Analisti esperti in intelligence devono prendere decisioni sulla base di dati in real time, selezionati e processati

In qualsiasi organizzazione moderna, i responsabili della sicurezza devono continuamente valutare ogni aspetto del loro programma di cyber security. Persone, processi e tecnologie devono essere rivisti per garantire che ogni componente critico sia ottimizzato per affrontare gli attacchi. Le questioni principali che è necessario affrontare diventano quindi: “su cosa si basano le organizzazioni per prendere le proprie decisioni?” e “sono affidabili al 100%?”. La Cyber Threat Intelligence (CTI) è una componente essenziale che deve essere prevista in ogni programma di sicurezza di un’organizzazione.

Se utilizzata correttamente, la CTI permette di prendere decisioni informate per l’azienda stessa e la relativa sicurezza e consente quindi alle organizzazioni di intraprendere, a ragion veduta, azioni decisive per la protezione dei propri utenti, dei dati e al contempo conoscere gli avversari. Purtroppo l’intelligence sulle minacce è un termine potenzialmente molto ampio e utilizzato in maniera spesso incoerente dalla comunità della sicurezza informatica.

Informazione vs. Intelligence

Semplificare o utilizzare impropriamente il termine “intelligence sulle minacce cyber” può rendere difficile per i responsabili della sicurezza valutare l’ampia gamma di opzioni che sono disponibili per aumentare l’efficacia della sicurezza di un’azienda. Nell’ipotesi migliore, chi si è dotato di una soluzione di questo genere riceve una vera e propria intelligence che facilita il prendere decisioni in modo proattivo ed efficace. Nel peggiore dei casi, invece, ricevono informazioni che non sono utilizzabili.

Informazioni sulle minacce cyber…

  • Dati grezzi, non filtrati
  • Non valutati prima di essere consegnati
  • Aggregati da ogni tipo di sorgente
  • Potenzialmente veri, falsi, fuorvianti, incompleti, rilevanti o irrilevanti
  • Non utilizzabili per prendere decisioni
Intelligence sulle minacce cyber…

  • Dati processati, selezionati
  • Valutati ed interpretati da analisti esperti di intelligence
  • Aggregati da sorgenti affidabili e controllati per verifiche di accuratezza
  • Precisi, tempestivi, completi (per quanto possibile), di verificata rilevanza
  • Usati per prendere decisioni

Restare in allerta con le informazioni inerenti le minacce

Le informazioni sulle minacce sono più comunemente note come “feed” e possono essere classificate così:

  • Feed su signature e reputation: forniscono tipicamente un flusso di firme per malware (hash), dati sulla reputazione degli URL e indicatori, integrati talvolta con delle statistiche di base;
  • Feed sulle minacce: forniscono delle analisi di base svolte da persone, comprendono statistiche sulla diffusione, sulle fonti e sugli obiettivi del malware o di altre attività malevole.

Entrambe le tipologie di feed di dati hanno valore; i feed di signature e reputation migliorano l’efficacia dei next-generation firewall (NGFW), dei sistemi di prevenzione delle intrusioni (IPS), dei gateway di sicurezza internet (SWG), dei pacchetti anti-malware e antispam e di altre tecnologie focalizzate ad azioni di blocco. I feed delle minacce sono, invece, utili ai security operation center (SOC) e ai team di risposta agli incidenti perché li aiutano a identificare le modalità usate dagli aggressori, piuttosto che focalizzarsi su degli indicatori atomici. Le informazioni che forniscono possono aumentare anche la comprensione di un team di sicurezza su come rimediare a sistemi che sono stati compromessi.

Limitazioni

Uno dei principali limiti dei feed di dati è che utilizzano informazioni ricavate da attacchi già avvenuti. Contribuiscono nel bloccare attacchi noti su vasta scala, ma spesso non sono utili per affrontare attacchi nuovi o mirati per i quali non esiste ancora una signature. Qualsiasi analisi disponibile è probabilmente datata e può spesso essere mancante di linee guida e di informazioni di contesto che illustrino come gli aggressori si stiano preparando ad attaccare o sulle eventuali nuove tattiche che utilizzeranno.

Non è semplice valutare la qualità delle informazioni nei feed di dati visto che varia in modo significativo in base alla capacità del fornitore e alle fonti usate. Senza informazioni di contesto però un’azienda può ritrovarsi a ricevere migliaia di alert ogni giorno, rendendo difficile per i team di sicurezza identificare e rispondere a quelli importanti. il risultato è che le aziende permangono, nella maggior parte dei casi, in una modalità reattiva.

Il valore di un’intelligence completa sulle minacce informatiche

L’intelligence sulle minacce informatiche spesso include feed di dati con signature, informazioni su reputazione e minacce, ma li supera tutti in termini di qualità.

Le attività tipiche includono:

  • Raccolta di informazioni su scala globale
  • Fornitura di dati contestualizzati inerenti gli aggressori e previsioni sugli attacchi
  • Personalizzazioni per le singole organizzazioni

Una CTI completa permette alle organizzazioni di essere proattive e di prepararsi per affrontare gli aggressori e le minacce di domani, piuttosto che reagire alle notizie di ieri. La mancata possibilità di accesso a informazioni che illustrino tutti i rischi e le relative opzioni a disposizione, comporta l’impossibilità per i professionisti della sicurezza informatica di prendere le migliori decisioni di sicurezza possibili per la loro azienda.

I vantaggi di un’efficace CTI sono:

  • Approfondimenti e informazioni di contesto preziose: informazioni dettagliate su quali siano le minacce più probabili per un’organizzazione o uno specifico settore e indicatori per aiutare a prevenire e rilevare un maggior numero di attacchi;
  • Migliori tempi di reazione agli incidenti: permette di assegnare una priorità agli allarmi, il che consente a un’organizzazione di rispondere più rapidamente alle minacce reali e ridurre il rischio di gravi conseguenze in caso di violazioni;
  • Miglioramento della comunicazione, della pianificazione e degli investimenti: i team di sicurezza possono comunicare i rischi reali all’azienda e concentrarsi sulla protezione degli obiettivi ad alto rischio attraverso investimenti mirati e un pianificazione della sicurezza.

La CTI non solo riduce il rischio di costose violazioni della sicurezza, ma aiuta le organizzazioni ad allineare la spesa per la sicurezza alle loro esigenze.

Revisione delle diverse opzioni

Una volta che un’organizzazione sa cosa cercare, il passo successivo è identificare un fornitore che metta quella specifica intelligence a disposizione, in questo modo il potenziale valore della relativa adozione e delle sfide che i team dovranno affrontare diventeranno più chiari.

“La vera intelligence sulle minacce informatiche aiuta un’organizzazione a migliorare il proprio livello di sicurezza, fornendo un contesto rispetto alle minacce realmente importanti, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye. E’ indispensabile che le organizzazioni siano in grado di riconoscere i pro e i contro delle diverse opzioni disponibili e che di conseguenza i rispettivi rischi e benefici siano ben compresi prima di prendere la decisone di acquistare un certo tipo di intelligence”.

I feed di dati relativi a signature, reputation e minacce possono rendere più efficaci le tecnologie di blocco (FW, AV etc..); tuttavia, le informazioni fornite si basano su eventi storici e non forniscono informazioni sufficienti per poter identificare attacchi nuovi e mirati.

Una CTI completa unisce una serie diversificata di fonti che comprende sia dati tecnici e sia dati prodotti da analisti che creano così una intelligence che può essere utilizzata a livello strategico, operativo e per la gestione del rischio cyber.