La proattività – definita dallo psicologo del lavoro Adam Grant come “l’azione preventiva che i dipendenti intraprendono per avere un impatto su se stessi e/o sul proprio ambiente.” – è sempre più importante per la cybersecurity aziendale. Un recente studio condotto da ESG tra i professionisti IT ha dimostrato che il 53% delle organizzazioni ha segnalato una problematica carenza di competenze in materia di sicurezza informatica nei propri team. Tra le principali difficoltà riscontrate, c’è la ricerca di candidati con atteggiamento proattivo in termini di ricerca e anticipazione delle minacce, andando oltre i tradizionali approcci di risposta ai cyber-criminali. Come è stato già sottolineato in precedenza, la proattività è la chiave per il Threat Hunting.
Perché sempre più aziende adottano il sistema di Threat Hunting?
Le tradizionali misure di sicurezza informatica, quali firewall, sistemi di rilevamento delle intrusioni (IDS), sandboxing o soluzioni SIEM, si concentrano solitamente su indagini post-incidente. Queste misure sono ancora rilevanti, in quanto le organizzazioni hanno ancora bisogno di risposte ai comuni cyber attacchi. Tuttavia, gli attacchi informatici sono sempre più discreti, intelligenti e frequenti. Nelle previsioni di Panda Security sulla cybersecurity per il 2019, è stato evidenziato il fatto che il 62% delle aziende afferma di aver subìto cyber-attacchi che non hanno utilizzato malware, mentre gli attacchi con chatbot, tecniche dannose di inbound marketing e altri basati sull’intelligenza artificiale, dimostrano quanto sofisticati possano essere.
Le aziende ne sono ben consapevoli e hanno adottato misure adeguate: il 43% di esse svolge ora un’attività di threat hunting continuo come parte della propria strategia di prevenzione dei rischi informatici, mentre il 65% prevede un aumento nei prossimi anni degli investimenti in questo tipo di strumenti (SANS Threat Hunting Survey).
Qual è il profilo dei Threat Hunter professionisti?
Queste nuove minacce hanno rivoluzionato il profilo dei cyber-criminali: nonostante pensiamo che possano essere ancora dei dilettanti, molti sono ora professionisti, con una formazione specializzata e numerose risorse fornite da aziende o addirittura da potenze straniere. Il cyber-crimine è oggi un’attività estremamente redditizia e di vasta portata. È quindi fondamentale che i profili dei professionisti di cybersecurity siano allo stesso livello di quello dei criminali informatici. Ciò significa andare oltre le tecniche tradizionali e optare per ricerche attive sui network aziendali, utilizzando un processo basato su ipotesi e prove. È evidente quindi che la proattività sia un’abilità chiave per un buon Threat Hunter. Ma non è l’unica.
Di seguito, sono elencate le caratteristiche che ogni threat hunter professionista dovrebbe possedere:
- Conoscenza tecnica: prima di intraprendere qualsiasi processo di Threat Hunting, è fondamentale che i professionisti IT abbiano conoscenze ed esperienza nel mondo della cybersecurity. Devono conoscere le attività tradizionali per la protezione degli endpoint (EPP), ma anche il nuovo approccio Endpoint Detection and Response (EDR), che prevede l’uso di strumenti di monitoraggio in tempo reale, un aspetto fondamentale per la caccia alle minacce.
- Visione aziendale e geopolitica: i cyber-criminali stanno diventando sempre più competenti e ora fanno parte di organizzazioni o persino di stati. I Threat Hunter devono quindi conoscere il contesto aziendale e geopolitico che può motivare questi cyber-attacchi. La conoscenza tecnica è fondamentale, ma è necessario avere idee che si avvicinino sempre più a una visione generale per anticiparli.
- Creatività: il primo passo nel processo di Threat Hunting è quello di elaborare ipotesi per cercare potenziali minacce. È necessario quindi elaborare possibili scenari e considerare i numerosi elementi e vettori di attacco che invece le tradizionali soluzioni di cybersecurity possono trascurare.
- Padronanza del metodo empirico: una volta che le ipotesi sono state formulate, il passo successivo nel processo di Threat Hunting è la loro validazione, cercando prove e scoprendo i tratti caratteristici. Queste fasi sono simili a quelle seguite da un ricercatore e, come tale, i Threat Hunter devono comprendere i metodi di lavoro basati sull’analisi e sulle prove. Non sono così diversi dagli scienziati che fanno grandi scoperte.