Conti, Carlo Maria
(2022)
Threat Hunting: analisi e sperimentazione di metodologie di ricerca di vulnerabilità.
[Laurea magistrale], Università di Bologna, Corso di Studio in
Ingegneria informatica [LM-DM270], Documento full-text non disponibile
Il full-text non è disponibile per scelta dell'autore.
(
Contatta l'autore)
Abstract
La caccia alle minacce è una tecnica in cui si ”cercano” fisicamente i ”rischi”, possibili o esistenti, all’interno dell’infrastruttura IT. La caccia alle minacce è un processo proattivo e iterativo guidato da esseri umani che cercano attività ostili, sospette o dannose che sono sfuggite al rilevamento mediante le attuali tecniche automatizzate attraverso reti, endpoint o set di dati come i file di registro. Un caso possibile può essere quello in cui un threat hunter abbia a disposizione per la caccia solo i registri di log provenienti da fonti diverse e anche da diversi sistemi operativi. Questi file di log potrebbero per esempio essere i dati di 3 giorni di raccolta provenienti da 30 40 macchine Windows o Linux e analizzando solamente essi il cacciatore deve essere in grado di determinare se e quali siano le minacce all’interno di una o più macchine del sistema. Un problema che sorge subito all’occhio è come si possa conciliare dati provenienti da fonti differenti, e soprattutto da sistemi operativi diversi; inoltre, un ulteriore problema può essere il determinare quando un file di log sia effettivamente un segnalatore di una minaccia e non un falso positivo. Di conseguenza è richiesta una visibilità totale della rete, nonché dei dati dei dispositivi. Idealmente, sarebbe necessario uno strumento che consenta di avere una panoramica di tutti questi dati con funzionalità di ricerca in grado di contestualizzare ciò che si vede per ridurre al minimo la quantità di ricerca manuale attraverso i registri non elaborati.
In questo elaborato verranno mostrate le attività. di simulazione sia su ambiente Linux che ambiente Windows, in cui si andranno a cercare, attraverso gli strumenti che verranno elencati nei primi capitoli, le varie minacce. Verranno quindi simulati degli scenari di attacchi e ne si farà infine un’analisi su come al meglio rilevarli.
Abstract
La caccia alle minacce è una tecnica in cui si ”cercano” fisicamente i ”rischi”, possibili o esistenti, all’interno dell’infrastruttura IT. La caccia alle minacce è un processo proattivo e iterativo guidato da esseri umani che cercano attività ostili, sospette o dannose che sono sfuggite al rilevamento mediante le attuali tecniche automatizzate attraverso reti, endpoint o set di dati come i file di registro. Un caso possibile può essere quello in cui un threat hunter abbia a disposizione per la caccia solo i registri di log provenienti da fonti diverse e anche da diversi sistemi operativi. Questi file di log potrebbero per esempio essere i dati di 3 giorni di raccolta provenienti da 30 40 macchine Windows o Linux e analizzando solamente essi il cacciatore deve essere in grado di determinare se e quali siano le minacce all’interno di una o più macchine del sistema. Un problema che sorge subito all’occhio è come si possa conciliare dati provenienti da fonti differenti, e soprattutto da sistemi operativi diversi; inoltre, un ulteriore problema può essere il determinare quando un file di log sia effettivamente un segnalatore di una minaccia e non un falso positivo. Di conseguenza è richiesta una visibilità totale della rete, nonché dei dati dei dispositivi. Idealmente, sarebbe necessario uno strumento che consenta di avere una panoramica di tutti questi dati con funzionalità di ricerca in grado di contestualizzare ciò che si vede per ridurre al minimo la quantità di ricerca manuale attraverso i registri non elaborati.
In questo elaborato verranno mostrate le attività. di simulazione sia su ambiente Linux che ambiente Windows, in cui si andranno a cercare, attraverso gli strumenti che verranno elencati nei primi capitoli, le varie minacce. Verranno quindi simulati degli scenari di attacchi e ne si farà infine un’analisi su come al meglio rilevarli.
Tipologia del documento
Tesi di laurea
(Laurea magistrale)
Autore della tesi
Conti, Carlo Maria
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
Threat Hunting,Sysmon,Helk,File di log,Windows,Antivirus,EDR,Caccia proattiva
Data di discussione della Tesi
6 Ottobre 2022
URI
Altri metadati
Tipologia del documento
Tesi di laurea
(NON SPECIFICATO)
Autore della tesi
Conti, Carlo Maria
Relatore della tesi
Correlatore della tesi
Scuola
Corso di studio
Ordinamento Cds
DM270
Parole chiave
Threat Hunting,Sysmon,Helk,File di log,Windows,Antivirus,EDR,Caccia proattiva
Data di discussione della Tesi
6 Ottobre 2022
URI
Gestione del documento: