Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

PROFESSIONI CYBER

Threat hunter, il “cacciatore di minacce”: chi è, che fa e quali competenze deve avere

Il threat hunter ha il compito di identificare, isolare e neutralizzare in maniera proattiva le minacce informatiche più avanzate capaci di bypassare le misure difensive automatiche. Ecco perché riveste un ruolo fondamentale nella cyber security aziendale

06 Giu 2019
C

Roberto Chiodi

Cyber Security and IT Governance Consultant - Yarix, divisione sicurezza digitale di Var Group


Il termine cyber threat hunter – o cyber security threat analyst – definisce quei professionisti che, occupandosi di sicurezza delle informazioni, hanno il compito di identificare, isolare e neutralizzare in maniera proattiva ed iterativa le minacce informatiche più avanzate, tali da bypassare le misure difensive automatiche.

Questa nuova figura riveste un ruolo chiave nella cyber threat intelligence, disciplina emergente che pone l’attenzione sulla necessità di affiancare, agli attuali strumenti automatici di analisi, specialisti capaci di scoprire incidenti che diversamente un’organizzazione non riuscirebbe neppure a rilevare.

Un report del SANS Institute datato 2017 indica come sempre più realtà stiano perseguendo iniziative di threat hunting, seppur limitatamente a mercati specifici come high tech, financial, telecomunicazioni, ambiti militari e governativi.

Threat hunter: il suo ruolo nella cyber security aziendale

Il lavoro di un threat hunter fa quindi riferimento al Principio di Pareto (80/20): l’80% dei rischi cibernetici è considerabile come semplice, non particolarmente sofisticato, e quindi affrontabile adottando classiche misure di prevenzione ed attenzione.

Al contrario, il restante 20% risulta composto da attacchi avanzati, la cui metà si stima possa essere comunque affrontata con buoni sistemi difensivi automatici.

Rimane quindi escluso un 10% di cyber minacce, che rischiano di non essere nemmeno prese in considerazione, in quanto non segnalate dagli strumenti classici di monitoraggio.

La missione di un threat hunter, quindi, è quella di rilevare questi pericoli prima che possano causare un reale danno all’organizzazione, dall’esterno (nel caso di un cyber criminale) o dall’interno (nel caso di un insider).

I compiti del threat hunter

Cosa distingue un threat hunter dalle altre figure del panorama della cyber security?

Un threat hunter non si occupa della risoluzione di incidenti che sono già avvenuti, pur avendo la facoltà di collaborare con il team addetto alla risposta e contenimento di eventi ad alto impatto.

Piuttosto, concentrerà i propri sforzi sull’analisi dei comportamenti, degli obiettivi, delle metodologie che attaccanti avanzati potrebbero intraprendere per arrecare danno al business dell’azienda.

Nello specifico, un threat hunter ha la necessità di raccogliere e analizzare ampie quantità di dati, che consentano di elaborare previsioni su possibili attacchi o chance di attacco.

Un’altra differenza rispetto ai metodi adottati da figure di prevenzione come i penetration tester sta nell’assumere che un attaccante sia già riuscito a violare il perimetro di sicurezza aziendale e si sia infiltrato all’interno della stessa, in attesa di portare a segno il proprio attacco determinante.

Per poter individuare queste situazioni, un threat hunter procede con un’analisi comportamentale dell’intero ambiente, alla ricerca di segnali eccezionali e sintomatici di un evento anomalo in corso, malgrado non vi sia traccia di un’effettiva compromissione.

Si può quindi delineare il seguente processo schematico:

  • creazione di un’ipotesi basata sul contesto (context-based): trattandosi di un processo proattivo, in questa fase è necessario definire l’oggetto della propria ricerca (o caccia, come da traduzione letterale) attraverso un’ipotesi context-based composta da Prioritized Intelligence Requirements. Quest’ultimo è un concetto mutuato dall’ambito militare e identifica la necessità di definire cosa si voglia conoscere del proprio nemico. Un buon PIR deve, quindi, essere specifico, mirato e direttamente relazionato a decisioni strategiche in ambito di cyber difesa.
  • conduzione della “caccia”: i Prioritized Intelligence Requirements vengono trasformati in Specific Information Requirements. Questo passaggio dà il via alla vera e propria cyber caccia, andando a confermare o confutare le ipotesi precedentemente formulate:
    1. se l’ipotesi non era corretta, il caso si può definire chiuso ed il threat hunter lavorerà al Prioritized Intelligence Requirement successivo;
    2. se l’ipotesi era corretta, è necessario attivarsi per definire l’estensione dell’attacco e gli obiettivi già conseguiti, in modo da predisporre un’appropriata risposta;
  • risposta all’attacco: in collaborazione con i team di risposta incidenti, lo specialista concorrerà alla definizione del miglior modo per contenere e risolvere la minaccia in corso, attraverso un piano di remediation a breve ed a lungo termine;
  • apprendimento dal caso: il cerchio si chiude con la cosiddetta fase di lesson-learned, che sistematizza le riflessioni necessarie per prevenire futuri casi simili e, in un’ottica di miglioramento continuo, rimediare ad eventuali falle nel processo di gestione.

I requisiti necessari

Date queste premesse, è inevitabile che i requisiti per ricoprire un ruolo così importante e delicato siano sfidanti. Nello specifico, le caratteristiche critiche richieste ad un threat hunter possono così essere riassunte:

  1. riconoscimento di pattern e ragionamento deduttivo: gli attaccanti sono alla costante ricerca di nuove, creative modalità di sfruttamento di vulnerabilità. I cosiddetti exploit “zero-day” sono ormai all’ordine del giorno, per cui un cyber threat hunter necessita di riconoscere pattern da associare alle TTP (Tattiche Tecniche Procedure) di minacce note e malware avanzati, attraverso un approfondito studio comportamentale e lo sviluppo di teorie logiche relative alle modalità di attacco;
  2. data analytics: un threat hunter si appoggia a strumenti tecnologici per il monitoraggio degli ambienti e si occupa della raccolta di log e dati utili per la propria attività di data analytics. Risulta quindi fondamentale una solida competenza in questo ambito e nei relativi strumenti e tecniche, necessari per produrre grafici e diagrammi che siano d’aiuto per estrapolare dai dati le informazioni necessarie;
  3. malware analysis e data forensic: alla scoperta di una nuova minaccia, un threat hunter dovrà abitualmente effettuare attività di reverse engineering sul codice malevolo, utilizzando le tecniche di data forensic per comprendere come il malware sia stato distribuito e quali siano le sue caratteristiche;
  4. comunicazione: risulta, infine, fondamentale una efficiente comunicazione agli stakeholder coinvolti dall’evento e dalla sua mitigazione.

Figure con questi requisiti, soprattutto in Italia, non sono comuni da rintracciare, ma di contro la richiesta è in sensibile aumento, complice la volontà delle aziende più strutturate di mettere in campo un approccio proattivo nella difesa dei propri crown jewels.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5