{"id":15526,"date":"2018-04-20T16:57:43","date_gmt":"2018-04-20T14:57:43","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=15526"},"modified":"2019-11-22T11:05:12","modified_gmt":"2019-11-22T09:05:12","slug":"threat-hunting-rsa-2018","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/threat-hunting-rsa-2018\/15526\/","title":{"rendered":"Threat hunting: chi se ne occupa e quando ricorrervi"},"content":{"rendered":"

Il threat hunting<\/em> \u00e8 stato uno degli argomenti principali della conferenza RSA 2018. Gli esperti concordano sul fatto che si tratti di una pratica necessaria per contrastare i moderni attacchi APT. I pareri discordano quando ci si cerca di capire cosa sia esattamente il threat hunting<\/em>, pi\u00f9 che altro quali pratiche raccoglie questa definizione. E parlando proprio di definizione, ci si \u00e8 accordati nell\u2019utilizzare il libro How to Hunt for Security Threats, <\/em>dove si spiega che il threat hunting<\/em> \u00e8 un processo di analisi che consente alle aziende di individuare le minacce avanzate nascoste che i controlli preventivi e di identificazione automatizzati non sono riusciti a riscontrare.<\/p>\n

Sempre secondo questa definizione, il threat hunting<\/em> deve essere eseguito da esperti in cybersicurezza, \u00e8 un processo che non pu\u00f2 essere automatizzato. In ogni caso, i risultati ottenuti dagli esperti, che vanno alla ricerca di anomalie, contribuiranno a migliorare i sistemi di rilevamento automatico, che apprendono a identificare scenari di attacco che un tempo richiedevano l\u2019occhio di un esperto.<\/p>\n

Quando ricorrervi<\/h3>\n

Per gli esperti la domanda \u201cci sono nemici nella vostra rete?\u201d \u00e8 superflua perch\u00e9 ovviamente s\u00ec che ci sono. E, sempre secondo gli esperti, non \u00e8 mai troppo presto per iniziare a fare threat hunting<\/em>. Dal nostro punto di vista, speriamo che ci\u00f2 non sia sempre vero, ma non vuol dire che non sia arrivato il momenti di pensare al threat hunting<\/em>, soprattutto se avete un\u2019infrastruttura aziendale altamente distribuita.<\/p>\n

In ogni caso, si tratta di una pratica di sicurezza avanzata che richiede certe risorse e un certo livello di sistemi di sicurezza. Perci\u00f2, se siete indecisi se organizzare un procedimento di threat hunting<\/em> o adottare un sistema ben definito di Detection and Response vi consigliamo quest\u2019ultimo, in quanto vi permetter\u00e0 di escludere le minacce minori dal successivo processo di threat hunting<\/em>, e fornir\u00e0 informazioni che saranno molto utili per l\u2019esperto che si dedicher\u00e0 a tale compito.<\/p>\n

Chi dovrebbe occuparsene<\/h3>\n

La questione principale \u00e8 se un threat hunter<\/em> deve essere un esperto in-house o esterno. Entrambe le scelte hanno dei pro e dei contro. Un specialista interno ha una conoscenza profonda dell\u2019architettura della rete locale e delle sue caratteristiche, mentre un esperto esterno in cybersicurezza ha una vasta conoscenza del panorama delle minacce ma ha bisogno di un po\u2019 di tempo per imparare a conoscere l\u2019intera infrastruttura locale. E si tratti di due aspetti importanti in egual misura. Si potrebbe pensare di intervallare esperti interni ed esterni (se \u00e8 possibile e se disponete gi\u00e0 di un esperto in-house che possa occuparsene).<\/p>\n

La maggior parte delle reti aziendali si assomiglia in qualche modo. Naturalmente esistono le dovute eccezioni, ma non sono cos\u00ec frequenti. Un esperto esterno che si occupa regolarmente di threat hunting<\/em> per varie aziende non avr\u00e0 problemi a gestire le piccole differenze tra un\u2019azienda e un\u2019altra.<\/p>\n

Un altro aspetto che riguarda i candidati in-house \u00e8 che il threat hunting<\/em> pu\u00f2 essere una pratica tediosa. Andare alla ricerca di processi dannosi nascosti tra i log \u00e8 un\u2019occupazione monotona che pu\u00f2 mettere alla prova anche gli esperti IT pi\u00f9 entusiasti. Per questo sarebbe meglio che ci fossero diversi esperti del centro di operazioni per la sicurezza che a turno possano dedicarsi a tale compito, invece di un unico threat hunter<\/em> a tempo pieno.<\/p>\n

Per quanto riguarda le capacit\u00e0 dei candidati, la persona ideale dovrebbe essere attenta, pazienee e con un certo grado di esperienza in minacce informatiche. E non deve mancare l\u2019intuizione. Trovare una persona che abbia tutte queste caratteristiche non \u00e8 facile in quanto \u00e8 difficile capire se una persone \u00e8 dotata di intuizione o no, soprattutto leggendo un curriculum.<\/p>\n

Per quanto riguarda un esperto esterno, i servizi di threat hunting<\/em> offerti dai nostri esperti potrebbero fare al caso vostro. Gli specialisti di Kaspersky Lab possono analizzare la vostra infrastruttura per identificare qualsiasi segnale presente\u00a0 o passato che indichi un problema, oppure possono organizzare un sistema di analisi e monitoraggio continui dei vostri dati sulle minacce. Per saperne di pi\u00f9 sui servizi di Threat Hunting di Kaspersky Lab, vi invitiamo a visitare questa pagina<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Dalla conferenza RSA: ecc come andare alla caccia di minacce nelle infrastrutture aziendali. <\/p>\n","protected":false},"author":700,"featured_media":15527,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[2822,2576],"class_list":{"0":"post-15526","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-expertise","10":"tag-threat-hunting"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/threat-hunting-rsa-2018\/15526\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/threat-hunting-rsa-2018\/13178\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/threat-hunting-rsa-2018\/15939\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/threat-hunting-rsa-2018\/22131\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/threat-hunting-rsa-2018\/10355\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/threat-hunting-rsa-2018\/10527\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/threat-hunting-rsa-2018\/16506\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/threat-hunting-rsa-2018\/9637\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/threat-hunting-rsa-2018\/20219\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/threat-hunting\/","name":"threat hunting"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=15526"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15526\/revisions"}],"predecessor-version":[{"id":18643,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/15526\/revisions\/18643"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/15527"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=15526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=15526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=15526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}