Cos'è la Cyber Threat Intelligence e perché è la chiave per la sicurezza informatica

Quella della sicurezza informatica è una partita in costante evoluzione, in cui tattiche e strategie si adattano alle caratteristiche mutevoli degli attacchi portati dai cyber criminali. Nello scenario attuale, aziende ed enti pubblici si trovano a fronteggiare minacce estremamente complesse e mirate che prevedono elaborate attività di pianificazione da parte dei criminal hacker.

Esattamente come accade in un conflitto convenzionale, il contrasto del cyber crime nel nuovo contesto richiede l'utilizzo di dati e informazioni che permettano di acquisire un vantaggio strategico sull'avversario. Questo ruolo è affidato alla Cyber Threat Intelligence.

Definizione di Cyber Threat Intelligence

La Cyber Threat Intelligence (CTI) è il processo di raccolta, analisi e condivisione di informazioni sulle minacce informatiche attuali o potenziali. Il suo obiettivo è quello di supportare i responsabili di cybersecurity nella difesa delle infrastrutture digitali attraverso un approccio proattivo.

Come la più tradizionale intelligence, la CTI utilizza dati provenienti da diversi ambiti, come fonti aperte (OSINT- Open Source Intelligence), informazioni raccolte su Deep e Dark Web, interne, commerciali e tecniche, trasformandoli in informazioni contestualizzate, rilevanti e tempestive, consentendo di:

• anticipare gli attacchi prima che si verifichino,
• migliorare la gestione del rischio,
• affinare le strategie di risposta.

In altre parole, l'adozione di strumenti di Cyber Threat Intelligence permette di contare su un ecosistema di sicurezza informatica in cui tutti i soggetti coinvolti sono preparati ad affrontare e contrastare le minacce specifiche che possono colpire l'organizzazione.

[Link]

La differenza tra Threat Data e Threat Intelligence

Threat Data e Threat Intelligence sono concetti fondamentali nell'ambito della sicurezza informatica, ma rappresentano fasi diverse all'interno del processo di analisi delle minacce.

La Threat Data consiste nella raccolta di informazioni grezze raccolte da varie fonti, come i log di sistema, il rilevamento di indirizzi IP sospetti o di URL dannose. Questi dati, per quanto utili per individuare eventuali attacchi, hanno però molto più valore nel momento in cui vengono analizzati tenendo conto del giusto contesto in cui si collocano.

È qui che si inserisce il concetto di Threat Intelligence, che prevede l'analisi, elaborazione e contestualizzazione dei dati raccolti alla luce delle ulteriori informazioni raccolte. I sistemi basati sulla Cyber Threat Intelligence, in sintesi, consentono di trasformare i dati grezzi in informazioni utili, pertinenti e comprensibili, creando così un quadro sui potenziali attori malevoli, le loro tecniche di attacco e i potenziali impatti. In questo modo la CTI garantisce una posizione di vantaggio, grazie alla quale è possibile prendere decisioni basate su dati oggettivi per prevenire, rilevare e rispondere alle minacce.

Resilienza informatica, il ruolo della CTI nella prevenzione

Il "rischio zero", nel mondo della cybersecurity, non esiste. Qualsiasi esperto di sicurezza informatica è pienamente consapevole che le possibilità di bloccare all'origine il 100% delle minacce è una mera illusione e il concetto, normalmente, viene declinato con la frase "non chiederti se sarai attaccato, ma quando sarai attaccato".

Questa congettura è alla base della cyber resilienza e si declina su più aspetti. Uno di questi, di fondamentale importanza, è la prevenzione. Si tratta di una strategia che sfrutta la Threat Intelligence coinvolgendo i processi, gli strumenti e gli individui e che ha come obiettivo quello di individuare eventuali vulnerabilità, attuare le misure preventive necessarie, implementare tutte le azioni e gli accorgimenti per monitorare costantemente la rete e contrastare tempestivamente gli attacchi.

[Link]

Le fonti della Cyber Threat Intelligence

L'ampiezza delle fonti è uno dei fattori determinanti nel definire l'efficacia della CTI in chiave di prevenzione e contrasto delle minacce.

Le ricerche in OSINT (dati liberamente accessibili) vengono effettuate in modo automatico attraverso crawler, cioè programmi automatici progettati per navigare e analizzare il contenuto di siti web.

Più delicato è il monitoraggio del Deep Web, ovvero quegli ambienti - come i forum - in cui i contenuti non sono liberamente accessibili (poiché non indicizzati), ma richiedono credenziali per accedervi. I forum frequentati dai cyber criminali, infatti, possono essere monitorati solo attraverso processi di infiltrazione affidati a esperti del settore che hanno le conoscenze per muoversi all'interno delle varie sottoculture che animano i bassifondi del Web e poter, in questo modo, raccogliere le informazioni di intelligence.

Un discorso simile vale per il Dark Web, all'interno del quale hanno un ruolo di primo piano i market dedicati alla compravendita di strumenti di attacco, vulnerabilità e dati sensibili che possono consentire ai criminal hacker di ottenere un vantaggio strategico per poter perpetrare i propri attacchi.

Tra le fonti monitorate attraverso la CTI ci sono anche i sistemi di messaggistica utilizzati dai cyber criminali per comunicare tra loro. Tra questi, Telegram (in declino dopo le dichiarazioni del suo fondatore Pavel Durov, che ha accettato di collaborare con le forze di polizia mettendo a disposizione l'accesso ai suoi server) e Tox, una piattaforma di comunicazione peer to peer protetta da crittografia che garantisce un eccellente livello di anonimato.

[Link]

Le componenti della Cyber Threat Intelligence

La Cyber Threat Intelligence viene suddivisa in diverse componenti, tenendo conto non solo dei vari tipi di intelligence prodotta, ma anche delle categorie di informazioni analizzate. Ogni componente della CTI è infatti progettata per rispondere a esigenze diverse, a partire dalla raccolta di informazioni ad alto livello fino ai dettagli specifici sulle minacce in corso. La suddivisione si differenzia quindi anche per il livello di dettaglio delle analisi e per le finalità a cui ciascun tipo di intelligence è destinato.

Normalmente si distinguono una componente strategica, una tattica e una operativa.

[Link]

Strategic Threat Intelligence

La Strategic Threat Intelligence è la componente della CTI che fornisce una visione ad alto livello del panorama delle minacce, con l'obiettivo di supportare le decisioni aziendali, indirizzare gli investimenti in sicurezza e orientare le scelte strategiche a lungo termine.

Sotto il piano strategico è infatti fondamentale avere a disposizione le analisi relative al contesto, alle tendenze e alle previsioni sulle minacce informatiche, per comprendere il rischio cibernetico nel quadro più ampio del business. Analisi di questo tipo tengono conto sia delle evoluzioni dell'ecosistema digitale, sia di fattori più ampi come quelli legati alla geopolitica o ai trend in specifici settori economici.

Tactical Threat Intelligence

La Tactical Threat Intelligence è invece focalizzata sull'identificazione e comprensione delle tattiche, tecniche e procedure (TTP) utilizzate dai cyber criminali nei loro attacchi. È una forma di intelligence orientata a una fase più operativa rispetto a quella strategica, che si concentra sul "come" operano i gruppi criminali, delineando un modus operandi che comprende gli obiettivi e gli strumenti utilizzati.

Il prodotto della Tactical Threat Intelligence ha un enorme valore per le attività di Threat Hunting, consentendo agli specialisti di fare leva su informazioni puntuali e strutturate che rendono più efficace il loro lavoro.

Operational Threat Intelligence

Per Operational Threat Intelligence (o intelligence operativa), infine, si intende una componente che ha caratteristiche di tempestività, mirata a ottenere i dettagli su minacce specifiche in corso. È di supporto per azioni rapide, come la mitigazione di attacchi attivi, l'attivazione di contromisure immediate o per adattare le difese in tempo reale.

Ciclo di vita della Cyber Threat Intelligence

Il ciclo di vita della Cyber Threat Intelligence si articola normalmente in quattro fasi interconnesse e che vengono applicate in maniera iterativa. Il loro obiettivo è quello di mettere a valore i dati grezzi, sfruttare le informazioni di intelligence per migliorare la postura di sicurezza e adottare un approccio proattivo alla cybersecurity.

1. Pianificazione e direzione:
   È la fase che permette di individuare gli obiettivi, le priorità e, di conseguenza, le fonti da utilizzare. L'attività di CTI, infatti, deve essere "cucita su misura" in base all'ambito di attività e alle specificità dell'organizzazione.
   
   
2. Raccolta dati:
   I dati vengono acquisiti a livello interno da fonti come i log di sistema e il SIEM (Security Information and Event Management). All'esterno da feed commerciali, OSINT (Open-Source Intelligence), Deep e Dark Web e partner. Le fonti, definite nel corso della fase di pianificazione, possono variare a seconda delle caratteristiche dell'organizzazione.
   
   
3. Elaborazione dati:
   Prevede la normalizzazione delle informazioni e l'utilizzo di filtri per eliminare falsi positivi, dati ridondanti o non pertinenti. Si procede poi all'arricchimento dei dati, attraverso informazioni di contesto come la correlazione con IP malevoli o la geolocalizzazione.
   
   
4. Analisi e produzione:
   È la fase di interpretazione dei dati, che consente di individuare modelli, anomalie o indicatori significativi che rivelano minacce attuali o potenziali. Si tratta di un processo in cui è fondamentale l'apporto umano, supportato da strumenti automatici come l'AI. Gli obiettivi variano dalla descrizione dei TTP (tattiche, tecniche e procedure) di specifici di gruppi criminali alla correlazione di indicatori (indirizzi IP, hash, domini) con campagne note o comportamenti osservati in passato. Il risultato finale (produzione) è rappresentato da report, alert operativi e analisi che vanno ad arricchire la base di conoscenza relativa alle minacce e al loro livello di rischio.

[Link]

Gli strumenti della Cyber Threat Intelligence

Le attività di intelligence in ambito di rilevamento delle minacce fanno leva su strumenti tecnologici avanzati, ma il vero "cuore" del sistema è rappresentato da persone in carne e ossa: ethical hacker, threat hunter e professionisti specializzati nell'incident response.

L'I-SOC (Intelligence - Security Operation Center) di Cyberoo è composto da un team di oltre 100 specialisti dislocati sia in Italia, sia all'estero (Ucraina, Albania, Polonia). Gli specialisti dell'I-SOC sono attivi h24 e hanno specializzazioni verticali che permettono di analizzare a fondo le minacce e creare il contesto più adeguato a consentire le attività di prevenzione.

La loro attività copre diversi fronti, a partire dalla valutazione della postura di sicurezza (Digital Footprint) attraverso l'analisi puntuale dei servizi esposti. In questo ambito, ha una particolare rilevanza il concetto di Shadow IT, cioè l'eventuale presenza di sistemi, dispositivi, applicazioni o servizi utilizzati senza l'approvazione, la supervisione o la conoscenza del reparto IT. Può trattarsi di strumenti personali, software di collaborazione non autorizzati, app installate su dispositivi aziendali senza permesso o anche intere infrastrutture sviluppate autonomamente da singoli reparti.

La valutazione del livello di sicurezza dell'ecosistema IT ha anche una dimensione dinamica, affidata a un processo di Continuous Scanning dei sistemi, che permette di identificare proattivamente nuove vulnerabilità attraverso strumenti automatizzati.

Focus sul leakage dei dati

L'esfiltrazione di dati può essere la conseguenza di una violazione andata a segno, ma anche il preludio di un attacco che utilizza le informazioni sottratte per fare breccia nei sistemi informatici. In entrambi i casi, è fondamentale essere in grado di individuare tempestivamente la presenza sul web di informazioni riservate, ma anche di semplici dati potenzialmente dannosi. Questo tipo di attività consente infatti di "disinnescare" potenziali attacchi e impedisce che eventuali documenti sensibili possano essere diffusi mettendo a rischio, per esempio, la proprietà intellettuale dell'organizzazione.

I servizi Data Breach Detection e Data Leakage Detection di Cyberoo offrono visibilità in near-real-time a tutti i livelli del web (surface, deep, dark) della presenza di informazioni di questo tipo.

A livello qualitativo, è necessario inoltre implementare strumenti specifici per la protezione delle identità digitali più sensibili. Un consolidato modus operandi dei cyber criminali è infatti quello di concentrare i loro sforzi sulle figure apicali dell'azienda, prendendo di mira le credenziali aziendali e private per ottenere accesso ai sistemi, oppure per impersonificarli allo scopo di sottrarre denaro o informazioni sensibili. Funzionalità come Deep&Dark Web Monitoring e Vip User Protection mirano a identificare e bloccare azioni di questo genere.

L'efficacia di un'attività di monitoraggio costante del web a tutti i livelli non si esaurisce nel miglioramento della postura di sicurezza delle infrastrutture IT. Permette, infatti, di tenere sotto controllo una serie di fenomeni che non impattano direttamente sugli asset dell'organizzazione, ma possono avere ripercussioni sulla sua reputazione. Le attività di Brand Monitoring alimentate dalla Cyber Threat Intelligence consentono di individuare domini clonati, account social fraudolenti e campagne di phishing dirette agli utenti che sfruttano il brand o il logo dell'organizzazione.

I benefici dell'adozione della Cyber Threat Intelligence

Oltre ai vantaggi derivanti da un'efficace prevenzione, l'adozione di strumenti di Cyber Threat Intelligence consente di avere una maggiore reattività nel contrastare l'attacco nel momento in cui viene individuato e aumenta le probabilità di impedire (o mitigare) la compromissione dei processi aziendali critici.

Se l'impatto economico di un cyber attacco su qualsiasi organizzazione interseca più aspetti, il più immediato e percepibile è proprio quello del blocco operativo, su cui contano in particolare i gruppi di criminal hacker specializzati in attacchi ransomware per aumentare la pressione sulle loro vittime e indurla al pagamento del riscatto.

Maggiore è l'efficacia della fase di response, minore sarà l'impatto sulla business continuity dell'organizzazione e, di conseguenza, il danno economico provocato dal blocco delle operazioni in seguito a un incidente di cybersecurity.