Threat Hunting: analisi e sperimentazione di metodologie di ricerca di vulnerabilità

La caccia alle minacce è una tecnica in cui si ”cercano” fisicamente i ”rischi”, possibili o esistenti, all’interno dell’infrastruttura IT. La caccia alle minacce è un processo proattivo e iterativo guidato da esseri umani che cercano attività ostili, sospette o dannose che sono sfuggite al rilevamento mediante le attuali tecniche automatizzate attraverso reti, endpoint o set di dati come i file di registro. Un caso possibile può essere quello in cui un threat hunter abbia a disposizione per la caccia solo i registri di log provenienti da fonti diverse e anche da diversi sistemi operativi. Questi file di log potrebbero per esempio essere i dati di 3 giorni di raccolta provenienti da 30 40 macchine Windows o Linux e analizzando solamente essi il cacciatore deve essere in grado di determinare se e quali siano le minacce all’interno di una o più macchine del sistema. Un problema che sorge subito all’occhio è come si possa conciliare dati provenienti da fonti differenti, e soprattutto da sistemi operativi diversi; inoltre, un ulteriore problema può essere il determinare quando un file di log sia effettivamente un segnalatore di una minaccia e non un falso positivo. Di conseguenza è richiesta una visibilità totale della rete, nonché dei dati dei dispositivi. Idealmente, sarebbe necessario uno strumento che consenta di avere una panoramica di tutti questi dati con funzionalità di ricerca in grado di contestualizzare ciò che si vede per ridurre al minimo la quantità di ricerca manuale attraverso i registri non elaborati. In questo elaborato verranno mostrate le attività. di simulazione sia su ambiente Linux che ambiente Windows, in cui si andranno a cercare, attraverso gli strumenti che verranno elencati nei primi capitoli, le varie minacce. Verranno quindi simulati degli scenari di attacchi e ne si farà infine un’analisi su come al meglio rilevarli.