Trace Id is missing
Passa a contenuti principali
Microsoft Security

Cos'è la rilevazione delle minacce informatiche?

La rilevazione delle minacce informatiche è il processo di ricerca proattiva di minacce sconosciute o non rilevate nella rete, negli endpoint e nei dati di un'organizzazione.

Come funziona la rilevazione delle minacce informatiche

La rilevazione delle minacce informatiche usa i cacciatori di minacce per cercare preventivamente potenziali minacce e attacchi all'interno di un sistema o di una rete. Ciò consente di rispondere in modo agile ed efficiente a cyberattacchi sempre più complessi e gestiti dall'uomo. Anche se i metodi tradizionali di cybersecurity identificano le violazioni di sicurezza a posteriori, la rilevazione delle minacce informatiche parte dal presupposto che si sia verificata una violazione e può identificare, adattare e rispondere alle potenziali minacce immediatamente al momento del rilevamento.

Gli utenti malintenzionati sofisticati possono violare un'organizzazione e rimanere inosservati per lunghi periodi di tempo, giorni, settimane o anche di più. L'aggiunta della rilevazione delle minacce informatiche al profilo esistente di strumenti di sicurezza, come il rilevamento e reazione dagli endpoint (EDR) e la gestione delle informazioni di sicurezza e gestione degli eventi (SIEM), consente di prevenire e correggere attacchi che altrimenti potrebbero non essere rilevati dagli strumenti di sicurezza automatizzati.

Rilevazione delle minacce automatica

I cacciatori di minacce informatiche possono automatizzare alcuni aspetti del processo usando l'apprendimento automatico, l'automazione e l'intelligenza artificiale. L’uso di soluzioni come SIEM e EDR può aiutare i cacciatori di minacce a semplificare le procedure di ricerca monitorando, rilevando e rispondendo alle potenziali minacce. I cacciatori di minacce possono creare e automatizzare diversi playbook per rispondere a minacce diverse, riducendo così il carico dei team IT ogni volta che si verificano attacchi simili.

Strumenti e tecniche per la rilevazione delle minacce informatiche

I cacciatori di minacce hanno a disposizione numerosi strumenti, tra cui soluzioni come SIEM e XDR, progettati per collaborare.

  • SIEM: SIEM, una soluzione che raccoglie dati da più origini con l’analisi in tempo reale, può fornire ai cacciatori di minacce indizi su potenziali minacce.
  • Funzionalità di rilevamento e reazione estese (XDR): I cacciatori di minacce possono usare XDR, che fornisce l’intelligence sulle minacce e l’interruzione automatica degli attacchi, per ottenere una maggiore visibilità sulle minacce.
  • EDR: L'EDR, che monitora i dispositivi degli utenti finali, fornisce anche ai cacciatori di minacce un potente strumento, fornendo informazioni dettagliate sulle potenziali minacce all'interno di tutti gli endpoint di un'organizzazione.

Tre tipi di rilevazione delle minacce informatiche

La rilevazione delle minacce informatiche assume in genere una delle tre forme seguenti:

Strutturata: In una ricerca strutturata, i cacciatori di minacce cercano tattiche, tecniche e procedure (TTP) sospette che suggeriscono potenziali minacce. Piuttosto che rivolgersi ai dati o al sistema e cercare i responsabili della violazione, il cacciatore di minacce crea un'ipotesi sul metodo di un potenziale utente malintenzionato e opera metodicamente per identificare i sintomi di tale attacco. Poiché la rilevazione strutturata è un approccio più proattivo, i professionisti IT che usano questa tattica possono spesso intercettare o arrestare rapidamente gli utenti malintenzionati.

Non strutturata: In una ricerca non strutturata, il cacciatore di minacce informatiche cerca un indicatore di compromissione (IoC) ed esegue la ricerca da questo punto di partenza. Poiché il cacciatore di minacce può tornare indietro e cercare nei dati cronologici modelli e indizi, le ricerche non strutturate possono talvolta identificare minacce non rilevate in precedenza che potrebbero ancora mettere a rischio l'organizzazione.

Situazionale: La ricerca delle minacce situazionali dà priorità alle risorse o ai dati specifici all'interno dell'ecosistema digitale. Se un'organizzazione valuta che determinati dipendenti o asset rappresentano i rischi più elevati, può indirizzare i cacciatori di minacce informatiche a concentrare gli sforzi per prevenire o correggere gli attacchi contro queste persone, set di dati o endpoint vulnerabili.

Passaggi e implementazione della rilevazione delle minacce

I cacciatori di minacce informatiche seguono spesso questi passaggi fondamentali durante l'analisi e la correzione di minacce e attacchi:

  1. Creare una teoria o un'ipotesi su una potenziale minaccia. I cacciatori di minacce potrebbero iniziare identificando i TTP comuni di un utente malintenzionato.
  2. Condurre ricerche. I cacciatori di minacce analizzano i dati, i sistemi e le attività dell'organizzazione - una soluzione SIEM può essere uno strumento utile - e raccolgono ed elaborano le informazioni rilevanti.
  3. Identificare il trigger. I risultati delle ricerche e altri strumenti di sicurezza possono aiutare i cacciatori di minacce a riconoscere un punto di partenza per le loro indagini.
  4. Analizzare la minaccia. I cacciatori di minacce usano le loro ricerche e gli strumenti di sicurezza per determinare se la minaccia è dannosa.
  5. Rispondere e correggere. I cacciatori di minacce intervengono per risolvere la minaccia.

Tipi di minacce che i cacciatori possono rilevare

La rilevazione delle minacce informatiche è in grado di identificare un'ampia gamma di minacce diverse, tra cui:

  • Software dannoso e virus: Il Software dannosoSoftware dannoso impedisce l'uso di dispositivi normali ottenendo un accesso non autorizzato ai dispositivi endpoint. Gli Attacchi di phishing, spyware, adware, trojan, worm e ransomware sono tutti esempi di software dannoso. I virus, alcune delle forme più comuni di software dannoso, sono progettati per interferire con il normale funzionamento di un dispositivo registrando, danneggiando o eliminando i dati prima di diffondersi ad altri dispositivi in rete.
  • Minacce interne: Le minacce interne derivano da persone che hanno accesso autorizzato alla rete di un'organizzazione. Sia attraverso azioni dolose che attraverso comportamenti accidentali o negligenti, questi insider utilizzano in modo improprio o causano danni alle reti, ai dati, ai sistemi o alle strutture dell'organizzazione.
  • Minacce persistenti avanzate: Gli attori sofisticati che violano la rete di un'organizzazione e rimangono inosservati per un certo periodo di tempo rappresentano minacce persistenti avanzate. Questi utenti malintenzionati sono abili e spesso hanno risorse adeguate.
    Attacchi di ingegneria sociale: I cyberattacker possono usare la manipolazione e l'inganno per indurre i dipendenti di un'organizzazione a concedere l'accesso o informazioni riservate. Gli attacchi di ingegneria sociale più comuni includono il phishing, l'adescamento e lo scareware.

 

Procedure consigliate per la rilevazione delle minacce informatiche

Quando si implementa un protocollo di rilevazione delle minacce informatiche nell’organizzazione, tenere presenti le procedure consigliate seguenti:

  • Fornire ai cacciatori di minacce una visibilità completa dell’organizzazione. I cacciatori di minacce hanno più successo quando comprendono il quadro generale.
  • Mantenere strumenti di sicurezza complementari come SIEM, XDR ed EDR. I cacciatori di minacce informatiche si affidano alle automazioni e ai dati forniti da questi strumenti per identificare le minacce più rapidamente e con un contesto più ampio per una risoluzione più rapida.
  • Rimani informato sulle minacce e le tattiche emergenti più recenti. Gli utenti malintenzionati e le loro tattiche sono in continua evoluzione: assicurarsi che i cacciatori di minacce dispongano delle risorse più aggiornate sulle tendenze correnti.
  • Formare i dipendenti per identificare e segnalare i comportamenti sospetti. È possibile ridurre la possibilità di minacce interne mantenendo il personale informato.
  • Implementare la gestione delle vulnerabilità per ridurre l'esposizione complessiva al rischio da parte dell’organizzazione.

Perché la rilevazione delle minacce è importante per le organizzazioni

Poiché gli attori malintenzionati diventano sempre più sofisticati nei loro metodi di attacco, è fondamentale che le organizzazioni investano nella rilevazione proattiva delle minacce informatiche. Complementare a forme più passive di protezione dalle minacce, la rilevazione delle minacce informatiche colma le lacune della sicurezza, consentendo alle organizzazioni di correggere minacce che altrimenti non verrebbero rilevate. L'intensificarsi delle minacce da parte di utenti malintenzionati complessi significa che le organizzazioni devono rafforzare le loro difese per mantenere la fiducia nella loro capacità di gestire i dati sensibili e ridurre i costi associati alle violazioni della sicurezza.

Prodotti come Microsoft Sentinel possono contribuire a prevenire le minacce raccogliendo, archiviando e accedendo ai dati storici su scala cloud, semplificando le indagini e automatizzando le attività più comuni. Queste soluzioni possono fornire ai cacciatori di minacce informatiche strumenti potenti per proteggere l’organizzazione.

Altre informazioni su Microsoft Security

Microsoft Sentinel

L'analisi di sicurezza intelligente rileva e blocca le minacce nell'intera azienda.

Microsoft Defender Experts for Hunting

Estendi la rilevazione delle minacce proattiva oltre l'endpoint.

Microsoft Defender Threat Intelligence

Proteggi la tua organizzazione dagli hacker e dalle minacce di oggi, come il ransomware.

SIEM e XDR

Rileva, analizza e rispondi alle minacce sull'intero patrimonio digitale.

Domande frequenti

  • Un esempio di rilevazione delle minacce informatiche è una rilevazione basata su ipotesi in cui il cacciatore di minacce identifica le tattiche, le tecniche e le procedure sospette che un utente malintenzionato potrebbe usare, quindi ne cerca le prove all'interno della rete di un'organizzazione.

  • Il rilevamento delle minacce è un approccio attivo, spesso automatizzato, alla sicurezza informatica, mentre la rilevazione delle minacce è un approccio proattivo, non automatizzato.

  • Un centro operazioni per la sicurezza (SOC) è una funzione o un team centralizzato, in sede o esternalizzato, responsabile del miglioramento della postura di sicurezza informatica di un'organizzazione e della prevenzione, rilevamento e risposta alle minacce. La rilevazione delle minacce informatiche è una delle tattiche usate dai SOC per identificare e correggere le minacce.

  • Gli strumenti di rilevazione delle minacce informatiche sono risorse software a disposizione dei team IT e dei cacciatori di minacce per aiutare a rilevare e risolvere le minacce. Esempi di strumenti per la rilevazione delle minacce sono le protezioni antivirus e firewall, il software EDR, gli strumenti SIEM e l'analisi dei dati.

  • Lo scopo principale della rilevazione delle minacce informatiche è quello di rilevare e correggere in modo proattivo minacce e attacchi sofisticati prima che danneggino l'organizzazione.

  • L’Intelligence sulle minacce informatiche è il software di cybersecurity di informazioni e dati che raccoglie, spesso automaticamente, come parte dei protocolli di sicurezza per una migliore protezione dagli attacchi informatici. La rilevazione alle minacce consiste nel prendere le informazioni raccolte dall'intelligence sulle minacce e usarle per formulare ipotesi e azioni per la ricerca e la correzione delle minacce.

Segui Microsoft Security