza utilizzabile.
Il vantaggio che puoi ottenere è ridurre la superficie di attacco. Il vantaggio qui è che, mentre esegui la caccia alle minacce, sei in grado di identificare l'intera superficie di attacco e dove un malintenzionato potrebbe essere entrato nella tua rete. Sulla base di ciò, puoi tornare indietro e ridurre quella superficie di attacco.