Vai al contenuto

Prossima edizione 6 luglio 2026

Sicurezza difensiva

Caccia alle Minacce

Disciplina proattiva di cybersecurity in cui gli analisti formulano ipotesi, cercano e investigano minacce che hanno eluso le difese esistenti, usando telemetria, threat intelligence e modelli comportamentali avversari per rilevare attaccanti già presenti nell'ambiente.

Autore
Unihackers Team
Tempo di lettura
2 min di lettura
Ultimo aggiornamento

Perché È Importante

Le tecnologie di rilevamento non possono catturare ogni attacco. Avversari sofisticati si mescolano con l'attività normale, abusano di strumenti legittimi (living-off-the-land) e operano lentamente per evitare le soglie. L'IBM Cost of a Data Breach Report mostra costantemente un dwell time mediano oltre 200 giorni senza programmi di hunting attivi.

Il threat hunting cambia il calcolo: invece di aspettare un alert, gli hunter assumono il compromesso e cercano evidenze. I programmi maturi documentano centinaia di rilevamenti originati da hunt umani.

Il Ciclo

1. Sviluppare un'Ipotesi

Specifica e verificabile, derivata da threat intel, incidenti recenti o tecniche MITRE ATT&CK.

2. Investigare con Dati

Tirare telemetria EDR, identità, rete e cloud. Applicare frequency analysis, stack counting, outlier detection, ricostruzione timeline.

hunt-esempio.kql
KQL
// Hunt KQL per attività WMI sospetta
DeviceProcessEvents
| where Timestamp > ago(7d)
| where ProcessCommandLine has_any ("wmic", "Invoke-WmiMethod")
| where ProcessCommandLine has_any ("process call create", "/node:")
| summarize Count=count(), Devices=dcount(DeviceName) by InitiatingProcessAccountName
| where Devices >= 3
| order by Count desc

3. Documentare

Confermata, smentita o inconcludente, documenta cosa hai imparato.

4. Detection Engineering

Convertire hunt riusciti in rilevamenti automatici (Sigma, EDR custom, correlazioni SIEM).

5. Hand-off

I compromessi confermati vanno alla incident response. Il ciclo si ripete.

Metodologie

ApproccioDescrizioneQuando
IpotesiTTP-basedProgrammi maturi
IntelligenceIOC dai reportDopo allerta mirata
AnomaliaOutlier statisticiIntel limitata
Crown jewelsAsset criticiRisorse limitate
IbridoCombinazioneProgrammi reali

Pyramid of Pain

Ipotesi Comuni

  • Accesso sospetto a LSASS (T1003)
  • Binari non firmati da temp
  • PowerShell anomalo con comandi codificati
  • Relazioni parent-child insolite
  • Pattern di beaconing DNS
  • Logon interattivi di service account
  • Task pianificati con privilegi elevati

Costruire un Programma

  1. Stabilire baseline.
  2. Adottare MITRE ATT&CK.
  3. Centralizzare la telemetria (90+ giorni).
  4. Hunt regolari documentati.
  5. Misurare gli output.

Concetti Correlati

Nel Bootcamp

Come insegniamo Caccia alle Minacce

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Caccia alle Minacce. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility
Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso