Trace Id is missing
Passa a contenuti principali
Microsoft Security

Che cos'è il rilevamento e la risposta alle minacce (TDR)?

Scopri di più su come proteggere le risorse dell'organizzazione identificando e mitigando in modo proattivo i rischi connessi alla cybersecurity con il rilevamento e la risposta alle minacce.

Scopri la soluzione Microsoft XDR

Rilevamento e risposta alle minacce (TDR) definiti

Il rilevamento e la risposta alle minacce sono un processo di cybersecurity per identificare le minacce informatiche alle risorse digitali di un'organizzazione e adottare misure per attenuarle il più rapidamente possibile.

Come funziona il rilevamento e la risposta alle minacce?

Per risolvere le minacce informatiche e altri problemi di sicurezza, molte organizzazioni configurano un centro operazioni per la sicurezza (SOC), che è una funzione o un team centralizzato responsabile del miglioramento della postura di sicurezza informatica di un'organizzazione e della prevenzione, rilevamento e risposta alle minacce. Oltre a monitorare e rispondere agli attacchi informatici in corso, un centro sicurezza di Azure esegue anche attività proattive per identificare le minacce informatiche emergenti e le vulnerabilità dell'organizzazione. La maggior parte dei team SOC, che possono essere in sede o esternalizzati, opera 24 ore su 24, sette giorni alla settimana.

Il SOC usa intelligence sulle minacce e tecnologia per individuare una violazione tentata, riuscita o in corso. Una volta identificata una minaccia informatica, il team responsabile della sicurezza userà gli strumenti di rilevamento e risposta delle minacce per eliminare o attenuare il problema.

Il rilevamento e la risposta alle minacce includono in genere le fasi seguenti:

  • Rilevamento. Gli strumenti di sicurezza che monitorano endpoint, identità, reti, app e cloud aiutano a identificare rischi e potenziali violazioni. I professionisti della sicurezza usano anche tecniche dirilevamento delle minacce informatiche per individuare minacce informatiche sofisticate che eludono il rilevamento.
  • Indagine. Una volta identificato un rischio, il SOC usa l'intelligenza artificiale e altri strumenti per verificare che la minaccia informatica sia reale, determinare come si è verificata e valutare quali asset aziendali sono interessati.
  • Contenimento. Per arrestare la diffusione di un attacco informatico, i team di cybersecurity e gli strumenti automatizzati isolano dispositivi, identità e reti infetti dal resto delle risorse dell'organizzazione.
  • Eliminazione. I team eliminano la causa radice di un evento imprevisto di sicurezza con l'obiettivo di rimuovere completamente l'attore non valido dall'ambiente. Attenuano anche le vulnerabilità che possono mettere l'organizzazione a rischio di un attacco informatico simile.
  • Ripristino. Dopo che i team sono ragionevolmente sicuri che sia stata rimossa una minaccia informatica o una vulnerabilità, riportano online tutti i sistemi isolati.
  • Report. A seconda della gravità dell'evento imprevisto, i team di sicurezza documenteranno e istruiscono brevemente i responsabili, i dirigenti e/o il consiglio su cosa è successo e su come è stato risolto.
  • Mitigazione dei rischi. Per evitare che una violazione simile si verifichi di nuovo e per migliorare la risposta in futuro, i team esaminano l'evento imprevisto e identificano le modifiche da apportare all'ambiente e ai processi.

Che cos'è il rilevamento delle minacce?

L'identificazione delle minacce informatiche è diventata sempre più difficile perché le organizzazioni hanno ampliato il proprio footprint cloud, connesso più dispositivi a Internet ed è passato a un'area di lavoro ibrida. Gli attori danneggiati sfruttano questa area di superficie espansa e la frammentazione negli strumenti di sicurezza con i tipi di tattiche seguenti:

  • Campagne di phishing. Uno dei modi più comuni in cui gli attori malintenzionati si infiltrano in un'azienda consiste nell'inviare messaggi di posta elettronica che inducono i dipendenti a scaricare codice dannoso o a fornire le proprie credenziali.
  • Software dannoso. Molti cyberattacker distribuiscono software progettato per danneggiare computer e sistemi o raccogliere informazioni riservate.
  • Ransomware. Con questo tipo di malware, il ransomware, gli utenti malintenzionati tengono in ostaggio sistemi critici e dati, minacciando di rilasciare dati privati o rubare risorse cloud per estrarre il bitcoin fino a quando non viene pagato un riscatto. Di recente, il ransomware gestito dagli esseri umani, in cui un gruppo di cyberattacker ottiene l'accesso all'intera rete di un'organizzazione, è diventato un problema crescente per i team di sicurezza.
  • Attacchi di tipo distributed denial-of-service (DDoS). Usando una serie di bot, gli attori non validi interrompono un sito Web o un servizio sovraccaro di traffico.
  • Minaccia interna. Non tutte le minacce informatiche provengono dall'esterno di un'organizzazione. Esiste anche il rischio che persone attendibili con accesso a dati sensibili possano danneggiare inavvertitamente o volontariamente l'organizzazione.
  • Attacchi basati sull'identità. La maggior parte delle violazioni riguarda le identità compromesse, ovvero quando i cyberattacker rubano o indovinano le credenziali utente e le usano per ottenere l'accesso ai sistemi e ai dati di un'organizzazione.
  • Attacchi Internet delle cose (IoT). I dispositivi IoT sono anche vulnerabili agli attacchi informatici, in particolare i dispositivi legacy che non hanno i controlli di sicurezza predefiniti dei dispositivi moderni.
  • Attacchi alla catena di approvvigionamento. A volte un attore non valido è destinato a un'organizzazione manomettendo software o hardware fornito da un fornitore di terze parti.
  • Inserimento del codice. Sfruttando le vulnerabilità nel modo in cui il codice sorgente gestisce i dati esterni, i criminali informatici inseriscono codice dannoso in un'applicazione.

Rilevare le minacce
Per anticipare l'aumento degli attacchi alla sicurezza informatica, le organizzazioni usano la modellazione delle minacce per definire i requisiti di sicurezza, identificare vulnerabilità e rischi e assegnare priorità alla correzione. Usando scenari ipotetici, il SOC tenta di entrare nella mente dei criminali informatici in modo che possano migliorare la capacità dell'organizzazione di prevenire o mitigare gli incidenti di sicurezza. Il framework MITRE ATT&CK® è un modello utile per comprendere le tecniche e le tattiche comuni di cyberattacco.

Una difesa a più livelli richiede strumenti che forniscono il monitoraggio continuo in tempo reale dell'ambiente e presentano potenziali problemi di sicurezza. Le soluzioni devono inoltre sovrapporsi, in modo che, se un metodo di rilevamento viene compromesso, un secondo rilevi il problema e informi il team responsabile della sicurezza. Le soluzioni di rilevamento delle minacce informatiche usano diversi metodi per identificare le minacce, tra cui:

  • Rilevamento basato sulla firma. Molte soluzioni di sicurezza analizzano il software e il traffico per identificare firme univoche associate a un tipo specifico di malware.
  • Rilevamento basato sul comportamento. Per rilevare minacce informatiche nuove ed emergenti, le soluzioni di sicurezza cercano anche azioni e comportamenti comuni negli attacchi informatici.
  • Rilevamento basato su anomalie. L'intelligenza artificiale e l'analisi aiutano i team a comprendere i comportamenti tipici di utenti, dispositivi e software in modo che possano identificare qualcosa di insolito che potrebbe indicare una minaccia informatica.

Anche se il software è fondamentale, le persone svolgono un ruolo altrettanto importante nel rilevamento delle minacce informatiche. Oltre a valutare e analizzare gli avvisi generati dal sistema, gli analisti usano tecniche di ricerca cibernetica per cercare in modo proattivo indicazioni di compromissioneoppure cercano tattiche, tecniche e procedure che suggeriscono una potenziale minaccia. Questi approcci consentono al SOC di individuare e arrestare rapidamente attacchi sofisticati e difficili da rilevare

Che cos'è la risposta alle minacce?

Dopo l'identificazione di una minaccia informatica attendibile, la risposta alle minacce include tutte le azioni eseguite dal SOC per includerla ed eliminarla, ripristinarla e ridurre le probabilità che si verifichi di nuovo un attacco simile. Molte aziende sviluppano un piano di risposta agli eventi per guidarli durante una potenziale violazione durante l'organizzazione e lo spostamento rapido è fondamentale. Un buon piano di risposta all'incidenza include playbook con indicazioni dettagliate per tipi specifici di minacce, ruoli e responsabilità e un piano di comunicazione.

Componenti del rilevamento e della risposta alle minacce

Le organizzazioni usano un'ampia gamma di strumenti e processi per rilevare e rispondere in modo efficace alle minacce.

  • Funzionalità di rilevamento e reazione estese

    i prodotti XDR (Extended Detection and Response) consentono ai SOC di semplificare l'intero ciclo di vita di prevenzione, rilevamento e risposta delle minacce informatiche. Queste soluzioni monitorano endpoint, app cloud, posta elettronica e identità. Se una soluzione XDR rileva una minaccia informatica, avvisa i team di sicurezza e risponde automaticamente a determinati eventi imprevisti in base ai criteri definiti dal SOC.

  • Rilevamento e risposta alle minacce all'identità

    Poiché gli attori dannosi spesso sono destinati ai dipendenti, è importante mettere in atto strumenti e processi per identificare e rispondere alle minacce alle identità di un'organizzazione. Queste soluzioni usano in genere l'analisi del comportamento degli utenti e delle entità (UEBA) per definire il comportamento degli utenti di base e individuare anomalie che rappresentano una potenziale minaccia.

  • Informazioni di sicurezza e gestione degli eventi

    Ottenere visibilità sull'intero ambiente digitale è il primo passaggio per comprendere il panorama delle minacce. La maggior parte dei team SOC usa soluzioni SIEM (Security Information and Event Management) che aggregano e correlano i dati tra endpoint, cloud, messaggi di posta elettronica, app e identità. Queste soluzioni usano regole di rilevamento e playbook per esporre potenziali minacce informatiche correlando log e avvisi. I SIEM moderni usano anche l'intelligenza artificiale per individuare le minacce informatiche in modo più efficace e incorporano feed di intelligence sulle minacce esterne, in modo da poter identificare minacce informatiche nuove ed emergenti.

  • Intelligence sulle minacce

    Per ottenere una panoramica completa del panorama delle minacce informatiche, i SOC usano strumenti che sintetizzano e analizzano i dati da un'ampia gamma di origini, tra cui endpoint, posta elettronica, app cloud e origini di intelligence sulle minacce esterne. I dati analitici di questi dati consentono ai team di sicurezza di prepararsi per un attacco informatico, rilevare minacce informatiche attive, analizzare gli eventi imprevisti di sicurezza in corso e rispondere in modo efficace.

  • Rilevamento e reazione dagli endpoint

    Soluzioni EDR (Endpoint Detection and Response) sono una versione precedente delle soluzioni XDR, incentrata solo sugli endpoint, ad esempio computer, server, dispositivi mobili, IoT. Analogamente alle soluzioni XDR, quando viene individuato un potenziale attacco, queste soluzioni generano un avviso e, per alcuni attacchi ben noti, rispondono automaticamente. Poiché le soluzioni EDR si concentrano solo sugli endpoint, la maggior parte delle organizzazioni esegue la migrazione alle soluzioni XDR.

  • Gestione delle vulnerabilità

    La gestione delle vulnerabilità è un processo continuo, proattivo e spesso automatizzato che protegge i sistemi informatici, le reti e le applicazioni aziendali da cyberattacchi e violazioni di dati. Le soluzioni di gestione delle vulnerabilità valutano le vulnerabilità in base alla gravità e al livello di rischio e forniscono report usati dal SOC per risolvere i problemi.

  • Security orchestration, automation, and response

    Security orchestration, automation, and response (SOAR) semplificano il rilevamento e la risposta alle minacce informatiche combinando dati e strumenti interni ed esterni in un'unica posizione centralizzata. Automatizzano anche le risposte alle minacce informatiche in base a un set di regole predefinite.

  • Rilevamento e risposta gestiti

    Non tutte le organizzazioni hanno le risorse per rilevare e rispondere in modo efficace alle minacce informatiche. Rilevamento e risposta gestitiI servizi di rilevamento e risposta gestiti aiutano queste organizzazioni ad aumentare i team di sicurezza con gli strumenti e le persone necessarie per cercare le minacce e rispondere in modo appropriato.

Vantaggi principali del rilevamento e della risposta alle minacce

Esistono diversi modi in cui il rilevamento e la risposta efficaci delle minacce possono aiutare un'organizzazione a migliorare la resilienza e ridurre al minimo l'impatto delle violazioni.

  • Rilevamento anticipato delle minacce

    L'arresto delle minacce informatiche prima che diventino una violazione completa è un modo importante per ridurre drasticamente l'impatto di un evento imprevisto. Grazie ai moderni strumenti di rilevamento e risposta alle minacce e a un team dedicato, i SOC aumentano le probabilità di individuare le minacce nelle prime fasi quando sono più facili da risolvere.

  • Conformità normativa

    I paesi e le aree geografiche continuano a rispettare rigorose leggi sulla privacy che richiedono alle organizzazioni di adottare misure di sicurezza dei dati solide e un processo dettagliato per rispondere agli incidenti di sicurezza. Le aziende che non rispettano queste regole devono affrontare alti valori. Un programma di rilevamento e risposta alle minacce aiuta le organizzazioni a soddisfare i requisiti di queste leggi.

  • Tempo di attesa ridotto

    In genere, gli attacchi informatici più dannosi sono derivanti da eventi imprevisti in cui i cyberattacker hanno impiegato la maggior parte del tempo senza essere rilevati in un ambiente digitale. La riduzione del tempo trascorso senza rilevamento, o tempo di attesa, è fondamentale per limitare il danno. I processi di rilevamento e risposta alle minacce, come la ricerca delle minacce, aiutano i SOC a rilevare rapidamente questi attori danneggiati e limitarne l'impatto.

  • Maggiore visibilità

    Gli strumenti di rilevamento e risposta alle minacce, come SIEM e XDR, consentono ai team delle operazioni di sicurezza di ottenere una maggiore visibilità sul proprio ambiente, in modo che non solo identifichi rapidamente le minacce, ma anche le potenziali vulnerabilità, ad esempio software obsoleto, che devono essere risolte.

  • Protezione dei dati sensibili

    Per molte organizzazioni, i dati sono uno degli asset più importanti. Gli strumenti e le procedure appropriati per il rilevamento e la risposta alle minacce consentono ai team di sicurezza di intercettare gli attori non validi prima di ottenere l'accesso ai dati sensibili, riducendo la probabilità che queste informazioni diventino pubbliche o vengano vendute sul Dark Web.

  • Comportamento di sicurezza proattivo

    Il rilevamento e la risposta alle minacce illuminano anche le minacce emergenti e fanno luce sul modo in cui gli attori malintenzionati possono ottenere l'accesso all'ambiente digitale di un'azienda. Con queste informazioni, i SOC possono rafforzare l'organizzazione ed evitare attacchi futuri.

  • Risparmio sui costi

    Un attacco informatico di successo può essere molto costoso per un'organizzazione in termini di denaro effettivo speso per riscatti, tariffe normative o attività di ripristino. Può anche causare una perdita di produttività e vendite. Rilevando rapidamente le minacce e rispondendo nelle prime fasi di un attacco informatico, le organizzazioni possono ridurre i costi degli incidenti di sicurezza.

  • Gestione della reputazione

    Una violazione di dati di alto profilo può causare molti danni alla reputazione di un'azienda o di un governo’. Le persone perdono la fiducia negli istituti che ritengono non facciano un buon lavoro proteggendo le informazioni personali. Il rilevamento e la risposta alle minacce possono contribuire a ridurre la probabilità di un evento imprevisto di notizie e a garantire a clienti, cittadini e altri stakeholder la protezione delle informazioni personali.

Procedure consigliate per il rilevamento e la risposta alle minacce

Le organizzazioni che sono efficaci nel rilevamento e nella risposta alle minacce si occupano di procedure che aiutano i team a collaborare e migliorare il loro approccio, causando un numero minore e meno costoso di attacchi informatici.

  • Organizza regolarmente corsi di formazione

    Anche se il team SOC ha la maggiore responsabilità di proteggere un'organizzazione, tutti gli utenti di un'azienda hanno un ruolo da svolgere. La maggior parte degli incidenti di sicurezza inizia con un dipendente che cade nella trappola di una campagna di phishing o usa un dispositivo non approvato. La formazione regolare aiuta la forza lavoro a rimanere in contatto con le possibili minacce, in modo che possa inviare una notifica al team responsabile della sicurezza. Un buon programma di formazione assicura anche che i professionisti della sicurezza rimangano aggiornati sugli strumenti, i criteri e le procedure di risposta alle minacce più recenti.

  • Sviluppa un piano di risposta agli incidenti

    Un incidente di sicurezza è in genere un evento stressante che richiede che le persone si spostino rapidamente non solo per risolvere e ripristinare, ma anche per fornire aggiornamenti accurati agli stakeholder pertinenti. Un piano di risposta agli eventi imprevisti rimuove alcune delle congetture definendo i passaggi appropriati di contenimento, eliminazione e ripristino. Fornisce anche indicazioni alle risorse umane, alle comunicazioni aziendali, alle relazioni pubbliche, agli avvocati e ai dirigenti senior che devono assicurarsi che i dipendenti e gli altri stakeholder sappiano cosa accade e che l'organizzazione sia conforme alle normative pertinenti.

  • Favorisci una collaborazione forte

    La gestione delle minacce emergenti e il coordinamento di una risposta efficace richiedono una buona collaborazione e comunicazione tra i membri del team di sicurezza. Gli utenti devono comprendere in che modo gli altri membri del team stanno valutando le minacce, confrontare le note e collaborare su potenziali problemi. La collaborazione si estende anche ad altri reparti dell'azienda che potrebbero essere in grado di rilevare le minacce o di fornire assistenza nella risposta.

  • Distribuisci l'intelligenza artificiale

    Intelligenza artificiale per la cybersecurityL'intelligenza artificiale per la sicurezza informatica sintetizza i dati di tutta l'organizzazione, offrendo informazioni dettagliate che consentono ai team di concentrare il proprio tempo e affrontare rapidamente gli eventi imprevisti. Le moderne soluzioni SIEM e XDR usano l'intelligenza artificiale per correlare singoli avvisi in eventi imprevisti, consentendo alle organizzazioni di rilevare più rapidamente le minacce informatiche. Alcune soluzioni, come Microsoft Defender XDR, usano l'intelligenza artificiale per interrompere automaticamente gli attacchi informatici in corso. L'intelligenza artificiale generativa in soluzioni come Microsoft Security Copilot, aiuta i team SOC a indagare e rispondere rapidamente agli eventi imprevisti.

Soluzioni di rilevamento e risposta alle minacce

Il rilevamento e la risposta alle minacce sono una funzione critica che tutte le organizzazioni possono usare per individuare e risolvere le minacce informatiche prima che causino danni. Microsoft Security offre diverse soluzioni di protezione dalle minacce per aiutare i team della sicurezza a monitorare, rilevare e rispondere alle minacce informatiche. Per le organizzazioni con risorse limitate, Microsoft Defender Experts offre servizi gestiti per aumentare il personale e gli strumenti esistenti.

Altre informazioni su Microsoft Security

Piattaforma delle operazioni per la sicurezza unificata

Proteggi l’l'intero patrimonio digitale con un'esperienza unificata di rilevamento, indagine e risposta.

Scopri di più

Microsoft Defender XDR

Accelera la risposta con visibilità a livello di evento imprevisto e interruzioni automatiche degli attacchi.

Scopri di più

Microsoft Sentinel

L'analisi di sicurezza intelligente rileva e blocca le minacce informatiche nell'intera azienda.

Scopri di più

Microsoft Defender Experts per XDR

Ottieni assistenza per arrestare gli utenti malintenzionati e prevenire futuri compromessi con un servizio XDR gestito.

Scopri di più

Gestione delle vulnerabilità di Microsoft Defender

Riduci le minacce informatiche con le valutazioni continue delle vulnerabilità, l'assegnazione delle priorità in base al rischio e la correzione.

Scopri di più

Microsoft Defender for Business

Proteggi la tua piccola o media azienda da attacchi informatici, come malware e ransomware.

Scopri di più

Domande frequenti

  • Il rilevamento avanzato delle minacce include le tecniche e gli strumenti usati dai professionisti della sicurezza per individuare minacce persistenti avanzate, ovvero minacce sofisticate progettate per rimanere non rilevate per un lungo periodo di tempo. Queste minacce sono spesso più gravi e possono includere spoinaggio o furto di dati.

  • I metodi principali di rilevamento delle minacce sono soluzioni di sicurezza, ad esempio SIEM o XDR, che analizzano l'attività nell'ambiente per individuare indicazioni di compromissione o comportamento che deviano da quanto previsto. Le persone lavorano con questi strumenti per valutare e rispondere alle potenziali minacce. Usano anche XDR e SIEM per cercare utenti malintenzionati sofisticati che potrebbero eludere il rilevamento.

  • Il rilevamento delle minacce è il processo di individuazione di potenziali rischi per la sicurezza, incluse attività che potrebbero indicare che un dispositivo, un software, una rete o un'identità è stato compromesso. La risposta agli eventi imprevisti include i passaggi eseguiti dal team responsabile della sicurezza e dagli strumenti automatizzati per contenere ed eliminare una minaccia informatica.

  • Il processo di rilevamento e risposta alle minacce include:

    • Rilevamento. Gli strumenti di sicurezza che monitorano endpoint, identità, reti, app e cloud aiutano a identificare rischi e potenziali violazioni. I professionisti della sicurezza usano anche tecniche dirilevamento delle minacce informatiche per tentare di individuare minacce informatiche emergenti.
    • Indagine. Una volta identificato un rischio, le persone usano l'intelligenza artificiale e altri strumenti per verificare che la minaccia informatica sia reale, determinare come si è verificata e valutare quali asset aziendali sono interessati.
    • Contenimento. Per arrestare la diffusione di un attacco informatico, i team di cybersecurity isolano dispositivi, identità e reti infetti dal resto delle risorse dell'organizzazione.
    • Eliminazione. I team eliminano la causa radice di un incidente di sicurezza con l'obiettivo di rimuovere completamente l'antagonista dall'ambiente e mitigare le vulnerabilità che potrebbero mettere l'organizzazione a rischio di un attacco informatico simile.
    • Ripristino. Dopo che i team sono ragionevolmente sicuri che sia stata rimossa una minaccia informatica o una vulnerabilità, riportano online tutti i sistemi isolati.
    • Report. A seconda della gravità dell'evento imprevisto, i team di sicurezza documenteranno e istruiscono brevemente i responsabili, i dirigenti e/o il consiglio su cosa è successo e su come è stato risolto.
    • Mitigazione dei rischi. Per evitare che una violazione simile si verifichi di nuovo e per migliorare la risposta in futuro, i team esaminano l'evento imprevisto e identificano le modifiche da apportare all'ambiente e ai processi.

  • TDR è l'acronimo di Threat Detection and Response, ovvero un processo di identificazione delle minacce alla sicurezza informatica per un'organizzazione e di adozione di misure per mitigare tali minacce prima che causino danni reali. EDR è l'acronimo di Endpoint Detection and Response, una categoria di prodotti software che monitora gli endpoint di un'organizzazione per individuare potenziali attacchi informatici, espone tali minacce informatiche al team responsabile della sicurezza e risponde automaticamente a determinati tipi di attacchi informatici.

Segui Microsoft 365