Definition
Il panorama della cybersecurity è costantemente in evoluzione, la threat intelligence serve a raccogliere informazioni su: le intenzioni dei cybercriminali, le capacità di violare la sicurezza, il codice malware, l’infrastruttura e le risorse. Per proteggere le aziende dagli attacchi informatici, gli esperti della cybersecurity sono continuamente alla ricerca di informazioni sui prossimi potenziali attacchi.
Gli hacker e gli esperti di threat intelligence giocano un po’ al gatto e al topo, dove i ricercatori scoprono le minacce e risanano le vulnerabilità, mentre i cybercriminali trovano sempre nuovi modi per superare le difese.
Cos’è la threat intelligence?
L'hacking è un'attività illegale, ma molto remunerativa in caso di data breach particolarmente importanti. Se da un lato permette agli hacker di ottenere guadagni illeciti, un data breach andato a segno può costare milioni all'azienda che lo subisce, mettendo a rischio addirittura la sostenibilità aziendale. I cybercriminali tengono nascoste le informazioni sui recenti exploit utilizzati, condividendole soltanto all'interno di ristrette community al riparo dalle forze dell'ordine. La threat intelligence ha il compito di monitorare l'attività degli hacker per prevenire il prossimo grave attacco.
Della cyber threat intelligence si occupano sia le aziende apposite con gruppi di ricercatori dedicati solo a questo compito, che gli stessi addetti dei dipartimenti IT interni alle aziende. Le informazioni di intelligence raccolte vengono solitamente condivise tra gli altri ricercatori, in uno sforzo collettivo per fermare i cybercriminali. Nel caso in cui un ricercatore dovesse scoprire una vulnerabilità in una popolare applicazione, è prassi comune mettere al corrente gli sviluppatori affinché pongano rimedio al problema prima che venga reso pubblico.
Alcuni sviluppatori offrono ricompense attraverso programmi bug bounties per chiunque scopra vulnerabilità nelle proprie applicazioni e le segnali ai developer, anziché sfruttarle o venderle nei marketplace del dark web.
La ricerca continua delle vulnerabilità
Dato l'impatto devastante che i data breach possono avere per la sostenibilità delle aziende colpite, sono sempre più ricercate le figure professionali specializzate in cyber threat intelligence e hacking white hat. La threat intelligence spesso si intreccia con il penetration testing e la ricerca dei malware, in cui i ricercatori sono pagati per scovare vulnerabilità nei software aziendali permettendo alle aziende di porre rimedio prima che si verifichi un data breach.
I ricercatori che trovano vulnerabilità nei software pubblici avvisano gli sviluppatori, e la vulnerabilità viene pubblicata su un archivio dei problemi noti. Le vulnerabilità vengono infatti rese pubbliche proprio per allertare gli addetti ai lavori e permettere loro di applicare le dovute patch di sicurezza per risanare la falla. Anche se un'azienda non ha al proprio interno un esperto in cybersecurity, gli amministratori che gestiscono l'infrastruttura dovrebbero comunque monitorare l'esposizione alle minacce per prevenire i data breach. I cosiddetti annunci CVE (Common Vulnerabilities and Exposures) sono preziosi per porre rimedio ad eventuali falle sulla sicurezza prima che i cybercriminali possano sfruttarle per violare sistemi e infrastrutture.
Come funziona la threat intelligence?
Proprio come lo sviluppo software, la threat intelligence presenta un ciclo di vita. Ogni fase del ciclo è la stessa per tutte le piattaforme di threat intelligence, ma il modo in cui i ricercatori portano avanti ogni fase è unico. Avere un ciclo di vita comune è utile per facilitare la collaborazione, un aspetto essenziale nella cybersecurity e indispensabile per le aziende.
Fasi base della threat intelligence
Le fasi di base della threat intelligence includono:
- Pianificazione: Prima di iniziare a raccogliere dati, vanno definiti chiaramente gli obiettivi. La fase di pianificazione determina il modo in cui la threat intelligence dovrà essere implementata per raggiungere l'obiettivo.
- Raccolta: Per determinare se una minaccia ha compromesso un sistema, i ricercatori hanno bisogno di dati provenienti da diverse fonti, inclusi i log, gli audit dei database, i firewall, i file. Questa fase può essere eseguita prima di una violazione, per determinare se l'infrastruttura aziendale è sotto attacco, oppure può essere eseguita a violazione già avvenuta, nella fase di incident response.
- Elaborazione: La fase di raccolta può produrre milioni di dati grezzi che vanno poi analizzati. L'elaborazione viene fatta solitamente con l'aiuto di software appositi come i sistemi SIEM (security information and event management). Anche l'intelligenza artificiale (AI) è molto utile in questa fase per separare ciò che è soltanto rumore dai dati di valore.
- Analisi: Con l'aiuto di un sistema SIEM o qualsiasi altro software di analisi, gli esperti in threat intelligence passano al setaccio i dati per determinare se è avvenuta una violazione.
- Disseminazione: Quando viene scoperta una minaccia, i ricercatori inviano le informazioni nei vari canali. I canali scelti dipendono da cosa è stato trovato. Se si tratta di una violazione avvenuta ai danni di un'azienda, l'informazione viene girata agli addetti al reparto informatico dell'azienda colpita, affinché possano risanare la falla e mettere in sicurezza la rete. Se la threat intelligence viene portata avanti per scopi pubblici di ricerca, l'informazione può essere pubblicata affinché tutti possano applicare le dovute patch di sicurezza ai propri sistemi.
- Feedback: Dopo che l'informazione viene distribuita, viene esaminato il ciclo di vita e i passi compiuti per individuare la minaccia così da assicurarsi che tutti gli obiettivi stabiliti siano stati raggiunti e il piano di threat intelligence eseguito con successo.
Gli indicatori di compromissione
I dati raccolti per identificare le minacce dipendono dal piano di threat intelligence e dalla sospetta vulnerabilità. I seguenti dati vengono detti indicatori di compromissione (IOC):
- Domini e indirizzi IP: Il traffico sospetto proveniente da un certo indirizzo IP può indicare che ci si sta trovando di fronte ad un attaccante. Alcuni malware si collegano a server controllati dai cybercriminali per trasferire dati aziendali. Così come continui tentativi di autenticazione provenienti dallo stesso indirizzo IP possono indicare un tentativo di attacco in corso.
- Messaggi email: In un sospetto attacco phishing, analizzare i messaggi email è fondamentale per tracciare l'origine dell'attacco, soprattutto quei messaggi contenti file allegati.
- File conservati su dispositivi compromessi: Qualsiasi dispositivo sotto attacco o infettato con malware potrebbe contenere file importanti da analizzare in fase di analisi. Chiavi di registro, file DLL, eseguibili, e qualsiasi altro dato proveniente dal dispositivo può risultare prezioso nelle indagini.
Anche risorse esterne possono essere utilizzate per raccogliere dati. Gli esperti in cyber threat intelligence utilizzano spesso dati raccolti dai marketplace del dark web per portare avanti le proprie indagini, o si uniscono alle community di hacker per restare aggiornati sulle ultime attività. Alcuni sistemi di gestione del rischio e di rilevamento delle intrusioni si servono di enormi database di indirizzi IP e domini malevoli per determinare se un'azienda è vittima di un attacco.
Quali strumenti e piattaforme possono essere utilizzate nella cyber threat intelligence?
Le piatteforme di cyber threat intelligence più popolari si servono dell'intelligenza artificiale per aiutare gli analisti a rilevare potenziali vulnerabilità. Un buon sistema SIEM utilizza l'intelligenza artificiale e si integra perfettamente con altri sistemi di sicurezza informatica per raccogliere e salvare dati. I vari tool utilizzati nella threat intelligence possono essere lanciati in locale o dal cloud, ma molte aziende scelgono questi ultimi per risparmiarsi tutta la parte, tutt'altro che semplice, di installazione e configurazione dell'infrastruttura.
Quando siete alla ricerca di una piattaforma per la cyber threat intelligence, ci sono quattro parametri da tenere in considerazione:
- La capacità di raccogliere e aggregare dati da diverse fonti.
- L'utilizzo dell'intelligenza artificiale per assegnare un punteggio numerico o che permetta comunque ai ricercatori di capire facilmente il livello di rischio nell'analisi dei report.
- L'integrazione con altri sistemi di sicurezza informatica per poter lavorare con più dati e strumenti di analisi.
- Facilità nella disseminazione delle informazioni, ma allo stesso tempo protezione dei dati sensibili dagli attacchi.
Le piattaforme di threat intelligence aiutano nella ricerca sia i professionisti della sicurezza informatica che gli addetti del settore IT. Il giusto strumento deve essere in grado inoltre di limitare i falsi positivi per evitare lo spreco di risorse nell’analisi di dati irrilevanti. Per concludere, un'azienda non ha bisogno necessariamente di partecipare attivamente alla threat intelligence, tuttavia gli addetti del reparto informatico dovrebbero controllare regolarmente le ultime vulnerabilità ed exploit segnalati sui software in uso. Tramite la semplice ricerca, un'azienda può applicare le dovute patch in tempo utile, prima che i cybercriminali possano sfruttarle per mettere a segno i temutissimi data breach.
Soluzioni Proofpoint per la Threat Intelligence
Proofpoint ET Intelligence è la fonte più tempestiva e accurata di threat intelligence. Le nostre informazioni verificate appieno offrono un contesto approfondito e si integrano perfettamente con i tuoi strumenti di sicurezza per migliorare il tuo processo decisionale.
Osterman Research: Il Valore della Threat Intelligence
La sicurezza informatica è una battaglia in corso tra attori cattivi sofisticati e ben finanziati e coloro che devono difendere le reti aziendali dai loro attacchi. La cattiva notizia è che questi ultimi in genere non vincono.
Solution Brief: Proofpoint Advanced Threat Protection
Proofpoint Advanced Threat Protection Solutions protegge le informazioni critiche e ti fornisce l'intelligenza e gli strumenti giusti per rispondere rapidamente quando le cose vanno male.