Fortgale ha osservato l’utilizzo sempre più massivo da parte di attori criminali di strumenti di tipo Remote Monitoring and Management (RMM). Questi strumenti (es. TeamViewer, AnyDesk, ecc..) sono sfruttati dai criminali per bypassare le difese informatiche aziendali.

In questo modo un malintenzionato otterrebbe il completo controllo di un sistema aziendale senza scattenare alcun tipo di allarme di sicurezza (MITRE T1219). 

Per questo motivo Fortgale ha sviluppato una firma di Threat Hunting per identificare tali comportamenti in ambiente Server.

Technical Details

Trattandosi di software lecito, l’utilizzo di strumenti di RMM non viene bloccato preventivamente, per cui Fortgale ha introdotto ulteriori controlli di sicurezza per rilevare possibili anomalie.

Per questo motivo è stata sviluppata la query di Hunting in ambiente Server:

CENSORED

Gli allarmi prodotti da tale query saranno gestiti secondo il normale flusso di gestione degli incidenti ed eventuale segnalazione in caso dell’identificazione di anomalie di sicurezza.

Threat Hunting – Why is important?

Cyber Threat Hunting is a proactive cybersecurity practice, involving the scrutiny of network, cloud, and endpoint logs to identify suspicious patterns. We search for indicators of compromise, threat actor tactics, and potential infections from advanced persistent threats (APTs). Another area of interest is that of insider threats, where we track unusual behaviors from employees.

The focus is on uncovering hidden risks before they manifest, ensuring a preemptive defense strategy.