Una soluzione di endpoint protection sia esso un antivirus, firewall o una soluzione avanzata basata sull’intelligenza artificiale, capace di filtrare le mail di phishing, sono solo una parte delle contromisure necessarie a far fronte ad una minaccia in continua evoluzione. 

La ricerca proattiva di metodi di intrusione è alla base di una sicurezza ben strutturata.

La figura del threat hunter

Il cacciatore di minacce è una figura fondamentare all’interno di un reparto IT poiché, trovandosi all’interno della rete può monitorare attivamente, con l’intenzione di ridurre, la superficie di attacco.

Un team di difesa per essere efficace deve essere composto da più livelli; conosciamo le figure del SOC Specialist , dell’ Ethical Hacker e dell’ Analista Forense , ma alla nostra catena manca ancora un anello.

La figura del cacciatore, a differenza del Penetration Tester o del Soc Specialist, si pone l’obiettivo di scovare dove si sia insidiata la minaccia assumendo che l’attacco sia già avvenuto e l’attaccante sia in attesa del momento giusto per poter causare il maggior danno possibile. Il Threat Hunter stila un profilo comportamentale utilizzando log e tecniche di analisi del traffico, con il fine di rilevare le più piccole variazioni del normale flusso di lavoro con l’obiettivo di eliminare le minacce sul nascere.

Prevenire è meglio che curare

Ciò che distingue la figura del Threat Hunter è la proattività, inutile piangere sul latte versato quando sarebbe bastato davvero poco ad evitare il disastro; un esempio attuale è ; la regione Lazio che ancora si lecca le ferite causate dal recente attacco per non aver implementato un’autenticazione a due fattori alla vpn.

Il lavoro del cacciatore fa riferimento al principio di pareto ossia il 20% delle cause provoca l’80% degli effetti. Normalmente gli attacchi sono di natura semplice e sono prevenuti dalle tecnologie citate in precedenza, ma una leggerezza o un passo falso ci rendono facile preda dell’hacker più fantasioso, dato che alcune minacce tendono a non esser prese neanche in considerazione.

Il Threat Huntrer è un Professionista che con occhio critico osserva la rete alla ricerca di possibili indicatori di compromissione o punti di ingresso. Una tendenza in aumento nel mondo degli hacker è lo sfruttamento degli insider threat, ad esempio dipendenti non contenti capaci di voltare le spalle all’azienda e dietro compenso fornire accesso all’infrastruttura. La ricerca di attività inusuali spesso viene lasciata in mano a strumenti automatici senza una figura che osservi i log generati, anche in mancanza di allarmi; questo conferma una triste statistica: in media gli attacchi vengono scoperti solo dopo 143 giorni.

La difesa perimetrale non è tutto

Gli hacker molte volte hanno a disposizione credenziali valide che permettono facilmente di passare attraverso le maglie del SOC, la perfetta conoscenza delle TTPs (Tecniche Tattiche e procedure) degli attaccanti è alla cima della piramide del dolore, questo rende i cacciatori particolarmente odiati dagli hacker. I cacciatori non lavorano sulle minacce note ma il loro compito è quello di bloccare gli attacchi zero-day, fare previsioni sul futuro ed eliminare le vulnerabilità correnti.

CompTia crede fermamente che tra il 2018 e il 2028 la richiesta di Threat Hunter crescerà almeno del 32% con più di 122mila posizioni aperte in questo periodo di tempo.

Di solito i cacciatori sono presenti solo nelle grandi aziende mentre le piccole e medie realtà si affidano a fornitori di servizi. La certificazione Certified Professional Threat Hunter è un ottimo punto di partenza per iniziare una carriera in un sentiero poco battuto della Cybersecurity. 

Tweet