Rilevare automaticamente gli “intrusi” che sono già riusciti a entrare nella rete aziendale e isolarli grazie a capacità di analisi e correlazione dei dati, abilitando così una migliore difesa contro le minacce persistenti che potrebbero sfuggire ad altri strumenti di sicurezza. In base ai risultati di una recente ricerca condotta da IDC, il 40% delle imprese italiane ritiene fondamentale investire in tecnologie di threat hunting e di threat intelligence come parte integrante di una strategia di protezione avanzata.
Il threat hunting è un approccio organizzato e sistematico per cercare in modo proattivo segni di compromissione sui sistemi e sulle reti di un’organizzazione. Utilizza una combinazione di strumenti di sicurezza collaudati nel tempo e nuove tecnologie analitiche appositamente progettate per rintracciare segni di attività sospette e condurre indagini approfondite.
Il threat hunting potrebbe non produrre risultati affermativi, e questo costituirebbe in fin dei conti l’esito migliore per un’azienda: una ricerca approfondita che non rivela segni di compromissione.
Negli ultimi anni, lo scenario delle minacce che i team aziendali preposti alla sicurezza IT si ritrovano ad affrontare è cambiato radicalmente. Mentre fino a poco tempo fa si pensava che la miglior strategia fosse di costruire solide difese che impedissero il verificarsi di intrusioni informatiche, la teoria moderna tende invece verso la “presunzione di compromesso“. Esistono attaccanti sofisticati che, con risorse sufficienti e un po’ di impegno, sono in grado di aggirare molti dei controlli di sicurezza messi in atto per proteggere un’organizzazione. I programmi di threat hunting abbracciano questo presupposto e riconoscono la responsabilità dei team di sicurezza non solo di costruire solide difese, ma anche di cercare intrusi che sono già penetrati nella rete aziendale.
L’uso poi della threat intelligence per abbinare gli autori delle minacce alle tecniche, tattiche e procedure impiegate per attaccare le organizzazioni fornisce un ulteriore aiuto ai processi di threat hunting. La conoscenza di come agiscono gli attaccanti può infatti indicare ai CISO la migliore strategia per implementare un nuovo modello di sicurezza basato su prevenzione, rilevamento continuo e analisi approfondite.
