Indice degli argomenti
La Threat Intelligence è una nuova branca della sicurezza informatica. Potremmo tradurre in italiano questa espressione con “servizi di informazione strategica sulle minacce informatiche”.
“Threat”, infatti, significa “minaccia”, mentre “intelligence” è un termine che non ha una precisa traduzione in italiano.
Assume più significati e ne sono state date tante definizioni. Quella della NATO, ad esempio, è: “l’intelligence è il prodotto risultante della raccolta e dell’analisi delle informazioni sull’ambiente, le capacità e le intenzioni degli attori, finalizzato all’identificazione delle minacce e a supportare il processo decisionale”. Insomma, è un concetto che ha a che fare con l’informazione e si riferisce all’utilizzo di tecnologie di Intelligenza Artificiale.
Di solito la Threat Intelligence è associata anche alla parola “cyber”. In inglese, si parla infatti spesso di Cyber Threat Intelligence abbreviato ICT, che, insomma, è la capacità di “intelligence” applicato all’ambito della sicurezza informatica.
Sì, ma di cosa parliamo in buona sostanza?
Sostanzialmente la Threat Intelligence è l’insieme delle teorie, delle procedure e dei modelli che servono per raccogliere e analizzare le informazioni sulle minacce informatiche usando l’Intelligenza Artificiale.
Queste informazioni vengono usare per strategie preventive, tattiche di intervento e sistemi di monitoraggio.
È chiaro, quindi, che in ambito cyber security il vantaggio è notevole.
Grazie alla Threat Intelligence si possono implementare efficaci misure di difesa e prevenzione. Anche per aziende pubbliche e private che usano le nuove tecnologie dell’informazione, oltre che per i singoli professionisti. Più le minacce informatiche aumentano di numero e d’intensità, infatti, più le difese devono essere efficaci e preventive.
La Threat Intelligence aiuta le aziende e le persone a ridurre i rischi di attacchi informatici e limitarne di danni.
È una tecnica che si pone un passo prima dei sistemi di sicurezza veri e propri.
Dal punto di vista strutturale, la Threat Intelligence si può dividere in:
- Conoscenza, cioè la raccolta di informazioni strategiche.
- Strategia, ovvero l’identificazione delle potenziali minacce informatiche.
- Tattica, cioè la definizione dei punti deboli e delle tecniche di attacco.
- Operazioni, ovvero le operazioni di monitoraggio della sicurezza.
Un processo strutturato in questi quattro punti si può applicare sia a una grande azienda, sia a una piccola azienda, sia a un singolo utente.
Vediamo adesso le quattro fasi più nel dettaglio.
Conoscenza di informazioni strategiche
La fase iniziale della Threat Intelligence deve basarsi sulla raccolta di informazioni sulle minacce. A questo proposito, è indispensabile condurre un’analisi del rischio di sicurezza. Quest’ultimo si basa sull’analisi delle minacce informatiche e della probabilità del loro verificarsi. È un processo continuo. Inoltre, deve essere integrato con i processi aziendali e le minacce che insistono su di essi. I valori di rischio devono essere calcolati in maniera precisa e realistica.
Come fonti, si possono usare i siti web sulla cyber sicurezza (come quello di Onorato Informatica Srl), fonti e dati dei social media, altre fonti pubbliche di siti istituzionali, analisi di esperti del settore.
Analisi di potenziali minacce e strategia
L’analisi delle minacce rende fruibili le informazioni raccolte nella prima fase.
Professionisti della sicurezza informatica stabiliscono, quindi, quali sono le reali minacce a cui l’azienda o la persona è esposta.
In questa fase si stabilisce quali pericoli informatici sono gravi e urgenti e quali meno.
Inoltre, si tiene in considerazione anche i fattori che hanno conseguenze negative per gli obiettivi di business di un’azienda.
La definizione degli obiettivi strategici è fondamentale per individuare gli interessi avversi, le potenziali minacce e i potenziali attori che possono agire contro l’azienda. Usando le informazioni pubbliche sui dati delle minacce divisi per settore (individuati nella fase 1) e quelle disponibili dall’attività di tracciamento dell’azienda stessa, si possono costruire dei “profili di minaccia”.
Per esempio, le minacce prioritarie identificate dopo questo tipo di analisi possono essere il phishing, lo sniffing e gli attacchi ransomware.
Tattiche di sicurezza informatica
Dopo aver definito quali sono le minacce effettive, bisogna analizzare le tattiche di attacco.
Per completare lo scenario di minaccia si devono, quindi, specificare le tecniche, gli strumenti e le procedure necessarie acquisite.
Bisogna anche identificare le contromisure più appropriate. In poche parole, in questa fase si definiscono i punti deboli delle tecniche usate dai criminali informatici e le rispettive soluzioni.
Per esempio, se uno dei problemi identificati è l’intercettazione dei dati personali dei clienti quando si connettono a reti pubbliche, la soluzione può essere una VPN.
Oppure, per il furto dei dati, si possono prendere provvedimenti per avere password più sicure e usare uno strumento per la gestione delle password.
Operazioni di monitoraggio della sicurezza
A questo punto siamo all’ultima fase.
Il quadro sulle possibili minacce e sulle capacità di sicurezza dell’azienda o della persona è stato definito.
Quest’ultimo viene costruito usando i dati acquisiti dalla normale operatività dei sistemi informativi aziendali.
In particolare, i Security Information and Event Management (SIEM) raccolgono dati particolarmente utili a tracciare uno storico degli incidenti di sicurezza accaduti all’interno dell’azienda. In questo modo, è possibile valutare continuamente le performance delle capacità di sicurezza, per le quali si favorisce quindi un processo di continuo miglioramento.
I SIEM trovano, inoltre, una correlazione tra eventi che apparentemente sembrerebbero scollegati.
C’è da considerare, inoltre, l’implementazione degli algoritmi Machine Learning. Questi ultimi aumentano la precisione dei rilevanti all’aumentare delle informazioni acquisite.
Alcuni esempi di semplici azioni di monitoraggio da compiere ciclicamente sono:
- Scansione completa dei sistemi.
- Monitoraggio dello stato di salute del PC, tramite per esempio antivirus o anti-malware.
- Controllo degli avvisi dei software e dei sistemi operativi.
Insomma, la Threat Intelligence permette di individuare i punti di attacco, le probabilità che questo si verifichi, e le contromisure adeguate.
Riassumiamo adesso, in breve, perché questa branca della sicurezza informatica è così importante per le aziende.
Adesso che sappiamo cosa si intende per Threat Intelligence e come è strutturata, vediamo perché dovresti darle molta importanza.
Un programma di informazione strategica sulle minacce informatiche può:
- Fornire indicazioni sulle misure di sicurezza.
Grazie alla Threat Intelligence si trovano e analizzano le minacce informatiche, in maniera davvero accurata.
Questo permette di prendere anche misure di sicurezza informatica mirate, evitando incidenti futuri di sicurezza. - Evitare la perdita dei dati.
Individuare le minacce informatiche per tempo e avere un buon piano di sicurezza informatica implica anche una minore probabilità di data breach. - Informare gli altri.
La Threat Intelligence serve anche a creare una base di conoscenza collettiva per combattere i criminali informatici. Gli esperti di cyber security possono infatti condividere quanto imparato dalla ricerca e analisi delle minacce con la comunità, per fronteggiare gli hacker che sono sempre più furbi.
L’analisi della sicurezza informatica condotta grazie alla Threat Intelligence ha anche un altro beneficio.
Sono molte, infatti, le leggi, i regolamenti e gli standard che per la loro applicazione hanno bisogno dell’intelligence legata alle minacce informatiche. Vediamone alcuni.
- La direttiva europea del 2016 NIS (“Network and information security”). Questa direttiva impone a tutti i Paesi che fanno parte dell’Unione Europa di seguire una serie di misure comuni e strategiche di sicurezza informatica. È destinata sia agli operatori dei servizi essenziali, sia ai fornitori di servizi digitali. A queste categorie la direttiva impone obblighi precisi di progettazione, prevenzione, contenimento e notifica. La Threat Intelligence risulta quindi, in questo senso, fondamentale.
- L’ISO/IEC 27001. Si tratta dello standard internazionale che fornisce le best practice per la gestione della sicurezza delle informazioni. Ottenere una certificazione di questo tipo garantisce che la tua azienda stia implementando le migliori misure organizzative e tecniche per la sicurezza informatica. Inoltre, la clausola 6.1.2. richiede espressamente una valutazione del rischio di sicurezza.
- L’articolo 35 comma 5 del GDPR (“Regolamento generale sulla protezione dei dati”). Questo articolo richiede il “Data protection impact assessment”, cioè un processo finalizzato alla valutazione dei rischi sulla condivisione dei dati personali. E anche a minimizzare questi rischi il più possibile. È molto importante, quindi, l’analisi delle potenziali minacce nell’ambito della Threat Intelligence.
- COBIT (“Control Objectives fot Information and relate Technology”). È un modello finalizzato alla gestione delle tecnologie dell’informazione. Secondo questo framework, le aziende devono soddisfare alcuni requisiti di qualità, affidabilità e sicurezza informatica. È quindi fondamentale in questo senso la Threat Intelligence.
- Common Criteria ISO/IEC 15408. È uno standard internazionale per la certificazione della sicurezza informatica. Richiede che si definisca il problema di sicurezza cioè le minacce, le funzioni di sicurezza che le contrastano e le garanzie della corretta implementazione di quest’ultime.
In conclusione, la Threat Intelligence è l’applicazione dell’intelligenza artificiale alla sicurezza informatica.
Questa risulta fondamentale per strategie preventive, tattiche di intervento e sistemi di monitoraggio in ambito aziendale.
Grazie alla Threat Intelligence, infatti, si possono ridurre i rischi informatici e limitare i danni delle minacce informatiche.
In poco tempo, questa tecnologia sta diventando indispensabile per piccole e per grandi aziende.
Non solo per proteggere i propri dati e i propri sistemi. Anche per adeguarsi a standard, leggi e normative. È quindi necessario avere un programma che raccolga le informazioni sulle minacce e implementi tattiche di sicurezza informatica e monitoraggio della sicurezza informatica.
Onorato Informatica
Cyber Security da oltre 15 anni
Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006. Siamo un’azienda informatica italiana di Mantova, Parma, Milano e Los Angeles.
Onorato Informatica è certificata ISO 9001 e ISO 27001 e nell’oggetto delle certificazioni sono inseriti anche i servizi di Vulnerability Assessment e Penetration Testing.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
