Che cos'è la ricerca delle minacce informatiche?

La caccia alle cyber minacce adotta un approccio proattivo per respingere le cyber minacce che altrimenti potrebbero passare inosservate all'interno di una rete. Con l'emergere costante di nuove minacce, è più importante che mai avere gli strumenti e le tecniche giuste nel tuo arsenale per trovarle e neutralizzarle.

Cos'è la ricerca delle minacce?

La ricerca delle minacce è la pratica proattiva di ricerca nelle reti e nei sistemi per identificare e isolare le minacce informatiche che hanno eluso le difese di sicurezza automatizzate. A differenza delle misure di sicurezza tradizionali che si basano su avvisi e firme note, la ricerca delle minacce prevede che i professionisti della sicurezza esaminino attivamente i dati, i comportamenti del sistema e il traffico di rete per scoprire minacce nascoste che potrebbero già operare all'interno del tuo ambiente. Questo processo manuale combina strumenti di analisi avanzata, threat intelligence e competenze umane per rilevare gli aggressori sofisticati che hanno aggirato i controlli di sicurezza esistenti.

Perché la ricerca delle minacce è importante nella cybersicurezza?

Il panorama della cybersicurezza si è evoluto in modo significativo, con gli aggressori che sviluppano metodi sempre più sofisticati per infiltrarsi nelle reti e rimanere inosservati per periodi prolungati. Gli strumenti di sicurezza tradizionali sono ancora importanti. Tuttavia, operano in base a pattern e firme noti, lasciando delle lacune che le minacce persistenti avanzate possono sfruttare. Questi sofisticati aggressori utilizzano tecniche appositamente progettate per eludere i sistemi di rilevamento automatico, che consentono loro di stabilire punti d'appoggio nella tua rete e operare silenziosamente mentre mappano la tua infrastruttura, rubano dati o si posizionano per attacchi futuri.

L'impatto finanziario e operativo di queste violazioni non rilevate può essere devastante. Secondo il report M-Trends 2025 di Mandiant, il tempo di permanenza mediano globale per gli aggressori nel 2024 è stato di 11 giorni, con alcune minacce persistenti avanzate che hanno mantenuto l'accesso per mesi. Infatti, oltre il 7% delle intrusioni è rimasto non rilevato per più di un anno. La ricerca delle minacce colma questa lacuna fondamentale cercando in modo proattivo gli indicatori di compromissione che i sistemi automatizzati non rilevano.

Le organizzazioni che implementano programmi di threat hunting segnalano miglioramenti sostanziali nella loro security posture. Cercando attivamente le minacce invece di aspettare gli avvisi, i team di sicurezza possono identificare e neutralizzare gli attacchi prima che raggiungano i loro obiettivi. Questo approccio proattivo rivela anche le debolezze dei controlli di sicurezza esistenti, fornendo informazioni preziose che ti aiutano a rafforzare la tua strategia di difesa complessiva e a prevenire attacchi futuri.

Come funziona la ricerca delle minacce?

La ricerca delle minacce è un processo di indagine basato su ipotesi in cui analisti della sicurezza esperti cercano attivamente segni di attività dannose che i sistemi automatizzati non hanno rilevato. I team di sicurezza iniziano formulando teorie sulle potenziali minacce in base alla threat intelligence, a pattern insoliti nel comportamento del sistema o a tecniche di attacco emergenti. Quindi, le analizzano sistematicamente utilizzando strumenti di analisi avanzati e analisi manuale. Questo approccio differisce in modo fondamentale dalle operazioni di sicurezza tradizionali, che rispondono agli avvisi generati dagli strumenti di sicurezza. I rilevatori di minacce partono dal presupposto che gli avversari siano già presenti e lavorano per scoprire le loro attività.

Il processo si basa in gran parte sulla raccolta e sull'analisi complete dei dati in tutta l'infrastruttura. I rilevatori di minacce esaminano i log, il traffico di rete, i dati degli endpoint e i comportamenti degli utenti per identificare le anomalie che potrebbero indicare una compromissione. Utilizzano l'automazione della sicurezza per elaborare in modo efficiente grandi quantità di dati, applicando al contempo l'intuizione e l'esperienza umana per riconoscere modelli sottili che le macchine potrebbero trascurare. L'obiettivo va oltre la semplice ricerca delle minacce. Nella sua essenza, la ricerca delle minacce mira a comprendere le metodologie degli aggressori, migliorare le capacità di rilevamento e rafforzare la security posture complessiva della tua organizzazione attraverso l'apprendimento e l'adattamento continui.

Uno sguardo al processo di ricerca delle minacce: 3 passaggi chiave

Il processo di ricerca delle minacce segue un approccio sistematico che trasforma i dati di sicurezza non elaborati in informazioni fruibili sulle potenziali minacce nel tuo ambiente. Sebbene le implementazioni specifiche possano variare, le campagne di ricerca delle minacce di successo in genere seguono tre fasi essenziali che si basano l'una sull'altra per creare un flusso di lavoro di indagine completo.

Un trigger avvia la ricerca, che si tratti di nuove informazioni sulle minacce relative a tecniche di attacco emergenti, di pattern insoliti rilevati nel tuo ambiente o di preoccupazioni specifiche relative a minacce mirate. Durante la preparazione, i rilevatori definiscono la loro ipotesi e delimitano l'ambito dell'indagine.

I rilevatori si immergono nei dati di sicurezza, utilizzando strumenti di analisi avanzati per esaminare log, traffico di rete e comportamenti del sistema. Correlano gli eventi tra più origini dati per identificare pattern che potrebbero indicare attività dannose.

Una volta identificate le minacce, i rilevatori documentano le loro scoperte, implementano misure di contenimento e collaborano con i team di sicurezza per porre rimedio alla minaccia. Aggiornano inoltre le regole di rilevamento e i controlli di sicurezza per prevenire attacchi simili in futuro.

Metodologie di ricerca delle minacce

Le metodologie di ricerca delle minacce forniscono approcci strutturati per scoprire le minacce nascoste, ognuna delle quali sfrutta diverse combinazioni di risorse di threat intelligence, tecniche analitiche e strategie investigative. I team di sicurezza in genere utilizzano più metodologie a seconda dei loro obiettivi specifici, dei dati disponibili e della natura delle minacce che stanno indagando. Questi processi sistematici massimizzano la probabilità di scoprire minacce sofisticate, riducendo al minimo gli sforzi sprecati in falsi allarmi.

  • La ricerca basata su ipotesi inizia con ipotesi informate su potenziali minacce basate sull'intelligence per le minacce, sulle tendenze del settore o sui modelli di attacco osservati. I rilevatori sviluppano teorie specifiche su come gli aggressori potrebbero compromettere il loro ambiente e quindi cercano prove per confermare o confutare queste ipotesi.
  • La ricerca basata su informazioni sfrutta gli indicatori di compromissione (IOC) e i feed di intelligence sulle minacce per cercare artefatti dannosi noti nel tuo ambiente. Questo approccio si concentra sulla corrispondenza di firme di minacce specifiche, indirizzi IP o modelli comportamentali associati ad attacchi documentati.
  • La ricerca basata sul machine learning combina la conoscenza specifica dell'organizzazione con algoritmi di machine learning per identificare anomalie uniche per il tuo ambiente. I modelli personalizzati apprendono i pattern di comportamento normali e segnalano le deviazioni che potrebbero indicare una compromissione, anche quando queste minacce non corrispondono a firme note.

Diversi tipi di ricerca delle minacce

La ricerca delle minacce assume varie forme a seconda dei trigger specifici, delle informazioni disponibili e degli obiettivi dell'indagine. Ogni tipo di ricerca ha scopi diversi all'interno della tua strategia di sicurezza e i programmi di ricerca delle minacce efficaci in genere utilizzano tutti e tre gli approcci seguenti per mantenere una copertura completa contro diversi vettori di minacce:

La ricerca strutturata segue framework e metodologie formali per cercare sistematicamente tecniche di attacco specifiche o comportamenti di attori di minacce. Queste attività di ricerca utilizzano procedure consolidate e indicatori predefiniti per guidare il processo di indagine.


La ricerca non strutturata si concentra su indagini esplorative attivate da intuizioni, anomalie o risultati inattesi durante altre attività di sicurezza. I rilevatori seguono i dati ovunque li portino, senza percorsi predeterminati o risultati attesi.


La ricerca situazionale risponde a contesti organizzativi specifici come fusioni, eventi di alto profilo o campagne di minacce specifiche del settore. Queste attività di ricerca si concentrano sulle minacce che più probabilmente prenderanno di mira la tua organizzazione in determinate circostanze o periodi di tempo.


Strumenti comuni di ricerca delle minacce

Una ricerca efficace delle minacce richiede un toolkit sofisticato che combini funzionalità di raccolta, analisi e risposta dei dati per aiutare i team di sicurezza a identificare e indagare sulle potenziali minacce. Questi strumenti lavorano insieme per fornire una visibilità completa sull'infrastruttura, consentendo al contempo ai ricercatori di elaborare in modo efficiente enormi volumi di dati di sicurezza. Le organizzazioni in genere implementano più strumenti complementari per supportare diversi aspetti del processo di ricerca delle minacce.

  • Le piattaforme di security information and event management (SIEM) aggregano e correlano i dati di sicurezza provenienti da tutto l'ambiente, fornendo visibilità centralizzata e funzionalità di analisi avanzate. I sistemi SIEM consentono ai threat hunter di cercare dati storici, identificare pattern tra origini disparate e generare avvisi basati su regole di correlazione complesse.
  • Le soluzioni di rilevamento e risposta degli endpoint (EDR) forniscono una visibilità approfondita sulle attività di sicurezza degli endpoint, acquisendo telemetria dettagliata su processi, connessioni di rete e modifiche al file system. Questi strumenti aiutano i cacciatori a indagare sui comportamenti sospetti degli endpoint e a monitorare il movimento laterale all'interno della rete.
  • I servizi di difesa gestita aumentano le capacità interne di ricerca delle minacce con competenze esterne e monitoraggio 24 ore su 24, 7 giorni su 7. Questi servizi forniscono l'accesso a esperti di threat hunting che apportano conoscenze specializzate e tecniche di hunting avanzate alle tue operazioni di sicurezza.
  • Le piattaforme di analisi e operazioni di sicurezza sfruttano le tecnologie di big data e il machine learning per elaborare e analizzare enormi volumi di dati di sicurezza. Questi strumenti aiutano i cacciatori a identificare anomalie e pattern sottili che potrebbero indicare attacchi sofisticati.

Domande frequenti sulla ricerca delle minacce

L'obiettivo principale della ricerca delle minacce è scoprire e neutralizzare in modo proattivo le minacce avanzate che hanno eluso i controlli di sicurezza esistenti prima che possano causare danni. Invece di aspettare che i sistemi automatizzati generino avvisi, la ricerca delle minacce cerca attivamente gli avversari nascosti, riducendo il tempo di permanenza degli aggressori e minimizzando il potenziale impatto delle violazioni.

Un Security Operations Center (SOC) monitora e risponde agli avvisi di sicurezza generati da sistemi automatizzati, concentrandosi su minacce note e modelli stabiliti. La ricerca delle minacce, al contrario, cerca in modo proattivo minacce sconosciute che non attivano avvisi, utilizzando indagini basate su ipotesi per scoprire attacchi sofisticati che gli strumenti SOC potrebbero non rilevare.

Dovresti cercare le minacce in tutte le risorse critiche e le origini dati nel tuo ambiente, dando la priorità ai sistemi di alto valore, agli account con privilegi e ai segmenti di rete che gestiscono dati sensibili. Concentra le attività di ricerca sulle aree con il maggiore impatto potenziale in caso di compromissione, tra cui l'infrastruttura cloud, i sistemi di identità e gli endpoint con accesso a risorse critiche.

Sì, Google Cloud Security fornisce funzionalità complete di ricerca delle minacce tramite Mandiant Threat Defense, offrendo una ricerca proattiva delle minacce 24 ore su 24, 7 giorni su 7, da parte di analisti esperti della sicurezza. I nostri servizi combinano threat intelligence avanzata, metodologie di ricerca comprovate e competenze approfondite per aiutare le organizzazioni a rilevare e rispondere a minacce sofisticate.

Dove entra in gioco la ricerca delle minacce?

La ricerca delle minacce si integra perfettamente nella tua strategia di cybersicurezza più ampia, completando i sistemi di rilevamento automatizzati e i processi di risposta agli incidenti per creare una difesa approfondita. Mentre le piattaforme SIEM e altri strumenti di sicurezza generano avvisi in base a pattern noti, la ricerca delle minacce colma la lacuna critica cercando attivamente le minacce che non attivano questi sistemi automatizzati. Questo approccio funziona in parallelo con le operazioni di sicurezza esistenti, fornendo un ulteriore livello di protezione contro gli aggressori sofisticati che progettano tecniche specifiche per eludere il rilevamento.

Questa pratica si inserisce in modo naturale nel flusso di lavoro delle operazioni di sicurezza , colmando il divario tra prevenzione e risposta. I threat hunter lavorano a stretto contatto con i team di indagine sulla sicurezza per fornire contesto agli avvisi, convalidare le attività sospette e scoprire minacce correlate che altrimenti potrebbero passare inosservate. Se integrati con le piattaforme SOAR, i risultati della ricerca delle minacce possono attivare flussi di lavoro di risposta automatizzati, accelerando il contenimento e la correzione e garantendo al contempo una gestione coerente di minacce simili in futuro. Questa integrazione trasforma la ricerca delle minacce da un'attività isolata in un moltiplicatore di forza che migliora ogni aspetto delle tue operazioni di sicurezza.

Quali metriche dovresti utilizzare per monitorare la ricerca delle minacce?

La misurazione dell'efficacia del tuo programma di ricerca delle minacce richiede il monitoraggio sia delle metriche operative che dimostrano l'attività di hunting sia delle metriche di risultato che mostrano il valore effettivo fornito alla tua organizzazione. I programmi di successo monitorano indicatori come il numero di nuove regole di rilevamento create, le minacce precedentemente sconosciute scoperte e i miglioramenti nel tempo medio di rilevamento. Queste metriche ti aiutano a capire se le tue attività di ricerca stanno scoprendo minacce reali e se contribuiscono a rafforzare le difese di sicurezza nel tempo.

Oltre a contare incidenti e avvisi, le metriche significative di ricerca delle minacce si concentrano sulla qualità e sulla pertinenza delle scoperte. Tieni traccia del numero di vulnerabilità ad alta priorità identificate e successivamente corrette, delle lacune nella copertura della sicurezza che i rilevatori espongono e dei tassi di falsi positivi che diminuiscono con il miglioramento delle regole di rilevamento. Dovresti anche misurare il contributo delle attività di ricerca delle minacce allo sviluppo della threat intelligence, compresi i nuovi indicatori di compromissione documentati e i pattern di attacco identificati che in precedenza non erano noti alla tua organizzazione.

Le metriche più preziose dimostrano come la ricerca delle minacce riduca il rischio e migliori la tua security posture. Monitora la riduzione del tempo di permanenza dell'aggressore, la percentuale di incidenti rilevati tramite la ricerca rispetto agli avvisi automatizzati e il numero di miglioramenti dei controlli di sicurezza implementati in base ai risultati della ricerca. Queste misurazioni aiutano a giustificare la prosecuzione degli investimenti nelle funzionalità di ricerca delle minacce e a guidare l'ottimizzazione del programma evidenziando quali metodologie di ricerca e aree di interesse offrono il massimo ritorno.

Competenze fondamentali per un team di ricerca delle minacce di successo

La creazione di un team di ricerca delle minacce efficace richiede la riunione di professionisti con diverse competenze tecniche e capacità analitiche che possano lavorare insieme per scoprire minacce sofisticate. I rilevatori di minacce di successo combinano una profonda conoscenza tecnica dei protocolli di rete, dei sistemi operativi e delle tecniche di attacco con forti capacità di pensiero analitico e di riconoscimento dei pattern. Devono comprendere la differenza tra le attività di sistema legittime e i comportamenti dannosi e avere la curiosità di indagare sulle anomalie che altri potrebbero trascurare.

È indispensabile avere competenze tecniche, tra cui la padronanza dell'analisi dei dati, dei linguaggi di scripting e degli strumenti di sicurezza. I rilevatori devono avere familiarità con le metodologie di attacco informatico, le tattiche degli autori delle minacce e la capacità di ricostruire le catene di attacco a partire da prove frammentate su più sistemi. Oltre alle competenze tecniche, i rilevatori di minacce efficaci dimostrano persistenza nel seguire filoni investigativi complessi, creatività nello sviluppo di nuovi metodi di rilevamento e capacità di comunicazione per trasmettere i risultati a un pubblico sia tecnico che esecutivo. I servizi di Mandiant threat hunting sono un esempio di queste capacità, in quanto riuniscono professionisti esperti che combinano l'esperienza di risposta agli incidenti in prima linea con tecniche di ricerca avanzate per aiutare le organizzazioni a scoprire e neutralizzare le minacce nascoste.

Inizia la ricerca delle minacce con Google Cloud Security

Google Cloud Security consente alle organizzazioni di implementare funzionalità di rilevamento delle minacce di livello mondiale attraverso Mandiant Threat Defense, che combina tecnologia all'avanguardia con competenze di sicurezza d'élite. I nostri team di ricerca delle minacce sfruttano una threat intelligence senza precedenti, raccolta da interventi di risposta agli incidenti in prima linea in tutto il mondo, fornendo informazioni uniche sulle tecniche più recenti degli aggressori e sulle minacce emergenti che prendono di mira il tuo settore. Con una copertura di ricerca proattiva 24 ore su 24, 7 giorni su 7, Google Cloud Security ti aiuta a rilevare e rispondere più rapidamente alle minacce sofisticate, sviluppando al contempo le tue capacità di sicurezza interne attraverso il trasferimento di conoscenze e indagini collaborative.

È arrivato il momento di lavorare insieme

Contatta i nostri esperti di cybersicurezza.
Scopri di più sulla ricerca delle minacce di Mandiant.

Fai un passo avanti

Inizia a creare su Google Cloud con 300 $ di crediti senza costi e oltre 20 prodotti Always Free.

Google Cloud
DocumentiAssistenza
Console
Accedi
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud