Migliorare le Pratiche di Ricerca delle Minacce Cyber
Uno studio rivela strategie efficaci per migliorare la caccia alle minacce nella cybersecurity.
― 6 leggere min
Indice
La cybersecurity è una preoccupazione importante per le grandi organizzazioni, comprese le istituzioni governative e le aziende. I metodi tradizionali di cybersecurity si concentrano principalmente sul prevenire attacchi e rispondere dopo che sono avvenuti. I team di cybersecurity cercano di tenere lontani gli intrusi e, se ci riescono, puliscono dopo eventuali violazioni. Di recente, è emerso un nuovo metodo chiamato Cyber Threat Hunting (TH). Questo approccio proattivo prevede la ricerca attiva di potenziali minacce che potrebbero essere passate inosservate dalle difese esistenti.
Il threat hunting è ora richiesto per le agenzie federali e i loro appaltatori. Tuttavia, essendo un campo più recente, molti team di threat hunting non hanno un processo ben definito da seguire. C'è ancora tanto da imparare sulle migliori pratiche e sulle sfide che affrontano questi team. Per migliorare la comprensione in questo settore, è stato condotto uno studio intervistando cacciatori di minacce all'interno del Dipartimento della Sicurezza Interna degli Stati Uniti (DHS).
Importanza della Cybersecurity
Le intrusioni informatiche rappresentano una seria minaccia sia per le organizzazioni pubbliche che per quelle private. Uno studio ha dimostrato che l'accesso non autorizzato alle reti potrebbe costare alle aziende una media di 13 milioni di dollari all’anno. Inoltre, le organizzazioni potrebbero perdere dati sensibili o affrontare problemi legati alla sicurezza nazionale. Se un intruso rimane non rilevato a lungo, i danni potrebbero essere peggiori. Uno studio ha indicato che ridurre il tempo in cui un intruso rimane inosservato potrebbe abbattere notevolmente i costi complessivi di un attacco.
Per identificare minacce che potrebbero sfuggire alle misure di sicurezza, le organizzazioni implementano il Cyber Threat Hunting. Questo processo prevede la ricerca di intrusioni che le difese abituali potrebbero non rilevare. Sia il settore pubblico che quello privato si dedicano al threat hunting, anche se le organizzazioni private tendono a concentrarsi su minacce all'interno delle proprie reti.
Nonostante la crescente necessità di threat hunting, un sondaggio ha rilevato che la maggior parte delle organizzazioni non aveva un processo formale per farlo. Questa mancanza di struttura limita la loro capacità di adottare le migliori pratiche e migliorare nel tempo. Per affrontare questo problema, i ricercatori hanno intervistato i cacciatori di minacce per raccogliere informazioni sulle loro pratiche.
metodologia dello Studio
Lo studio ha coinvolto interviste semi-strutturate con 11 cacciatori di minacce di due organizzazioni all'interno del DHS. Ogni intervista è durata circa un'ora e ai partecipanti sono state poste domande sui loro processi e sfide. I trascritti delle interviste sono stati analizzati per identificare temi e intuizioni comuni.
I ricercatori hanno utilizzato metodi di codifica per analizzare i dati raccolti dalle interviste. L'obiettivo era sviluppare una migliore comprensione di come i team del DHS conducono il threat hunting e creare un modello di processo unificato basato sui risultati.
Risultati sui Processi di Threat Hunting
L'analisi ha rivelato una varietà di approcci utilizzati dai team di threat hunting studiati. I loro processi non si allineavano bene con la letteratura esistente sul threat hunting, evidenziando le sfide uniche affrontate dai team governativi. Sulla base delle interviste, è stato sviluppato un processo di threat hunting unificato, che include diverse fasi distinte.
Fasi del Processo di Threat Hunting
Iniziare la Caccia: Le missioni di threat hunting possono iniziare in due modi: proattivamente o in risposta a trigger. Le missioni proattive vengono avviate dall'organizzazione senza sospetti specifici di una violazione, mentre le missioni attivate nascono da informazioni che suggeriscono intrusioni non rilevate.
Pianificare la Missione: Questa fase prevede il coordinamento tra i team di threat hunting e l'organizzazione che richiede la caccia. Include la valutazione delle parti della rete che saranno esaminate, la creazione di ipotesi e la documentazione del piano di missione.
Raccogliere Intelligenza: I team raccolgono informazioni pertinenti alla caccia. A seconda che la missione sia proattiva o attivata, possono cercare tendenze attuali degli attaccanti o indicatori di minacce precedenti.
Attività Pre-Missione: Prima di iniziare la caccia, i team si assicurano di avere gli strumenti e i sensori giusti in atto per un'operazione di successo. Questo può includere la collocazione di sensori sulla rete per monitorare le minacce.
Analisi Manuale e Automatica: Durante la missione, i team si impegnano in due tipi di cicli di analisi. Il ciclo manuale coinvolge un esame più approfondito dei dati per attività dannose, mentre il ciclo automatico si concentra sulla gestione degli avvisi generati dai sensori.
Concludere la Missione: Dopo la fase di analisi, i team concludono le loro missioni sulla base delle prove trovate. Se viene rilevata attività avversaria, passano alle procedure di Risposta agli incidenti.
Sfide Comuni nel Threat Hunting
Attraverso le interviste, sono state identificate diverse sfide affrontate dai team di threat hunting:
Valutare l'Expertise del Team: È difficile valutare l'esperienza e le competenze dei membri del team. Molti hanno espresso la necessità di metriche migliori per determinare le capacità individuali.
Problemi di Automazione: I team spesso si trovano a lottare con un'insufficiente automazione. Sebbene l'automazione sia fondamentale per l'efficienza, molti processi restano manuali, portando a potenziali ritardi e errori umani.
Accesso ai Dati e Raccolta: I team iniziano spesso a raccogliere dati solo quando arrivano sul posto, risultando in una mancanza di informazioni di base cruciali. Hanno evidenziato la necessità di una preparazione avanzata per assicurare che i dati siano disponibili quando necessario.
Turnover del Personale: L'alto tasso di turnover all'interno dei team di cybersecurity contribuisce alle sfide nel mantenere conoscenze ed expertise. Lo studio ha suggerito di integrare i nuovi membri con quelli esperti per facilitare transizioni più fluide.
Documentazione e Coerenza dei Processi: Alcuni team mancano di chiara documentazione dei loro processi, rendendo difficile per i nuovi membri capire cosa deve essere fatto. Ci sono opinioni diverse su quanto dettagliata dovrebbe essere questa documentazione.
Raccomandazioni per il Miglioramento
Sulla base dei risultati, sono state fatte diverse raccomandazioni per migliorare il processo di threat hunting:
Migliorare la Pianificazione della Missione: Tutti i team dovrebbero dare priorità alla creazione di piani di missione robusti e condividere gli obiettivi con tutti i coinvolti per garantire chiarezza e direzione.
Migliorare il Ciclo di Avvisi Automatici: Poiché gli avvisi automatici non identificavano efficacemente le minacce, i team dovrebbero migliorare l'automazione o ridurre le risorse dedicate a questo aspetto.
Implementare Programmi di Apprendistato più Forti: Accoppiare membri esperti con neofiti può aiutare a integrarli efficacemente nel team. Creare programmi di apprendistato strutturati può sostenere questo sforzo.
Direzioni Future per la Ricerca
Il threat hunting è ancora un campo emergente e ci sono varie aree che richiedono ulteriori ricerche. Argomenti potenziali includono:
- Esplorare come personalizzare gli strumenti di automazione per meglio soddisfare le esigenze dei team di threat hunting.
- Indagare gli impatti dell'automazione sulle prestazioni e sull'efficacia del team.
- Esaminare l'equilibrio tra formalità del processo e flessibilità nelle operazioni di threat hunting.
Affrontando queste aree, le organizzazioni possono continuare a migliorare le loro pratiche di threat hunting e potenziare gli sforzi di cybersecurity complessivi.
Conclusione
Questo studio evidenzia l'importanza di comprendere i processi utilizzati dai cacciatori di minacce all'interno delle agenzie governative. Documentando e analizzando queste pratiche, i ricercatori possono contribuire a promuovere miglioramenti nel threat hunting, portando infine a migliori misure di sicurezza contro le minacce informatiche.
Titolo: An Interview Study on Third-Party Cyber Threat Hunting Processes in the U.S. Department of Homeland Security
Estratto: Cybersecurity is a major challenge for large organizations. Traditional cybersecurity defense is reactive. Cybersecurity operations centers keep out adversaries and incident response teams clean up after break-ins. Recently a proactive stage has been introduced: Cyber Threat Hunting (TH) looks for potential compromises missed by other cyber defenses. TH is mandated for federal executive agencies and government contractors. As threat hunting is a new cybersecurity discipline, most TH teams operate without a defined process. The practices and challenges of TH have not yet been documented. To address this gap, this paper describes the first interview study of threat hunt practitioners. We obtained access and interviewed 11 threat hunters associated with the U.S. government's Department of Homeland Security. Hour-long interviews were conducted. We analyzed the transcripts with process and thematic coding.We describe the diversity among their processes, show that their processes differ from the TH processes reported in the literature, and unify our subjects' descriptions into a single TH process.We enumerate common TH challenges and solutions according to the subjects. The two most common challenges were difficulty in assessing a Threat Hunter's expertise, and developing and maintaining automation. We conclude with recommendations for TH teams (improve planning, focus on automation, and apprentice new members) and highlight directions for future work (finding a TH process that balances flexibility and formalism, and identifying assessments for TH team performance).
Autori: William P. Maxam, James C. Davis
Ultimo aggiornamento: 2024-02-19 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2402.12252
Fonte PDF: https://arxiv.org/pdf/2402.12252
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://tex.stackexchange.com/questions/299969/titlesec-loss-of-section-numbering-with-the-new-update-2016-03-15
- https://www.acm.org/publications/taps/whitelist-of-latex-packages
- https://dl.acm.org/ccs.cfm
- https://www.usenix.org/conference/usenixsecurity24/submission-policies-and-instructions
- https://attack.mitre.org