La Threat Intelligence, spesso indicata come Cyber Threat Intelligence o semplicemente Threat Intel, è il risultato dell'analisi dei dati con l'obiettivo di fornire informazioni fruibili per arricchire la comprensione dei rischi per la sicurezza.
I punti di dati ottenuti da più fonti sono organizzati per assistere i professionisti della sicurezza.Threat Intelligence aiuta i team a costruire una posizione proattiva nei confronti delle minacce informatiche, prendendo in considerazione le possibili motivazioni e capacità degli aggressori, e fornendo un quadro dei rischi coinvolti più ampio di quanto ogni singola organizzazione possa effettivamente raccogliere.
Il feed di intelligence viene spesso personalizzato per concentrarsi sulle vulnerabilità e sulle risorse uniche dell'organizzazione in questione, offrendo così una strategia di difesa su misura.
La Threat Intelligence è una conoscenza radicata tra le prove che offre contesto, meccanismi, indicatori, implicazioni e linee guida attuabili per le minacce attuali o emergenti alle risorse di un'organizzazione. Può guidare il processo decisionale nella risposta alle minacce, consentendo ai team di sicurezza di dare priorità alle vulnerabilità, valutare gli strumenti di sicurezza informatica e implementare eventuali correzioni.
In sostanza, la Threat Intelligence individua gli indicatori di compromissione (IoC), nonché tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori. Questi segnali aiutano le organizzazioni a rilevare e sconfiggere gli attacchi informatici il prima possibile. Ciò riduce i tempi di rilevamento, minimizzando il potenziale impatto di una violazione.
Se implementata correttamente, la threat intelligence fornisce alle organizzazioni gli strumenti necessari per sconfiggere gli attacchi futuri rafforzando le misure di sicurezza attraverso strumenti di sicurezza della rete e del cloud.
Il fulcro della Threat Intelligence si basa sulla comprensione del panorama della cybersecurity, tenendo d'occhio le forme emergenti di malware, gli exploit zero-day, gli attacchi di phishing e altri problemi di cybersecurity.
Nella cybersecurity, la dinamica tra aggressori e difensori è molto simile a una partita di scacchi. Entrambe le parti elaborano continuamente nuove strategie per superarsi in astuzia. Gli autori delle minacce cercano nuove vie di attacco. I difensori fanno del loro meglio per bloccare gli attacchi ed entrambi le parti ripetono e adattano le proprie tattiche a ogni scontro. Identificare un modo per superare questo conflitto in corso è il motivo migliore per cui un'organizzazione dovrebbe investire in una Threat Intelligence avanzata sulle minacce informatiche.
Le meccaniche di difesa base, come firewall e sistemi di prevenzione delle intrusioni (IPS), sono importanti, ma, in sostanza, sono di natura passiva. Come parte di un regime di sicurezza attivo, la Threat Intelligence si concentra sulla sconfitta degli attacchi, che includono minacce persistenti avanzate (APT).
Le APT vengono eseguite da sofisticati autori di minacce che cercano di inserirsi nei sistemi per il furto di dati, lo spionaggio e persino l'interruzione o la distruzione di un sistema per un periodo prolungato, che può culminare con un ransomware dopo l'esfiltrazione dei dati utili. Una comprensione approfondita delle strategie APT offre vantaggi nella strutturazione di una difesa efficace.
Un approccio più attivo alla cybersecurity consiste nell'utilizzare la Threat Intelligence in modo che i team di sicurezza non operino al buio. La Threat Intelligence porta alla luce non solo le motivazioni, ma anche le tattiche, le tecniche e le procedure (TTP) che gli aggressori dietro le APT potrebbero utilizzare.
Infine, i reparti IT possono sfruttare le Threat Intelligence come strumento per espandere le conversazioni sui rischi con le parti interessate, come i consigli di amministrazione e i direttori tecnici. Consentono di ottenere informazioni dettagliate e usarle per decisioni strategiche in linea con la tolleranza al rischio dell'azienda.
La Threat Intelligence è un processo iterativo composto da circa sei fasi principali. Durante tali fasi, gli esperti di sicurezza informatica prendono i dati grezzi e li contestualizzano, trasformandoli in approfondimenti e consigli.
Il termine "ciclo di vita", preso in prestito dalla biologia, viene usato perché le fasi sono in corso e si ripetono.
1. Pianificazione
Questa fase fondamentale prevede la definizione dei requisiti delle intelligence. Spesso, sono inquadrati come domande per comprendere le minacce specifiche rilevanti per l'organizzazione. Gli analisti di sicurezza collaborano con le parti interessate, come dirigenti e responsabili, per definire tali requisiti. In questa fase vengono anche definite le priorità degli obiettivi di intelligence, in base a vari fattori: impatto, sensibilità al tempo, allineamento con i valori dell'organizzazione, ecc.
2. Raccolta dei dati sulle minacce
I dati grezzi sono essenziali per un accurato processo di Threat Intelligence e possono provenire da vari canali. I feed utilizzati per la raccolta dei dati sono sia open-source che commerciali, offrendo di tutto, dagli aggiornamenti in tempo reale sugli IoC alle analisi approfondite degli attacchi del mondo reale. Altre fonti per la raccolta dei dati sono i registri interni, per esempio, i sistemi Security Information and Event Management (SIEM) o informazioni specializzate dai centri di condivisioni e analisi delle informazioni (ISAC).
3. Elaborazione
L'obiettivo principale di questa fase è aggregare e standardizzare i dati grezzi raccolti, rendendoli più facilmente fruibili. Gli analisti di sicurezza utilizzano strumenti specializzati di intelligence sulle minacce, molti dei quali sono dotati di intelligenza artificiale e machine learning per identificare eventuali modelli nei dati. Vengono aggiunti metadati, che aiutano nelle analisi e nel monitoraggio futuri. In questa fase, i team di cybersecurity rimuovono i falsi positivi riconosciuti per una migliore precisione del set di dati.
4. Analisi
Si tratta della fase più importante per fornire informazioni dettagliate con l'obiettivo principale di convertire i dati elaborati in informazioni sulle minacce utilizzabili. Gli analisti di sicurezza lavorano con framework consolidati come MITRE ATT&CK e una vasta gamma di knowledge base create su osservazioni reali di tattiche e tecniche utilizzate dagli avversari.
Attraverso il test, la verifica e l'interpretazione dei modelli di dati, gli analisti scoprono potenziali vulnerabilità e tattiche utilizzate da specifici gruppi di criminali informatici. Su misura per il pubblico, i risultati dell'analisi vengono forniti in formati che spaziano da elenchi concisi di minacce a rapporti dettagliati sottoposti a revisione paritaria.
5. Diffusione
I risultati della fase precedente vengono condivisi con le parti interessate, incluso i team di sicurezza e il top management di un'organizzazione. Le azioni derivanti da questa fase potrebbero includere aggiornamenti alle regole di rilevamento SIEM o il blocco degli indirizzi IP sospetti. Per la massima efficacia, le informazioni vengono fornite tramite software specializzati, che si integrano con i sistemi di intelligence per la sicurezza, come SOAR (Security Orchestration, Automation and Response) e XDR (Extended Detection and Response).
6. Feedback
Il ciclo di vita termina con una valutazione o una riflessione sulle fasi precedenti con l'obiettivo di sollevare nuove domande o esporre lacune non riconosciute. Le conclusioni dei feedback vengono inserite nel ciclo successivo, completando il ciclo per migliorare istintivamente l'intero processo a lungo termine.
La Cyber Threat Intelligence (CTI) offre una vasta gamma di funzionalità, da quelle tattiche e operative a quelle più strategiche.
Intelligence sulle minacce tattiche
La Tactical Threat Intelligence è orientata a un pubblico più tecnico, dal personale dei Security Operations Center (SOC), agli addetti alla risposta agli incidenti, fino agli esperti di sicurezza. In genere, la Tactical Threat Intelligence è disponibile in un formato leggibile sulla macchina. È facilmente integrabile in vari strumenti e piattaforme di threat intelligence tramite API e feed programmatici di threat intelligence.
I punti di dati sfruttati per rilevare le attività dannose sono chiamati indicatori di compromissione (IoC) e sono elementi chiave di questo tipo di fornitura di informazioni sulle minacce. Gli IoC includono indirizzi IP collegati a minacce note, nomi di domini dannosi e hash dei file identificati come dannosi.
Questi indicatori si sono evoluti molto rapidamente, quindi è importante avere una fonte che si aggiorni costantemente.
Dato che fornisce dati immediati e fruibili senza analisi a lungo termine o approfondimenti, la Tactical Threat Intelligence integra l'intelligence operativa e strategica. Quando un'organizzazione si affida solo alla Tactical Threat Intelligence, c'è un maggiore rischio di falsi positivi – ad esempio, i casi in cui attività innocue vengono erroneamente contrassegnate come dannose.
Usi ed esempi della Tactical Cyber Threat Intelligence (CTI)
· Feed delle minacce: flussi continui di dati che forniscono informazioni sulle potenziali minacce.
· Allerte in tempo reale: notifiche immediate che informano le organizzazioni delle minacce attive nel proprio ambiente.
· Analisi automatizzata dei malware: processi automatizzati che esaminano i software dannosi per comprenderne la funzione e il livello di minaccia.
Operational Threat Intelligence
L'Operational Threat Intelligence si basa essenzialmente sul contesto. Raccoglie informazioni sugli attacchi informatici per identificare le domande essenziali sulle campagne e le operazioni ostili. L'attenzione si concentra su tattiche, tecniche e procedure (TTP), nonché sull'intento e sulla tempistica degli attacchi.
Ottenere informazioni non è un processo semplice, poiché vengono utilizzate varie fonti: da chat room, a social media e log antivirus, fino a dati degli attacchi passati. Le sfide di questo approccio sono i risultati degli autori di minacce che spesso utilizzano la cifratura, un linguaggio ambiguo o codificato e le chat private. Il data mining e il machine learning sono spesso utilizzati per elaborare grandi volumi di dati, ma per produrre un'analisi definitiva, le informazioni devono essere contestualizzate dagli esperti.
L'Operational Threat Intelligence, sfruttata nei Security Operations Centers (SOC), arricchisce le metodologie di cybersecurity, come la gestione della vulnerabilità, il monitoraggio delle minacce, la risposta agli incidenti e così via, con le operational threat intelligence.
Usi ed esempi della Operational Cyber Threat Intelligence (CTI)
· Profilazione degli autori: comprendere e classificare gli aggressori informatici in base alle proprie tattiche, tecniche e procedure.
· Assegnazione delle priorità delle patch: determinare quali vulnerabilità dei software affrontare per prime in base alle Threat Intelligence.
· Risposta agli incidenti: azioni intraprese per gestire e mitigare le minacce una volta rilevate.
Strategic Threat Intelligence
La Strategic Threat Intelligence traduce informazioni complesse e dettagliate in un linguaggio su cui le parti interessate, tra cui i membri del consiglio di amministrazione, i dirigenti e i responsabili delle decisioni senior, possano agire. I risultati della Strategic Threat Intelligence possono includere presentazioni, rapporti sui rischi a livello di organizzazione e confronti tra rischi passati, presenti e futuri nell'organizzazione, oltre a confronti con gli standard e le migliori pratiche del settore. L'identificazione delle lacune nella conformità è un fattore fondamentale della Strategic Threat Intelligence.
Sebbene riassunta nei rapporti, questo tipo di fornitura di Threat Intelligence deve comprendere anche un'analisi approfondita delle tendenze locali e globali, dei rischi informatici emergenti e persino dei fattori geopolitici. Le offerte della Strategic Threat Intelligence sono una parte essenziale della pianificazione a lungo termine, della gestione del rischio e delle decisioni delle policy generali. La Strategic Threat Intelligence è parte integrante della pianificazione strategica a lungo termine per guidare le organizzazioni nell'allineamento delle strategie di sicurezza informatica con gli obiettivi aziendali.
Usi ed esempi della Strategic Cyber Threat Intelligence (CTI)
· Minacce interne: sviluppare strategie complete per identificare e affrontare le minacce che provengono dall'interno dell'organizzazione attraverso metodi come l'analisi dei modelli comportamentali e dei log di accesso.
· Operazioni di inganno: progettare e implementare strategie di inganno per fuorviare e tracciare potenziali aggressori, rilevando le loro tecniche e intenzioni senza compromettere le risorse reali.
· Allocazione delle risorse: determinare come assegnare al meglio le risorse per la cybersecurity in base al panorama delle minacce, investendo in nuove tecnologie di sicurezza, assumendo personale specializzato o destinando fondi per programmi di formazione dei dipendenti.
Integrare intelligence sulle minacce nella strategia di sicurezza informatica complessiva della tua organizzazione sposterà le difese per essere più proattive, restando un passo avanti a possibili violazioni. Il processo di adozione è più strategico della semplice selezione degli strumenti, in quanto richiede ai team interni di collaborare per un'implementazione della Threat Intelligence efficace.
· In che modo la CTI (Cyber Threat Intelligence) si integra con gli obiettivi di fatturato della mia azienda?
Il giusto approccio alla CTI protegge direttamente le fonti di reddito e i processi tenendo al sicuro i sistemi critici, mantenendo la fiducia dei clienti e garantendo il funzionamento della tua attività senza interruzioni. Garantisci il giusto equilibrio tra il tuo investimento CTI e il necessario livello di protezione.
· Cos'è un'intuizione utilizzabile?
Un'analisi fruibile da parte della CTI fornisce misure chiare e immediate che un team di sicurezza oppure operativo può intraprendere per migliorare le difese dell'azienda. È importante definire chiaramente e lavorare il più possibile con questo tipo di informazioni perché portano a una maggiore sicurezza e a una riduzione dei costi derivanti da potenziali violazioni.
· Come posso integrare al meglio la Threat Intelligence con i miei sistemi esistenti?
Integrare la CTI con i tuoi sistemi attuali consente di sfruttare la forza della tua attuale infrastruttura di sicurezza, migliorandone le funzionalità con un investimento aggiuntivo minimo. Per esempio, tramite l'automazione dei processi manuali, il tuo team viene liberato dalle attività di routine e sarà in grado di rispondere più rapidamente alle minacce. L'integrazione delle informazioni delle minacce dovrebbe aiutare il tuo team attuale ad aumentare il ROI in modo maggiore, più rapido e accurato.
· Come posso migliorare le mie informazioni sulle minacce a lungo termine?
Per migliorare le tue intelligence sulle minacce nel tempo, seleziona una soluzione CTI in linea con le tue esigenze specifiche. Cerca sistemi che offrano meccanismi di feedback adattabili, che consentano un continuo perfezionamento e avanzamento. Trova partner di cybersecurity che ti aiutino a implementare un sistema CTI che non solo si adatti alle tue operazioni attuali, ma si evolva anche con esse, apportando miglioramenti e valore a lungo termine.
Oltre alle tre categorie principali di cyber threat intelligence descritte sopra—tactical, operational e strategic—vale la pena menzionare altre tecniche e strumenti utilizzati per la threat Intelligence di cui dovresti essere a conoscenza durante il processo di implementazione:
· Threat Intelligence Platforms (TIP): hub centrali come i TIP sono essenziali per consolidare, arricchire e analizzare i dati sulle minacce provenienti da più fonti in tempo reale. Per le applicazioni pratiche, prendi in considerazione piattaforme che offrano periodi di prova o demo, consentendo al tuo team di valutarne la compatibilità con i tuoi sistemi attuali. Una piattaforma come Advanced Threat Intelligence (ATI) di Bitdefender offre uno sguardo su tutto ciò con IntelliZone, fornendo dati provenienti da una vasta rete di sensori e da un ecosistema di licenze tecnologiche.
· Security Intelligence: questo approccio più ampio integra dati esterni e interni per avere un quadro completo del panorama delle minacce. Inizia conducendo indagini interne per identificare le fonti di dati che possono arricchire la tua intelligence di sicurezza e integrali con i dati sulle minacce esterne.
Ognuno di questi strumenti e tecniche richiede un'attenta considerazione e un approccio strategico all'integrazione. Personalizzali in base alle tue specifiche esigenze di sicurezza e non esitare a richiedere l'eventuale consulenza di esperti per massimizzarne l'efficacia.
Implementare una soluzione di Threat Intelligence nell'infrastruttura di sicurezza dell'organizzazione è un passo strategico che richiede un'attenta pianificazione e considerazione.
Scegli una soluzione professionale di Threat Intelligence per la cybersecurity che si adatti meglio alle tue esigenze e preferenze. Ti consigliamo vivamente di coinvolgere i team IT e i professionisti della cybersecurity dell'organizzazione nel processo.
No, non ci sono rischi intrinsechi, ma ci sono potenziali problemi che devi conoscere. Tali problemi potrebbero apparire come il risultato di una cattiva pianificazione o di un'errata allocazione delle risorse.
Le organizzazioni devono comprendere il potenziale di sovraccarico di informazioni.
Senza adeguati meccanismi di filtraggio e analisi, il verificarsi di falsi positivi e negativi potrebbe portare a sprecare molte risorse preziose. Investire in una Cyber Threat Intelligence di alta qualità utilizzando un approccio multilivello e automatizzato che combini soluzioni esterne di alta qualità e risorse strategiche interne – inclusa l'abilitazione continua del team – è essenziale per ottenere il successo.
La Cyber Threat Intelligence tecnica si concentra sulle prove tangibili delle minacce informatiche. È spesso considerata come un sottoinsieme dell'Operational Threat Intelligence, ma pone l'accento sull'evidenza diretta delle minacce.
Ciò significa che può anche svolgere un ruolo sia nelle informazioni tattiche che in quelle operative. La Cyber Threat Intelligence tecnica offre dettagli specifici sugli attacchi in corso e quelli potenziali identificando gli indicatori di compromissione (IoC), inclusi gli indirizzi IP associati ad attività dannose, il contenuto delle e-mail di phishing, i campioni di malware noti e gli URL ingannevoli.