Per anticipare le nuove minacce informatiche e difendere la tua organizzazione dagli attacchi

Per prevenire gli attacchi è necessario avere una profonda conoscenza del nemico, in particolare delle tecniche maggiormente utilizzate e degli Indicatori di Compromissione (IOC) in grado di identificalo.

Come per gli scenari di guerra, anche nel contesto cyber conoscere con un buon anticipo le mosse di un potenziale aggressore ci consente di ottenere un vantaggio strategico di azione limitando al minimo le possibili conseguenze.

Definizione

Prima di iniziare a parlare della Cyber Threat Intelligence (a volte abbreviata in CTI) è bene fornire una definizione precisa poiché essa viene spesso confusa o semplificata erroneamente con un altro termine legato alla cybersecurity, "Threat Data":

• Threat Data: è un elenco di possibili minacce;

• Threat Intelligence: è una visione globale: si costruisce una base dati in continua evoluzione al fine di ottenere dei report che consentono di intraprendere decisioni per contrastare Cyber attacchi in maniera proattiva.

Tipi di Cyber Threat Intelligence

In genere viene suddivisa in tre categorie che andremo ad esaminare singolarmente:

• Threat Intelligence strategica:

È un'analisi di alto livello ideata per utenti non esperti in ambito informatico, ad esempio il reparto amministrativo di un'organizzazione, e copre gli argomenti della cyber security che hanno un impatto sulle decisioni aziendali, fornendo una visione generica e facilmente comprensibile delle principali minacce, senza intraprendere azioni difensive.

È spesso basata su risorse a cui tutti possono accedere (Open Source) come per esempio inchieste dei media e white paper.

• Threat Intelligence tattica:

Si focalizza sul futuro immediato ed è ideata per un'utenza IT, identifica semplici indicatori di compromissione per consentire ai team IT di rintracciare ed eliminare rapidamente le minacce all'interno della rete aziendale.

Gli IOC includono solitamente elementi come indirizzi IP, hash dei file o domini ritenuti per qualche ragione dannosi.

L'intelligence tattica è il tipo di intelligence più semplice da generare e da automatizzare, il suo ciclo di vita è tuttavia piuttosto breve poiché gli IOC diventano obsoleti in breve tempo.

• Threat Intelligence operativa:

Ogni attacco informatico è composto da 3 componenti fondamentali: un attaccante, un fine ed una metodologia. Il compito della Threat Intelligence Operativa è quello di identificare questi elementi attraverso lo studio di attacchi avvenuti in passato e di informazioni reperibili su internet. In questo caso, oltre ad accedere ai contenuti presenti nel Clear web, vengono consultati anche Deep e Dark web.

Naturalmente questo tipo di intelligence richiede maggiori risorse rispetto a quelle descritte in precedenza e ha una durata di vita più lunga, poiché gli aggressori sono meno propensi a variare le tattiche, tecniche e procedure di attacco (TTP) rispetto agli strumenti utilizzati.

Benefici della Cyber Threat Intelligence

L'utilizzo della CTI consente di beneficiare dei seguenti vantaggi:

Evitare la violazione di dati:

Una CTI correttamente configurata aiuta ad evitare le violazioni dei dati, grazie ad un continuo monitoraggio e classificazione di domini, IP ed URL.

Se uno di questi elementi è classificato come sospetto, viene immediatamente bloccato dai sistemi preposti per la sicurezza della rete aziendale al fine di prevenire le intrusioni.

Riduzione dei rischi:

La CTI consente di identificare in maniera proattiva le nuove minacce e vulnerabilità, riducendo notevolmente il rischio che possano essere sfruttate dagli attaccanti.

Riduzione dei costi:

Considerando che la spesa globale dovuta alle violazioni di dati è in continua crescita, (il costo medio nel 2021 è stato di 4,24 milioni di dollari per attacco), utilizzare la CTI consente di anticipare e prevenire tali eventi avversi e quindi anche di risparmiare denaro.

Le tecnologie di Threat Intelligence aiutano le aziende a comprendere le minacce informatiche e mettere in atto le procedure corrette per mitigarle.

Security Governance, Compliance & Risk Management

I processi di Governance, Compliance e Risk Management per poter essere efficaci devono essere basati su informazioni sulle minacce autorevoli e dettagliate, al fine ottimizzare la progettazione, verifica e monitoraggio delle contromisure.

Le fasi decisionali di tali processi sono principalmente incentrate su:

• Analisi sul rischio di sicurezza: consentono di valutare il rischio di possibili minacce, attività che deve essere continua ed integrata con i processi aziendali poiché anch'essi, come le minacce, sono in perenne evoluzione;

• Standard, leggi e regolamenti: vengono riportati alcuni esempi di standard, leggi e regolamenti in ambito sicurezza IT, la cui efficacia può essere migliorata dall’analisi delle minacce Cyber;

  • GDPR L’art. 35, comma 7 del GDPR definisce e richiede il Data Protection Impact Assessment (DPIA). Il DPIA è un processo finalizzato alla “valutazione dei rischi per i diritti e le libertà degli interessati”. Pertanto, risulta di particolare importanza la determinazione di profili di minaccia: attori, intenti, motivazioni, tecniche, ecc.

  • Direttiva Europea NIS Definisce in modo chiaro la necessità di misure di sicurezza adeguate e di una cooperazione sempre più stretta per lo scambio di informazioni tra cui: caratterizzazione di minacce e incidenti, e pratiche di gestione degli stessi.

  • ISO/IEC 2700: La serie ISO/IEC 27000 "Information Security Management Systems Family of Standards" è uno standard di sicurezza informatica redatto dalla ISO. Raggruppa un insieme di norme internazionali che si prefiggono di proteggere le informazioni memorizzate ed elaborate da un’organizzazione. È ormai lo standard più diffuso per la gestione della sicurezza delle informazioni all’interno di un’azienda pubblica o privata. Richiede l’implementazione di contromisure organizzative e tecniche che devono essere riviste e migliorate ciclicamente considerando gli aspetti dinamici che caratterizzano la vita di un’azienda e le sempre maggiori minacce che insistono sui suoi sistemi informativi. La clausola 6.1.2 richiede espressamente la valutazione del rischio di sicurezza.

  • Common Criteria – ISO/IEC 15408 Lo standard è diffuso in numerosi schemi di certificazione di prodotti/sistemi IT e offre gli strumenti per specificare, per un determinato contesto operativo, le possibili minacce, le funzioni di sicurezza che le contrastano e le garanzie che queste siano correttamente implementate.

  • COBIT È un framework finalizzato alla governance dell’Information Technology per supportare i processi di business aziendali. Nella sua applicazione in ambito cybersecurity diventa fondamentale l’analisi del rischio di sicurezza, la definizione e categorizzazione delle fonti di informazione e la raccolta delle stesse: attacchi, incidenti e statistiche sugli stessi.

Fonti e link di approfondimento:

1. https://www.cybersecurity360.it/cultura-cyber/cyber-threat-intelligence-cose-e-come-aiuta-la-sicurezza-aziendale/

2. https://www.redhotcyber.com/post/nasce-rhc-intellinet-il-tool-di-cyber-threat-intelligence-opensource-realizzato-da-hackerhood/

3. https://www.kaspersky.it/resource-center/definitions/threat-intelligence/