Di solito, quando si parla di cybersecurity, ci sono due figure ben distinte: chi attacca per ottenere qualcosa in modo illecito (sempre più spesso dei dati), e chi si difende dagli attacchi. Tuttavia, nella pratica del Threat Hunting le parti si invertono e così è chi è attaccato (o potenzialmente potrebbe esserlo) che va a caccia di eventuali tracce degli attaccanti. E questo aumenta di molto il livello di efficacia delle contromisure nei confronti dei cyberattacchi.
A cosa serve il Threat Hunting
Il Threat Hunting è una pratica di cybersecurity che prevede di andare alla ricerca proattiva delle minacce alla sicurezza IT che si annidano in una rete senza essere individuate. Il Threat Hunting scava in profondità nell’ecosistema IT per individuare quei criminali informatici che sono sfuggiti alle difese iniziali della sicurezza degli endpoint e sono riusciti a entrare nell’infrastruttura IT.
Dopo essersi intrufolato, un attacker può rimanere per mesi nascosto in una rete mentre raccoglie silenziosamente dati, cerca materiale riservato oppure ottiene credenziali di accesso che gli consentono di spostarsi “lateralmente” all’interno della rete stessa.
Una volta che un criminale informatico è riuscito a superare le difese di un'organizzazione, molte aziende non hanno le capacità di rilevamento avanzate necessarie per fermare la minaccia che si è insediata stabilmente nella rete. Ecco perché il Threat Hunting riveste un ruolo sempre più essenziale in una strategia di difesa.
A caccia di minacce nella rete aziendale
Come suggerisce la società di sicurezza HWG, la parola chiave del Threat Hunting è proattività. Tramite questa pratica si cerca, infatti, di prevenire un potenziale attacco prima che succeda, tentando di bloccare il problema all'origine. In questo senso, si possono coinvolgere tante tecnologie, ma soprattutto tante procedure. Si può partire dall’infrastruttura aziendale andando ad analizzare gli indicatori di compromissione, ovvero cercando quei segnali che possano indicare la presenza di un'attività sospetta. Per esempio, si potrebbe trattare del login di un utente da un'area geografica che non è la sua solita. Di per sé non è necessariamente un problema perché questo utente potrebbe essere in viaggio, ma se pochi minuti dopo lo stesso utente si collega da un’altra parte del mondo evidentemente c'è qualcosa di strano.
In una situazione di questo tipo, prima ancora che ci sia la compromissione, è possibile inviare un alert a chi si occupa della sicurezza chiedendo di bloccare quell’utente o di forzare un cambio password. In pratica, si è avviata un’attività di remediation prima ancora che l’attacco sia iniziato.
Lo stesso può accadere se, all'interno di una fascia di tempo molto ridotta, si individua un’attività anomala su un dispositivo, poi su un altro, poi su un altro ancora. Questo è un movimento laterale che deve mettere in guardia.
Threat Hunting nel Dark e Deep Web
HWG sottolinea che la caccia può essere estesa anche fuori dal perimetro aziendale, andando a monitorare il Deep e il Dark Web per cercare se ci sono tracce che riconducono a una determinata azienda. Con tracce si intendono nomi e cognomi dei dipendenti o del board, indirizzi della sede o delle sedi oppure degli impianti produttivi. Ma si può anche trattare di database, di e-mail o di password che si trovano in vendita nei vari marketplace del Dark Web. Questo, di nuovo, è un indizio che determinati dati sono stati carpiti. Se, per esempio quella password trovata è stata modificata non è necessaria alcuna azione, ma se non è stata cambiata allora bisogna intervenire immediatamente. Questo però introduce un altro aspetto: è un campanello d'allarme che va nella sfera delle procedure, cioè della password policy, che deve implementare l’azienda e far rispettare dai propri utenti. Se si ha una password che non scade mai, il rischio di compromissione ovviamente aumenta, mentre cambiandola con una certa periodicità si riduce in modo sostanziale.
Threat Hunting comprende anche la ricerca all’interno delle discussioni degli hacker nei vari blog, dove di nuovo potrebbe essere menzionata un’azienda, un ufficio e via dicendo. Non è successo ancora niente, ma l’indizio deve far suonare di nuovo il campanello d'allarme perché potrebbe essere un'attività preparatoria.
Le trappole per gli hacker
Lo step successivo del Threat Hunting per HWG è di creare delle trappole per gli attaccanti. È un’attività volta a distrarre l’hacker e avere ancora più dati per fare la nostra caccia. Si tratta di trappole vere e proprie, dette tecnologie di deception. A tal fine si attivano finti server, finti file e finte Active directory o si replicano gli elementi dell'infrastruttura dell’azienda in una zona isolata, creata appositamente per indurre l'attaccante a lanciare delle minacce. Quindi qualsiasi cosa sia fatta non andrà a colpire l'operatività né la sicurezza dell’azienda ma allo stesso tempo darà visibilità di un'eventuale attività anomala. E se la trappola dovesse funzionare, e un attacco dovesse davvero succedere, verrebbe immediatamente bloccato ed “escluso” dalla dall'infrastruttura dell’azienda.
Per verificare eventuali altre vulnerabilità presenti in azienda, HWG replica i medesimi attacchi che lancerebbe un hacker andando a vedere se esistono punti critici e come potrebbero essere sfruttati. Viene quindi avviata un’operazione di remediation tramite patching per prevenire che un attacker trovi una finestra spalancata per entrare nella rete aziendale.
