Nel panorama digitale odierno, che vede un trend di costante crescita e imprevedibilità delle minacce informatiche, la pratica di Threat Hunting è essenziale per individuare i gap e i punti deboli all’interno dell’infrastruttura IT aziendale.

Una delle barriere per i CISO e i team di SOC (Security Operation Center) è la mancanza di informazioni contestuali sulle potenziali minacce, un problema che può condizionare la buona riuscita dell’attività di “caccia” alle minacce.

Vediamo quali sono le soluzioni necessarie per rendere la Threat Hunting efficace ed efficiente.

Il ruolo del SIEM per potenziare la Threat Hunting

Il SIEM (Security Information & Event Management) ricopre un ruolo fondamentale nel fornire informazioni dettagliate sull’intero ecosistema IT, attraverso la raccolta, correlazione e analisi degli eventi di sicurezza.

La ricerca di minacce in ambienti isolati, come EDR, VPN o firewall, non offre la visibilità o il valore di cui hanno bisogno i cacciatori di minacce odierni.

Per infrastrutture complesse e interconnesse, un SIEM in grado di inglobare tutti i log è la chiave di volta che supporta l’efficace ricerca delle minacce.

Informazioni dettagliate per i team di SOC

Un grande vantaggio che offre il SIEM è la possibilità di trasferire ai team di SOC (Security Operation Center) le informazioni contestuali associate a dispositivi ed utenti, per una visione chiara e approfondita di ciò che sta accadendo all’interno dell’infrastruttura IT.

Un ulteriore componente a supporto del SIEM è l’UBA (User Behavior Analytics), che permette di individuare se un utente compie azioni che si discostano dal comportamento abituale.

Questi strumenti danno al SOC una maggiore capacità di rilevare le minacce all’interno dell’ambiente IT. Oltre ad aiutare gli analisti ad individuare le attività sospette, rivelano anche debolezze nelle difese attuali che hanno permesso ai potenziali avversari di effettuare l’attacco sfruttando le vulnerabilità.

Uno degli obiettivi più importanti di un programma di Threat Hunting è quello di identificare le lacune nella sicurezza.

Qualsiasi rilevamento di una minaccia positiva, anche se si tratta di un falso positivo, evidenzia un’anomalia che non è stata rilevata dai sistemi e processi del SOC.

Questo consente agli analisti di individuare nel dettaglio ogni possibile minaccia ed implementare nuove misure per contrastare le minacce in modo tempestivo.

Approccio olistico alla sicurezza informatica

L’integrazione tra le attività condotte dai team di SOC e le analisi del SIEM contribuiscono a sviluppare un programma avanzato di Threat Hunting, che coinvolge diversi attori all’interno delle aziende.

Grazie alla centralizzazione delle informazioni, è infatti più semplice per i CISO e i team di SOC comunicare i risultati del Threat Hunting e prendere decisioni informate per innalzare il livello di sicurezza.

Il processo di Threat Hunting, per essere davvero efficace, deve essere olistico e interdisciplinare.

La raccolta centralizzata dei log da parte del SIEM, combinata con l’analisi del comportamento degli dell’UBA, sono strumenti fondamentali che gli analisti e i CISO devono adottare per rilevare le minacce su tutto l’ambiente IT e collaborare efficacemente con i decision-makers aziendali.

Scopri il SIEM di SGBox>>