Threat intelligence

La Threat Intelligence, nota anche come Cyber Threat Intelligence, si configura come un approccio strategico e proattivo nella mitigazione del rischio cibernetico.

E’ uno strumento fondamentale nei processi di decision-making in materia di sicurezza informatica. Questo perché permette di raccogliere informazioni riguardo agli attacchi esistenti, prevedere scenari futuri e adattare di conseguenza le proprie strategie difensive.

Tradotto, ciò significa che quante più informazioni si hanno in merito ai possibili rischi, tanto più si potrà prevenirli, o quantomeno fronteggiarli in maniera ottimale.

Ma come si articola esattamente una strategia di Cyber Threat Intelligence?

In questo articolo esamineremo nel dettaglio modalità d’implementazione, tipologie e benefici della sua applicazione nei piani di sicurezza aziendali.

Threat Intelligence: in cosa consiste

La Threat Intelligence è un processo che si articola su più livelli

  • da un lato, la raccolta di informazioni contestuali sulle potenziali minacce
  • dall’altro la calibrazione delle misure di difesa da mettere in atto per fronteggiarle

Sul fronte dell’attacco, dunque, vengono esaminati

  • conoscenze e capacità dei potenziali aggressori
  • i loro obiettivi
  • e le strategie d’attacco presenti e future

Nella pratica, ciò si traduce in un vero e proprio lavoro di spionaggio all’interno di forum, marketplace e gruppi hacker presenti sul dark web.

Questi, infatti, rappresentano i centri nevralgici utilizzati dagli hacker per scambiarsi informazioni circa le nuove tendenze in materia di attacchi informatici.

Sul versante del sistema da tutelare, invece, si passano al vaglio

  • le vulnerabilità intrinseche ai sistemi IT aziendali
  • l’eventuale presenza e natura dei cosiddetti IoC (Indicatori di Compromissione), come indirizzi IP dannosi, chiavi di registro e hash di file compromessi

Questi ultimi rappresentano fattori fondamentali nelle indagini di Threat Intelligence, poiché forniscono importantissime tracce digitali delle aggressioni messe a segno ai danni dell’infrastruttura.

Threat intelligence: il ciclo di vita

Esattamente come per lo sviluppo software, anche la Threat Intelligence consta di un ciclo di vita.

Lo scopo ultimo del processo è quello di trasformare la raccolta di dati grezzi in report dettagliati che possano fungere da guida e supporto nell’ideazione delle strategie di sicurezza.

Data, tuttavia, la costante trasformazione ed il conseguente efficientamento delle minacce, le relazioni di Cyber Threat Intelligence non potranno mai fornire un quadro esaustivo e a lunga durata.

La reportistica costituisce, al più, un quadro strutturale di orientamento, prettamente relativo al contesto temporale in cui è stata effettuata l’analisi.

Da qui l’esigenza di ripetere periodicamente analisi e reportistica.

In tal modo, sarà possibile:

  • rimanere costantemente aggiornati sulle tendenze in materia di cyber-attacchi
  • e aggiornare di conseguenza le proprie strategie difensive

Analizziamo, dunque, le singole fasi del ciclo di vita della Threat Intelligence.

Pianificazione

Questa prima fase di pianificazione risulta cruciale poiché definisce

  • gli obiettivi che si intende perseguire
  • e le metodologie che verranno adottate

L’insieme di questi due fattori costituisce una sorta di roadmap, ovvero una programmazione delle procedure che guideranno il team nello svolgimento dell’analisi.

A questi aspetti preliminari, si aggiunge anche la definizione

  • di uno schema di priorità sulle specifiche aree del network che necessitano di intervento
  • della tipologia di Threat Intelligence più adatta alle esigenze del singolo caso in esame

Raccolta

Questo specifico step viene messo in atto in funzione degli obiettivi che il team si è preposto durante la pianificazione.

Pertanto, in relazione agli scopi d’indagine, si cercheranno informazioni:

  • su forum, blog e siti dedicati
  • attraverso l’analisi dei metadati delle reti e dei dispositivi di sicurezza
  • oppure rivolgendosi ad esperti del settore

Elaborazione

Nella fase di elaborazione, ci si occupa di scremare i dati grezzi precedentemente raccolti. Fondamentale in questo senso l’ausilio dell’Intelligenza Artificiale o di sistemi SIEM.

In sostanza si tratta di separare le informazioni marginali o ridondanti (quello che in gergo tecnico viene definito ‘rumore’ dei dati) da quelle che invece si rivelano altamente rilevanti.

A questa prima fase di scrematura, segue una procedura più minuziosa di

  • ordinamento
  • organizzazione
  • e filtraggio

cui si accompagnano molto spesso anche:

  • la decrittazione di file crittografati
  • l’organizzazione in fogli di calcolo
  • e la traduzione dalle fonti straniere

Analisi

A questo punto, si rende necessario analizzare e contestualizzare i dati finora collezionati.

In prima istanza si constata se quanto prodotto rispecchia effettivamente requisiti ed obiettivi identificati nella prima fase.

Dopodiché, si traducono i dati in un linguaggio accessibile al pubblico, il più delle volte costituito da CEO e capi dirigenti.

La fase di analisi è, in sostanza, lo step in cui si produce la reportistica precedentemente menzionata. Questa può essere presentata sottoforma di:

  • una presentazione concisa
  • un rapporto dettagliato
  • o un semplice e stringato elenco di minacce

Diffusione

Durante la diffusione, il team preposto all’analisi di Threat Intelligence presenta materialmente i risultati agli stakeholder interessati.

Feedback

Infine, viene richiesto un feedback alle parti coinvolte, per comprendere se tutti gli obiettivi siano stati raggiunti e la strategia sia stata eseguita con successo.

Inoltre, gli stakeholder possono decidere in qualsiasi momento se modificare

  • le loro priorità
  • la frequenza con cui desiderano eseguire le indagini
  • o il modo in cui i dati dovrebbero essere diffusi o presentati.

Tipologie di Threat Intelligence

Come sottolineavamo nel paragrafo precedente, in un’analisi di Threat Intelligence la definizione degli obiettivi riveste un ruolo cruciale.

Tanto più se si pensa che proprio in loro funzione verrà adeguato il modello d’indagine da applicare.

In alter parole, sarà proprio lo scopo che ci si è prefissi nella fase di pianificazione che andrà a determinare la tipologia di Threat Intelligence con cui operare.

A tal proposto, se ne possono individuare tre categorie principali:

  • Threat Intellignce Tattica
  • Threat Intelligence Operativa
  • e Threat Intelligence Strategica

Analizziamole singolarmente nel dettaglio

Threat Intelligence Tattica

La Threat Intelligence Strategica è una tipologia di analisi non prettamente tecnica, rivolta a un pubblico generico come dirigenti d’azienda e consigli di amministrazione.

Si prefigge essenzialmente l’obiettivo di ottenere una prospettiva generalizzata sulle minacce.

E’ solitamente svolta in maniera automatizzata, attraverso la ricerca semplici indicatori di compromissione rintracciabili su feed di dati open source.

Proprio per queste sue ‘manchevolezze strutturali’ consta di un ciclo di vita molto breve, dovuto anche alla scarsa scrematura tra dati più o meno rilevanti per le specifiche esigenze.

Threat Intellignce Operativa

La Threat Intellignce Operativa si focalizza

In questo caso, l’indagine viene svolta manualmente da professionisti impiegati nei SOC (Security Operation Center).

Sebbene più dispendiosa rispetto alla controparte Strategica, la Threat Intelligence Operativa ha un ciclo di vita ben più lungo.

Threat Intelligence Strategica

La Threat Intelligence Strategica opera, invece, a più ampio respiro.

L’intento è quello di verificare quali ripercussioni possano avere sulla sicurezza della propria organizzazione eventi a livello locale ed internazionale.

Mira, appunto, a fornire una visione tattica circa misure e finanziamenti da stanziare nelle strategie di cybersecurity.

Conclusioni

In sintesi, dunque, la Threat Intelligence si occupa di:

  • raccogliere
  • contestualizzare
  • e diffondere

dati riguardo le nuove tendenze in materia di cyberattacchi.

A loro volta, tali informazioni non si limitano a identificare sterilmente la minaccia, ma ne denotano nel dettaglio:

  • tecniche
  • obiettivi
  • e livello di capacità degli aggressori

Lo scopo principale è fornire un quadro esaustivo dei rischi cibernetici imminenti e futuri, così da orientare nel modo più efficiente possibile le strategie difensive da attuare.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.