Riassunto analitico
L’attività di detection, che consiste nell’identificare potenziali minacce informatiche in modo da poterle contrastare preventivamente, ha assunto un ruolo fondamentale in un mondo in cui la digitalizzazione ha trovato applicazione in numerosi settori. Questo elaborato nasce proprio nel contesto della threat detection, avendo l’obiettivo di fornirne un supporto. Threat Hunting è un progetto che si propone di mettere in pratica l’omonimo concetto del threat hunting, considerato un potenziamento che affianca i tradizionali sistemi di rilevamento delle minacce. Si tratta di un processo di ricerca di tipo proattivo ed iterativo, atto a scovare in particolar modo gli indicatori di compromissione che si celano tra i dati raccolti dall'analisi del traffico di rete, dai log di apparati di sistema e dagli host. Infatti, Threat Hunting permette di effettuare ricerche in maniera simultanea e distribuita su centinaia di sensori che raccolgono queste informazioni, in modo tale da individuare gli IoC in grado di identificare un possibile attacco. Gli indicatori di compromissione trovati serviranno poi per la creazione di nuove firme da utilizzare negli strumenti di detection.
|
Abstract
The detection activity, which consists of identifying potential cyber threats in order to counter them in advance, has a central role in a world in which digitization involves several sectors. This paper was born exactly in the threat detection context, since it has the aim to provide support to it.
Threat Hunting is a project which wants to put into practice the homonymous concept of threat hunting, that is considered an improvement which supports traditional threat detection system. It is a proactive and iterative search process, designed to discover in particular the indicators of compromise, which are hidden among data collected from network traffic analysis, system equipment logs and hosts. In fact, Threat Hunting allows to perform searches in a simultaneous and distributed way on hundred sensors, which collect this informations in order to find the IoC which are capable of identifying a possible attack. Then, the discovered indicators of compromise will be necessary for the creation of the new signatures to use in detection tools.
|