Nell’ultimo anno, il 59% delle organizzazioni ha registrato un aumento della complessità degli attacchi informatici*. I cyber criminali sono più astuti che mai, e utilizzano sempre più tecniche furtive e guidate dall’uomo per condurre i loro attacchi.
Di conseguenza, i team di sicurezza si sono focalizzati sulla pratica della caccia alle minacce per fermare le più avanzate, pur non essendo affatto facile.
Nel nostro nuovo documento, Guida introduttiva alla caccia alle minacce, spieghiamo cos’è la caccia alle minacce, perché è diventata una parte essenziale dei tuoi sforzi di sicurezza e come affrontarla. Forniamo inoltre una panoramica approfondita degli strumenti e dei framework che i team di sicurezza stanno utilizzando per aiutarli a stare al passo con le ultime minacce e rispondere rapidamente a qualsiasi potenziale attacco.
Cinque passaggi per aiutarti a prepararti per la caccia alle minacce
Per quanto riguarda le operazioni di sicurezza, la preparazione è la chiave del successo. È importante gettare le basi giuste prima di iniziare a cacciare sul serio. Ti consigliamo i seguenti cinque passaggi per indirizzare la tua organizzazione e il team verso il successo:
1.Metti a fuoco la maturità delle tue attuali operazioni di sicurezza informatica
Mappare i tuoi processi su un modello di maturità della sicurezza informatica (come il CMMC) è un ottimo modo per stabilire quanto sei ben attrezzato (o meno) per iniziare la caccia alle minacce. È anche una buona idea controllare le tue impostazioni di sicurezza per determinare quanto potresti essere esposto alle minacce.
2.Decidi come vuoi andare a caccia di minacce
Una volta stabilita la tua maturità informatica, puoi quindi decidere se la caccia alle minacce è qualcosa che vuoi fare internamente, esternalizzare completamente o una combinazione delle due.
3.Identifica le lacune tecnologiche
Esamina i tuoi strumenti esistenti e identifica cos’altro ti serve per eseguire una caccia alle minacce efficace. Quanto è valida la tua tecnologia di prevenzione? Ha o supporta capacità di caccia alle minacce?
4.Individua le lacune di competenze
La caccia alle minacce richiede abilità specialistiche. Se non hai l’esperienza interna, cerca i corsi di formazione per aiutare a sviluppare le competenze necessarie. Inoltre, considera la possibilità di collaborare con un fornitore di terze parti per integrare il tuo team.
5.Sviluppa e implementa un piano di risposta agli incidenti
È essenziale disporre di un piano di risposta agli incidenti completo per garantire che qualsiasi risposta sia misurata e controllata. Avere un piano di risposta ben preparato e ben compreso che tutte le figure chiave possono mettere in atto immediatamente ridurrà drasticamente l’impatto di un attacco sulla tua organizzazione.
Per maggiori dettagli, leggi “Introduzione al Threat Hunting”.
Facilitatori di caccia alle minacce
Un’efficace caccia alle minacce richiede una combinazione di tecnologie di nuova generazione con una vasta esperienza umana.
Tecnologie di prevenzione: riduzione dell’affaticamento da segnale
I cacciatori di minacce possono svolgere i loro ruoli in modo efficiente solo se non sono sommersi da avvisi di sicurezza. Un modo per raggiungere questo obiettivo è introdurre le migliori tecnologie di prevenzione in modo che i difensori possano concentrarsi su un minor numero di rilevamenti più accurati e semplificare il successivo processo di indagine e risposta.
Le funzionalità di prevenzione della protezione di Sophos Intercept X Endpoint bloccano il 99,98% delle minacce** consentendo ai difensori di concentrarsi meglio sui segnali sospetti che richiedono l’intervento umano.
Puoi saperne di più o provare Intercept X Endpoint qui.
Tecnologie di caccia alle minacce: endpoint/extended detection and response (EDR/XDR)
Affinché i cacciatori di minacce possano identificare e indagare su attività potenzialmente dannose, hanno bisogno di input e strumenti di indagine. EDR e XDR consentono ai cacciatori di vedere rapidamente i rilevamenti sospetti e di analizzarli a fondo.
EDR fornisce input dalla soluzione endpoint. Al contrario, XDR consolida i segnali provenienti da tutto l’ambiente IT più ampio, comprese le soluzioni di sicurezza firewall, mobile, e-mail e cloud. Dato che gli avversari sfruttano ogni opportunità di attacco, più ampiamente lanci la tua rete di segnali, meglio puoi rilevarli in anticipo.
Progettato allo stesso modo per analisti della sicurezza e amministratori IT, Sophos XDR consente al tuo team di rilevare, indagare e rispondere agli incidenti all’interno del tuo ambiente IT. Ottieni istantaneamente le informazioni che ti interessano scegliendo da una libreria di modelli preimpostati e personalizzabili che coprono molti diversi scenari di caccia alle minacce e operazioni IT, oppure puoi scrivere il tuo.
Per testare le capacità di ricerca delle minacce di Sophos XDR, un trial direttamente dal prodotto (se hai un account Sophos Central) o provare Sophos Intercept X Endpoint, che include XDR.
Servizi di ricerca delle minacce: managed detection and response (MDR)
L’MDR, fornito come servizio completamente gestito, offre alle organizzazioni un team dedicato di analisti della sicurezza alla ricerca di minacce in agguato 24/7/365. Infatti, “il 51% delle aziende utilizza un fornitore di servizi MDR per aiutare a integrare i dati per il rilevamento e la risposta alle minacce”, secondo ESG Research.
Per scoprire come Sophos MTR può supportare la tua organizzazione, parla con il tuo rappresentante Sophos o richiedi una richiamata. Nel frattempo, recupera le ultime ricerche MTR e i casebook.
*Lo stato del ransomware 2022 – Sophos
**Punteggio medio 2AV-Test: gennaio-novembre 2021