L’attività di cybersecurity assume un ruolo centrale nel prevenire, rilevare e mitigare gli attacchi informatici che minacciano le organizzazioni. La
Cyber Threat Intelligence (CTI) è un tassello fondamentale di qualsiasi ecosistema di cybersecurity. L’attività si basa sulla raccolta e analisi di informazioni precise,
volte a individuare immediatamente l’hacker o a supportare il processo decisionale appena si rileva un’intrusione informatica.
L’intelligence ha radici nell’ambito militare, dove ad una prima fase di pianificazione da parte degli organi di comando,
segue quella legata alla raccolta delle informazioni; che vengono poi elaborate, raggruppate e rese fruibili, consentendo di prendere decisioni più accurate. Sulla stessa scia del famoso stratega militare cinese Sun Tzu, secondo il quale era prioritario conoscere bene se stessi,
anche nelle aziende questo aspetto è fondamentale.
Quest’ultime devono infatti
sapere esattamente quali risorse hanno a disposizione e dove si trovano, monitorando tutto ciò che accade con la massima attenzione. Per conoscere sé stessi è importante anche conoscere il proprio nemico, individuando velocemente le informazioni utili, analizzandole e comunicandole a coloro che devono prendere le decisioni.
La cyber threat intelligence può essere di tre tipi.
Strategica quando si concentra sul malintenzionato e ne traccia un profilo, indicando
il motivo che lo spinge ad agire e a colpire specificamente quel tipo di attività o settore. È rivolta ad un pubblico non tecnico. Esistono varie categorizzazioni, ad esempio quella fornita da Mandiant oppure Group-IB basata su sigle che racchiudono la motivazione e un progressivo numerico: APT per Advanced Persistent Threat, FIN per Financial, etc.
Operativa quando si focalizza sul come e dove avviene un attacco, descrivendo strumenti (tools), tecniche (techniques) e procedure (procedures) o TTP utilizzati dal cyber criminale; è fruibile da tutti.
Tattica quando riguarda un particolare evento di sicurezza, descrive malware o mail phishing, oppure menziona indicatori di attacco o di compromissione; è destinata in questo caso ad un pubblico tecnico. Include dati per riconoscere il malware oppure
indicatori di attacco o compromissione (IoA, IoC) - come IP, domini, hash di file. Questi possono essere facilmente implementati per alzare difese a livello perimetrale, di monitoraggio e di risposta per bloccare tentativi oppure mitigare situazioni di compromissione.
I tre piani di lavoro dell’intelligence che si occupa della cyber security
devono essere considerati in maniera olistica, poiché il meccanismo è virtuoso se i risultati di ciascun livello di ricerca completano quelli degli altri, li perfezionano o rettificano, ridefinendo gli obiettivi informativi e strategici alla base che devono essere quanto più precisi e chiari possibili.
Conoscere bene se stessi così come il nemico, permette quindi di
adottare sempre le contromisure più adeguate ed efficaci attraverso un processo di governance della sicurezza continuo, necessario a fronteggiare le minacce informatiche in continua evoluzione. In tal caso
la CTI funziona come difesa, contribuendo al monitoraggio di tutta la rete aziendale per prevenire gli attacchi, rilevare le minacce e mitigare gli eventi dannosi, sviluppando un atteggiamento proattivo, migliorando le politiche di gestione del rischio per un processo decisionale più informato e consapevole.
Marco Rottigni è Chief Technical Security Officer area EMEA di Qualys