D:
Quali sono i principali vantaggi della caccia alle minacce?
UN:Cominciamo con la comprensione di cosa sia la caccia alle minacce: è un processo di ricerca, linea per linea ed evento per evento, di indicatori di minacce molto specifiche. Non si tratta di cercare quale potrebbe essere un'anomalia. È l'atto di rilevare gli indicatori di cose che sappiamo accadere. È come controllare la presenza di zecche dopo aver camminato nel bosco. Se hai buone ragioni per credere che ci siano zecche nei boschi, controlla se qualcuno ha fatto l'autostop. Il vantaggio di cacciarli è che puoi trovarli e liberartene prima che ti mordano e ti facciano star male.
Detto questo, come precursore della caccia alle minacce, devi avere un'idea di ciò che stai cercando. Ciò richiede tre cose: analisi, consapevolezza situazionale e intelligenza. Le informazioni non elaborate possono provenire da molte fonti diverse e gli esperti di una squadra di cacciatori di minacce possono analizzare tali informazioni e trarne significato. Qual è la chiacchiera sul web oscuro? Qualcuno sta parlando del targeting di una determinata azienda o tecnologia? Ci sono discussioni su nuove metodologie di commercio o di exploit?
Gli analisti delle minacce del team di caccia alle minacce possono raccogliere grandi quantità di intelligenza grezza, ed è qui che la consapevolezza situazionale aiuta a identificare quali problemi sono salienti per diverse organizzazioni e utenti. Le informazioni che identificano una modalità di attacco contro uno studio cinematografico, ad esempio, possono essere meno preoccupanti per un costruttore di automobili. Le tecniche utilizzate in un attacco a uno studio potrebbero essere praticabili come tecniche per attaccare un produttore automobilistico, ma se l'intelligenza suggerisce che il focus dell'attacco è locale per gli studi cinematografici, i team IT dei produttori automobilistici dovrebbero rimanere concentrati sul minacce che sono rivolte a loro. Torna a quella passeggiata nei boschi: se le zecche sono un problema nei boschi dove cammini ma gli scorpioni no, allora devi preoccuparti delle zecche, non degli scorpioni.
Una volta che gli analisti delle minacce hanno identificato le minacce che destano preoccupazione, i cacciatori di minacce possono iniziare la loro caccia. Potrebbero cercare prove di vulnerabilità specifiche, ad esempio un router configurato in modo errato, oppure potrebbero cercare frammenti di codice o script specifici incorporati nella loro rete. E se trovano gli elementi per i quali stanno cacciando, possono intraprendere le azioni appropriate e proteggere l'impresa dagli attacchi.