Indicatori obsoleti di compromissione o dettagli molto interessanti sugli aggressori?

CTI: come individuare le sorgenti primarie

La CTI (Cyber Threat Intelligence) può rappresentare il pilastro della sicurezza informatica aziendale, ma non tutte le informazioni di intelligence vengono create allo stesso modo: potrebbe trattarsi di obsoleti indicatori di compromissione, oppure di dettagli molto interessanti sugli aggressori (con utili consigli di mitigazione delle minacce).

“Quando si tratta di valutare una sorgente di intelligence, la qualità vince sulla quantità. La maggior parte dei soggetti che si interessano all’intelligence lo fanno perché hanno poco tempo e sono stufi di aggiungere alla loro lista altri articoli da dover spulciare da zero, afferma Gabriele Zanoni, EMEA Solutions Architect di FireEye. La sfida, quindi, è quella di fornire loro un’intelligence ad alto livello che fornisca un immediato vantaggio decisionale legato alle sfide per loro più pressanti”.

Ci sono diversi modi in cui la CTI può migliorare la qualità delle decisioni. Tuttavia, pochi avranno un miglioramento notevole se non attraverso l’utilizzo di informazioni di intelligence che arrivano da sorgenti di prima mano.

L’intelligence da sorgenti primarie

Una intelligence da sorgenti primarie significa che i report di intelligence sono basati su informazioni immediate di prima mano. Nell’ambito della sicurezza informatica, questo significa in genere il poter scrivere un report basandosi su una conoscenza diretta con la minaccia in questione.

La maggior parte dei dati da sorgenti primarie di Mandiant viene acquisita tramite l’esperienza delle attività svolte in prima linea rispondendo ad alcuni degli incidenti più importanti. Mandiant trae vantaggio, inoltre, da una ricca telemetria che protegge milioni di endpoint in diversi settori di mercato; è una capacità di raccolta organica che consente di monitorare le infrastrutture e il comportamento degli avversari; inoltre i diversi SOC dislocati in tutto il mondo e il team specializzato chiamato “Advanced Practices” lavorano per scoprire e studiare mitigazioni per contrastare gli avversari.

L’intelligence da sorgenti primarie non è la sola fonte di informazioni utili. Esistono sorgenti secondarie che si basano su informazioni di “seconda mano” sugli attacchi. Ad esempio intelligence da sorgenti secondarie potrebbero basarsi su articoli dei media, documenti accademici o report di terze parti.

Molte organizzazioni, tra cui FireEye, combinano sia fonti primarie che secondarie nei loro report di CTI. Ciò è dovuto al fatto che la fonte secondaria può senza dubbio fornire una panoramica di alta qualità. Nessuna agenzia o azienda possiede una visibilità completa sul panorama delle minacce e l’utilizzo di fonti esterne può aiutare a ottenere una prospettiva più ampia e una maggiore comprensione.

Nonostante il contributo che la CTI da sorgenti secondarie possa fornire, FireEye ritiene che un approccio basato su sorgenti primarie possa fornire una prospettiva unica e altamente efficace.

I BENEFICI DELL’INTELLIGENCE DA SORGENTI PRIMARIE

Comprendere il comportamento degli avversari

Le osservazioni tempestive e di prima mano degli aggressori offrono l’opportunità di apprendere dettagli del modus operandi di un avversario. Possedere questo livello di comprensione fornisce le basi per produrre e creare intelligence in diverse forme (indicatori particolarmente rilevanti, report per dirigenti, playbook MITRE ATT&CK e anche approfondimenti tecnici).

Creare una CTI a partire dagli attacchi osservati è un obiettivo chiave di Mandiant. Per esempio, Mandiant Threat Intelligence è stata in grado di fornire un’analisi approfondita sulla famiglia di malware “TRITON” proprio perché ha risposto a un incidente avvenuto presso una infrastruttura critica in cui l’aggressore ha implementato quel malware progettato per manipolare i sistemi di sicurezza industriali della vittima.

L’intelligence basata sulla comprensione derivante dalle attività in prima linea rimuove anche le possibili ambiguità, riducendo il rischio che le segnalazioni possano essere male interpretate. Le sorgenti secondarie introducono ulteriori nodi nella catena di comunicazione tra le attività avversarie osservate e il report finale. Questi step aggiuntivi aumentano il rischio che i dettagli dell’avversario siano confusi, ridimensionati o modificati durante le diverse revisioni e riscritture.

I report tecnici di dettaglio, per esempio, sono spesso riassunti in articoli di più alto livello. Intelligence che si basano su questi articoli spesso scritti dai media non sono poi in grado di fornire quei dettagli tecnici che potrebbero essere utili e richiesti dalle parti interessate. L’intelligence da sorgenti primarie, al contrario, taglia fuori gli intermediari.

Comprendere l’attività avversaria da differenti angolazioni

Esiste una varietà di sorgenti primarie nella sicurezza informatica e l’utilizzo di un’ampia gamma di fonti aiuterà le organizzazioni a comprendere meglio il loro panorama di minacce. Questo in quanto ogni fonte fornisce una diversa prospettiva.

Il ransomware è un esempio in cui la varietà delle sorgenti primarie arricchisce la nostra comprensione. Rispondere a un incidente permette di comprendere come opera una certa variante di ransomware una volta che ha raggiunto un sistema avversario, questo è un aspetto sempre più importante data la crescente popolarità delle operazioni di ransomware post compromissione. In casi come questo, riuscire a studiare direttamente il malware e l’infrastruttura degli avversari, fornisce ulteriori informazioni su molti degli strumenti utilizzati unitamente a queste campagne.

La telemetria dell’endpoint può fornire una prospettiva più ampia sulle minacce più probabili per specifiche regioni e segmenti di mercato. L’accesso ai forum criminali del dark web permette una comprensione delle nuove varianti che vengono pubblicizzate per la vendita. Monitorare regolarmente siti di data leak collegati a operazioni di ransomware permette di confermare qualsiasi vittima pubblicizzata e di accertare possibili esposizioni di dati che potrebbero avere impatti sulle organizzazioni vittima.

Il punto chiave non è che una di queste fonti sia superiori ma che, se combinata, si è in grado di realizzare un quadro molto più chiaro del panorama delle minacce.

Velocità

La tempestività è una componente chiave dell’intelligence. Che si tratti di fornire indicatori di compromissione o identificare l’utilizzo di una nuova tecnica MITRE, le CTI dovrebbero sforzarsi di accorciare la finestra di tempo tra l’attività avversaria e la generazione di informazioni rilevanti e usabili dai difensori.

“Gli aggressori si rinnovano continuamente e la nostra esperienza nelle attività svolte in prima linea aiuta le aziende a muoversi alla stessa velocità della minaccia, aggiunge Zanoni. Essendo vicini all’azione e sfruttando la connessione diretta con la minaccia in questione, l’intelligence di Mandiant è in grado di fornire informazioni il più tempestivamente possibile per permettere ai clienti di inserirle nei loro sistemi intelligence di qualità”.

In conclusione

Un’intelligence basata su sorgenti primarie offre una visione ineguagliabile del comportamento degli avversari. Sviluppando una strategia di sicurezza che si basa su esperienza e competenza derivante dalle attività in prima linea, un’azienda può verificare il suo livello di sicurezza rispetto alle realtà operanti nello stesso settore e nella stessa regione.

Tuttavia, nonostante l’evidente valore aggiunto della conoscenza da sorgenti primarie, i benefici possono essere sfruttati esclusivamente se l’intelligence è adeguatamente integrata all’interno delle diverse funzioni di cyber security di un’azienda. È quindi vitale che le organizzazioni identifichino i processi rilevanti e le capacità necessarie per massimizzare i benefici delle informazioni sulle minacce.