Esplorare la rilevazione delle minacce con Microsoft Threat Protection

Anche se i team delle operazioni per la sicurezza ben finanziati e ben organizzati spesso dispongono di meccanismi di rilevamento estremamente sofisticati, hanno comunque bisogno di esperti in grado di eseguire indagini guidate per individuare e bloccare determinate minacce. Ad esempio, gli attaccanti più sofisticati spesso sfruttano le normali funzionalità di sistema che non lasciano tracce identificabili. Certo, gli algoritmi di rilevamento basati sul comportamento e alimentati dall'apprendimento automatico e dall'intelligenza artificiale possono imparare e rispondere rapidamente. Ma gli esperti umani continuano a svolgere il ruolo più prezioso nella rilevazione delle minacce. Il loro ruolo è particolarmente importante se conoscono la rete e hanno familiarità con le possibili modalità di attacco.

Che cos'è la rilevazione delle minacce?

La rilevazione delle minacce informatiche, o più semplicemente ricerca delle minacce, è un'attività di cybersecurity proattiva. Il suo obiettivo è quello di trovare le minacce che sono:

• Sepolti in grandi quantità di segnali di sicurezza e dati di avviso.
• Non contrassegnato dai prodotti di sicurezza.

Durante la rilevazione delle minacce, i professionisti delle operazioni per la sicurezza applicano i risultati delle attività di intelligence sulle minacce, derivanti dalle proprie ricerche interne o da ricerche esterne. Armati di queste informazioni, elaborano modi ingegnosi per individuare l'esistenza di una minaccia che altrimenti non verrebbe rilevata. Per farlo, hanno bisogno di un accesso efficiente a dati completi sugli eventi e sulle entità nella loro rete. Hanno anche bisogno di una buona comprensione quantificabile degli stati normali o delle baseline.

La rilevazione delle minacce consente agli analisti di lavorare con baseline definite ed evidenziare i comportamenti che potrebbero essere interessanti. Dati gli strumenti giusti, gli analisti possono personalizzare le attività di ricerca delle minacce in base agli ambienti e alle minacce previste. Ad esempio, possono cercare comportamenti insoliti, ad esempio connessioni di rete impreviste, che potrebbero indicare che qualcuno ha compromesso un account o un'app interna.

Anche il processo di definizione delle baseline può rientrare nella rilevazione delle minacce. Per definire le baseline, gli analisti hanno bisogno di strumenti in grado di guardare rapidamente avanti e indietro nel tempo. Questi strumenti devono fornire dati sufficientemente granulari per definire gli stati normali.

La rilevazione efficace delle minacce si basa su:

• Dati completi, ben strutturati e recuperabili sul sistema e sugli eventi.
• Intelligence sulle minacce: informazioni sugli attori delle minacce o sull’infrastruttura, le metodologie e gli indicatori che li riguardano.
• Informazioni granulari sulle baseline che rappresentano le attività e gli stati normali.

Per comprendere i concetti relativi alla ricerca delle minacce, si esaminerà un esempio di ciò che è stato illustrato da Jessica, amministratore delle operazioni di sicurezza di Contoso:

1. Jessica viene a conoscenza di una nuova vulnerabilità che interessa una delle suite di prodotti nell'ambiente di Contoso. In questo caso, gli attacchi sono rivolti a un noto sistema di gestione dei contenuti Web (CMS).
2. Dopo aver fatto altre ricerche, Jessica non è in grado di determinare come gli utenti malintenzionati intendono usare questa vulnerabilità. Poiché il rilascio di questa vulnerabilità è così recente, non sono disponibili dati cronologici che Jessica può analizzare per determinare il modo in cui gli utenti malintenzionati hanno usato questa minaccia nell'ambiente di Contoso. La situazione di Contoso è ancora più difficile perché non è ancora disponibile una patch per risolvere il problema.
3. Jessica crea una query per i comportamenti legati ai processi coinvolti in questa vulnerabilità. Questa query determina una baseline esistente e un comportamento normale. Jessica modifica quindi le query esistenti per restituire solo i comportamenti che non si aspettano.
4. Crea anche delle regole in modo che le query vengano eseguite regolarmente e inviino notifiche al team delle operazioni per la sicurezza ogni volta che ci sono delle corrispondenze.
5. Dato che Jessica ha eseguito una ricerca approfondita e ha costruito query eccellenti, considerando attentamente la possibilità che alcuni computer non interessati possano mostrare un comportamento simile a quello di una minaccia, ogni corrispondenza a una delle query è un’indicazione preziosa per la rilevazione delle minacce. Queste corrispondenze includono attività di processo insolite che potrebbero effettivamente essere tentativi di abusare del CMS vulnerabile di Contoso.

In passato, la ricerca delle minacce richiedeva alle organizzazioni di completare processi noiosi e dispendiosi in termini di tempo che erano lenti, complessi e frustrante da gestire. Microsoft ha risolto questo problema con Microsoft Threat Protection, progettato per essere veloce, semplice e semplice.

Rilevazione delle minacce in Microsoft Threat Protection

Le soluzioni di archiviazione e calcolo basate sul cloud consentono alle organizzazioni di raccogliere facilmente grandi quantità di dati. Tuttavia, man mano che vengono archiviati set di dati più grandi, cresce l'esigenza di manipolarli in modo efficace e comprenderne il significato. Qui entra in gioco la potenza di Microsoft Threat Protection.

Le funzionalità di ricerca delle minacce in Microsoft Threat Protection consentono alle organizzazioni di individuare le minacce tra utenti, endpoint, posta elettronica, strumenti di produttività e app. Dopo avere rilevato queste minacce, Microsoft Threat Protection le contrassegna e le corregge automaticamente.

La potenza del cloud di Azure, unita alle informazioni dettagliate di Microsoft Intelligent Security Graph, rende possibile Microsoft Threat Protection. I passaggi seguenti forniscono un riepilogo del processo di Microsoft Threat Protection:

1. Al livello più elementare, Intelligent Security Graph raccoglie tutti i dati relativi alla sicurezza da ogni applicazione Microsoft.
2. Quindi analizza questa enorme quantità di dati di intelligence sulle minacce e di sicurezza provenienti da tutto il portfolio Microsoft a fronte di indicatori, regole umane specializzate e algoritmi di apprendimento automatico dell’intelligenza artificiale Microsoft.
3. Intelligent Security Graph genera poi avvisi significativi, identificando i componenti delle minacce e le attività che le funzionalità di indagine e reazione automatizzati (AIR) possono correggere.

Ad esempio, Microsoft Threat Protection distingue i tentativi dannosi dai tentativi normali di scrittura nel Registro di sistema. A questo scopo, esamina milioni di esempi di scritture nel Registro di sistema e i relativi contesti. Questi contesti includono i file o i processi coinvolti, pedigree di file, modifiche apportate al Registro di sistema, date e ore delle modifiche e così via. Con questa mole di informazioni di base, l'intelligenza artificiale Microsoft è in grado di emettere avvisi e di iniziare a condurre attività correttive, mettendo rapidamente in quarantena le modifiche dannose al Registro di sistema e i file associati.

L'intelligenza artificiale Microsoft e altri sistemi automatizzati sono in grado di rilevare le minacce in modo efficace. Ma l’intuizione e la flessibilità umane possono giungere a risultati migliori in presenza di scenari altamente specializzati o insoliti. Le funzionalità di rilevazione delle minacce di Microsoft Threat Protection forniscono gli strumenti di cui gli analisti umani hanno bisogno per:

• Accedere e gestire in modo efficace set di dati di grandi dimensioni. L'interfaccia di Microsoft Threat Protection è facile da usare, reattiva ed etichetta e organizza bene i dati. Allo stesso tempo, l'archiviazione dei log è semplice come qualsiasi soluzione di calcolo e archiviazione basata sul cloud competitiva. Le organizzazioni possono distribuire e ridimensionare Microsoft Threat Protection senza integratori di sistemi professionali o altri specialisti.
• Automatizzare il monitoraggio delle corrispondenze interessanti sui nuovi dati. Microsoft Threat Protection monitora le nuove attività per individuare le corrispondenze alle attività di attacco modellate dagli analisti. Senza questa automazione, gli analisti devono cercare manualmente le corrispondenze man mano che arrivano nuovi dati.

Verifica delle conoscenze

Scegliere la risposta migliore per ognuna delle domande seguenti.