Spesso i criminali informatici hanno a disposizione troppo tempo per agire. Le loro campagne possono rimanere attive e passare inosservate per settimane, mesi, se non anni.

Un esempio recente è Sea Turtle. Dal 2017 all’inizio del 2019, questo silente attacco scoperto da Talos (la divisione cyber-intelligence di Cisco), ha colpito almeno 40 diverse realtà in 13 nazioni differenti del Mediterraneo e Medio Oriente, causando il furto di nomi utente e password.

Oggi sempre più spesso sentiamo parlare di “Threat Hunting”, una tecnica proattiva che mira a scovare ed eliminare i cyber-attacchi che sono riusciti a superare le barriere di sicurezza aziendali senza essere stati rilevati; questa tecnica pro-attiva si contrappone ai metodi di investigazione tradizionali, che vengono attivati solo dopo aver rilevato attività potenzialmente dannose.

Questo è quanto emerge dall’ultimo studio sulla sicurezza condotto da Cisco, che analizza i dettagli di questa tecnica, inclusi i vantaggi, quando applicarla e come farlo. Anche quando non viene rilevata una specifica minaccia, il Threat Hunter spesso identifica i punti deboli e le policy da rafforzare, riducendo l’area di attacco per i potenzial criminali informatici.

A differenza di altre tecniche simili come l’Incident Response o il Compromise Assessment, con il Threat Hunting non ci sono segni di minaccia. Si parte dall’investigazione di quanto  succede in altri ambiti dell’industria informatica e la si contestualizza nel proprio ambito aziendale; alcuni esempio potrebbero essere società finanziarie che indagano su un furto massivo di credenziali in altre organizzazioni oppure  analisi eseguite dopo una vulnerabilità generalizzata del software.

Tempo di rilevamento e tempo di risoluzione

Sebbene le organizzazioni stiano migliorando le proprie difese, l’individuazione delle minacce e la prevenzione delle violazioni, secondo l’annuale Cisco CISO Benchmark Study 2019, il 65% dei CISO  ha ancora difficoltà a determinare l’entità di un attacco, contenerlo e porvi rimedio.

Ne risulta che i CISO considerino i tempi di remediation un parametro più efficace per misurare la validità della protezione (il 48% nel 2019 rispetto al 30% nel in 2018) rispetto ai tempi di applicazione delle patch e il tempo medio di rilevamento.

Come sottolineato da Stefano Vaninetti, Security Leader di Cisco Italia, “Identificare e sradicare le minacce nascoste nella rete aziendale, scoprire come sono entrate e prendere misure per prevenire futuri attacchi è sicuramente un’aspetto fondamentale della sicurezza informatica. Il Threat Hunting, combinato con altre tecniche complementari, aiuta a rilevare le vulnerabilità, ridurre la superficie di attacco e rafforzare le policy”.

Cisco Threat ResponseCisco Threat GridCisco Stealthwatch o Cisco Advanced Malware Protection for Endpoints sono solo alcuni strumenti raccomandati per “dare la caccia e cacciare” le minacce nascoste o sconosciute. Cisco Talos e i servizi di risposta agli incidenti di Cisco aiutano le organizzazioni proprio in questo e in altri contesti di sicurezza informatica.

Il report completo è consultabile a questo indirizzo.