Sabotatori silenziosi: come Trellix SecondSight dà la caccia agli hacker che passano sotto il radar
Sottotitolo: Un nuovo servizio di threat hunting punta a smascherare gli attacchi informatici più furtivi che eludono i sistemi di sicurezza tradizionali.
Nel mondo ad alta posta in gioco della difesa informatica, non sono sempre gli allarmi più rumorosi a segnalare il pericolo. Sempre più spesso, aggressori sofisticati scivolano silenziosamente oltre le sentinelle digitali, lasciando solo tracce deboli-se mai. Ora, un nuovo servizio di Trellix promette di fare luce su questi sabotatori silenziosi, offrendo alle organizzazioni una possibilità concreta contro minacce che non vedono arrivare.
Il nemico invisibile: minacce a basso rumore
Per anni, l’industria della cybersecurity si è concentrata sull’intercettare l’ovvio-le detonazioni di ransomware, le raffiche di phishing di massa, le epidemie di malware. Ma con il miglioramento della tecnologia difensiva, è cresciuta anche l’astuzia degli avversari. Oggi, gli attacchi più pericolosi sono spesso progettati per confondersi con lo sfondo, sfruttando “segnali deboli” che i sistemi automatizzati liquidano come semplice rumore.
John Fokker, VP of Threat Intelligence Strategy di Trellix, avverte che l’uso dell’intelligenza artificiale da parte degli attaccanti sta inondando i team di sicurezza di alert, rendendo ancora più difficile separare le minacce reali dal fruscio digitale. “I sistemi automatizzati segnalano alert di alto livello, ma spesso perdono i segnali sottili e a basso rumore che abilitano azioni come il movimento laterale”, spiega Fokker. “Trellix SecondSight offre agli analisti un ‘secondo paio d’occhi’-un moltiplicatore di forza per cogliere ciò che le macchine da sole non riescono.”
Come SecondSight caccia nell’ombra
Trellix SecondSight opera fondendo l’intuizione umana con l’intelligenza delle macchine. Esperti threat hunter esaminano la telemetria-le informazioni che fluiscono da endpoint, email e reti-utilizzando analisi guidate dall’IA per setacciare milioni di eventi. La loro missione: individuare i deboli indicatori di compromissione, come accessi insoliti o flussi di dati anomali che potrebbero segnalare le fasi iniziali di un attacco.
Questo approccio ha già prodotto risultati. Il servizio ha segnalato campagne come gli sforzi di spionaggio di APT28 e l’operazione di spear-phishing UTA0355, che ha sfruttato l’abuso di OAuth per aggirare le difese perimetrali tradizionali. Incrociando threat intelligence, pattern di campagna e indicatori tecnici, i cacciatori di SecondSight possono rilevare e avvisare le organizzazioni delle violazioni prima che gli aggressori riescano a consolidare una presenza.
Potenziare il firewall umano
SecondSight non si limita a fornire alert-lavora al fianco dei team di sicurezza interni, aggiungendo un ulteriore livello di visibilità e competenza. Le notifiche proattive e i report dettagliati sulle minacce consentono alle organizzazioni di agire rapidamente, colmando le lacune di sicurezza e rafforzando le difese contro la prossima ondata di attacchi furtivi.
Conclusione: restare un passo avanti
Man mano che le minacce informatiche diventano più silenziose e complesse, la battaglia per la sicurezza digitale si combatte sempre più nell’ombra. Con servizi come Trellix SecondSight, le organizzazioni possono finalmente illuminare gli “angoli silenziosi” delle proprie reti-dove gli avversari più pericolosi preferiscono nascondersi. Nell’attuale panorama delle minacce, avere un secondo paio d’occhi potrebbe fare la differenza tra una compromissione silenziosa e una difesa rapida.
WIKICROOK
- Threat Hunting: Il threat hunting è la ricerca proattiva di minacce informatiche nascoste o di debolezze nei sistemi di un’organizzazione, andando oltre gli alert automatizzati.
- Telemetria: La telemetria è l’invio automatico di dati da dispositivi o software per monitorare prestazioni e sicurezza in tempo reale, facilitando l’individuazione rapida dei problemi.
- APT (Advanced Persistent Threat): Una Advanced Persistent Threat (APT) è un attacco informatico mirato e di lunga durata condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.
- Abuso di OAuth: L’abuso di OAuth è l’uso improprio del protocollo OAuth per ottenere accesso non autorizzato a sistemi o dati, spesso tramite furto di token o manipolazione dei permessi.
- Indicatori di compromissione (IOC): Gli indicatori di compromissione (IoC) sono indizi come nomi di file, IP o frammenti di codice che aiutano a rilevare se un sistema informatico è stato violato.




