April 07, 2023

Cyber Threat Intelligence: conosci e anticipa il tuo avversario

Quali sono le nuove minacce che potresti affrontare nell’immediato futuro? La conoscenza dell’avversario è un fattore imprescindibile per aumentare le proprie difese informatiche. Scopriamo come farlo con la Cyber Threat Intelligence

image

Anno 2023 d.C., il mondo della sicurezza informatica è in costante cambiamento, hacker e difensori sono in continuo conflitto per superarsi a vicenda. Chi ha il compito di proteggere le aziende sa che è fondamentale conoscere la prossima mossa degli attaccanti per poter personalizzare in modo proattivo le proprie difese e prevenire gli attacchi.

Le organizzazioni sono consapevoli che la Cyber Threat Intelligence riveste ormai un ruolo di primo piano, ciononostante la maggior parte delle aziende continua a concentrare i propri sforzi solo sui casi d'uso più basilari, come l'integrazione dei feed dei dati sulle minacce con la rete esistente, IPS e firewall, senza sfruttare appieno le informazioni che l'intelligence può offrire.

In questo articolo analizziamo il concetto di Cyber Threat Intelligence per evidenziare come la sua applicazione evoluta rappresenta oggi un’arma indispensabile per ottenere un vantaggio competitivo sugli hacker.

1. Cos’è la Cyber Threat Intelligence?

La Cyber Threat Intelligence è la capacità di intelligence sviluppata in ambito Cybersecurity.

Include la raccolta, l’elaborazione e l’analisi dei dati di sicurezza informatica multi-sorgente, utilizzando algoritmi analitici avanzati ed esfiltrazioni di informazioni, al fine di rilevare il maggior numero di possibili tipologie di attacco attraverso la comprensione degli obiettivi e metodi messi in atto dai criminali informatici.

Raccogliendo e analizzando grandi quantità di dati sulle minacce e le tendenze della sicurezza informatica, la Cyber Threat intelligence permette ai team di sicurezza IT di:

  • Rafforzare la postura di sicurezza aziendale tramite la comprensione dell’avversario;
  • Anticipare in modo proattivo gli attaccanti;
  • Rispondere più velocemente in caso di incidente;
  • Prendere decisioni strategiche per il futuro e investire il budget con saggezza.

2. Quali sono i vantaggi della Cyber Threat Intelligence?

La Cyber Threat Intelligence migliora la capacità dell’azienda di ridurre i rischi informatici, attraverso l’analisi dettagliate delle possibili minacce e dei feedback di intelligence su tutte soluzioni che proteggono la superficie di attacco.

Per poter potenziare efficacemente le strategie di sicurezza informatica di un'organizzazione, una piattaforma avanzata di Threat Intelligence deve comprendere le seguenti funzionalità:

Correlazione dei dati multi-sorgente

Diversi punti di vista producono dati e approfondimenti diversi. Una piattaforma di intelligence sulle minacce deve essere in grado di aggregare sia fonti di dati interne che esterne, per fornire all’organizzazione una visibilità più completa delle minacce che probabilmente dovrà affrontare.

Analisi approfondita dei dati

L’enorme mole di dati raccolti da una piattaforma d’intelligence potrebbe facilmente sopraffare il team di sicurezza di un'organizzazione. Per questo una piattaforma avanzata di Cyber Threat Intelligence deve essere in grado di eseguire analisi automatizzate, valutazioni e definizione delle priorità per garantire che gli analisti vedano prima i dati più importanti.

Condivisione automatizzata dei dati

Disporre di dati di intelligence sulle minacce su un unico sistema centralizzato e fare esclusivamente affidamento sugli analisti per distribuirli manualmente sulle soluzioni difensive aziendali ne limita l'efficacia.

Una piattaforma di intelligence deve prevedere la possibilità di diffondere automaticamente le informazioni sulle soluzioni di sicurezza dell’organizzazione per velocizzare le attività di aggiornamento delle difese.

Aggiornamenti in tempo reale

Molte campagne di attacco durano poche ore o minuti. L'intelligence sulle minacce che si aggiorna quotidianamente è molto limitata ed è necessario disporre di una piattaforma in grado di fornire informazioni basate sull’analisi dei dati in tempo reale.

Informazioni proattive

Sapere che esiste una particolare minaccia non equivale a sapere come arginarla. La Cyber Threat Intelligence deve poter fornire consigli pratici e approfondimenti su come l’azienda può proteggersi dalle minacce rilevate.

3. Threat Intelligence Lifecycle: dal dato grezzo ai processi decisionali

L'intelligence sulle minacce è una sfida; le minacce sono in continua evoluzione e richiedono alle aziende di adattarsi rapidamente e intraprendere azioni decisive.

Il ciclo di vita dell'intelligence è il processo che permette di trasformare i dati grezzi in intelligenza finita per il processo decisionale, fornendo un framework che consentire ai team di sicurezza di ottimizzare le proprie risorse e rispondere efficacemente alle minacce più moderne. Ha l’obiettivo di migliorare l'efficienza e la funzionalità della piattaforma di intelligence e si compone di sei passaggi che danno luogo a un ciclo di feedback per incoraggiare il miglioramento continuo delle attività di intelligence:

Requirements

È la fase di sviluppo della roadmap, in cui vengono concordati insieme al cliente gli obiettivi, la metodologia e il programma di investigazione, basati sulle specifiche esigenze aziendali.

Collection

Definiti gli obiettivi e i requisiti dell’attività, si passa alla fase di raccolta delle informazioni.

A seconda degli obiettivi, il team di Threat Intelligence si concentrerà nella ricerca di potenziali vettori di minacce, vulnerabilità esistenti e informazioni pubbliche disponibili che gli attaccanti potrebbero utilizzare per ottenere l'accesso non autorizzato ai sistemi.

In questa fase si ricorre anche all’uso delle Honeypot, trappole per i criminali che hanno l’obiettivo di ingannare l’avversario affinché colpisca il perimetro dell’organizzazione in un punto prestabilito per farlo uscire allo scoperto, studiarne le tecniche e tenerlo distante dal vero obiettivo che si intende proteggere.

I luoghi in cui cercare le informazioni di intelligence includono anche i registri di eventi di rete e accesso a risorse quali blog, forum e community presenti nel dark web.

Processing

In seguito alla raccolta, i dati grezzi e le informazioni esfiltrate vengono elaborate. Oltre alla valutazione dei dati per rilevanza e affidabilità, il più delle volte questa fase comporta attività quali la traduzione di informazioni da fonti esterne.

Analysis

Ora che i dati sono stati processati, inizia la fase di analisi approfondita per trovare le risposte alle domande poste nella fase dei Requiremets. Durante la fase di analisi, il team di Threat Intelligence lavora anche per decifrare il set di dati in elementi di azione e raccomandazioni preziose per il cliente.

Fondamentali per la fase di analisi sono le Malware Sandbox, ovvero i sistemi di scansione dei file sospetti che permettono di farli “esplodere” in ambienti controllati al fine di studiarli e analizzarli. Le Sandbox registrano ogni operazione avvenuta dal file avviato e ne tracciano il comportamento per comprendere la metodologia impiegata dagli attaccanti.

Dissemination

Il team di intelligence traduce la propria analisi in un formato da presentare ai diversi referenti aziendali coinvolti. In questa fase, le informazioni che vengono presentate sono già utilizzabili da parte dell’azienda per prendere decisioni strategiche.

Feedback

Ricevere i feedback sui report di Threat Intelligence è fondamentale per migliorare l’intero processo di intelligence. A volte gli obiettivi, così come gli asset aziendali cambiano; di conseguenza sarà necessario adattare le strategie di intelligence alle nuove esigenze e aggiungere nuove metriche da analizzare.

4. La tua azienda ha bisogno della Cyber Threat Intelligence?

Nell’attuale paradigma della sicurezza informatica, la Cyber Threat Intelligence rappresenta una risorsa fondamentale per le aziende di ogni settore e dimensione.

Le PMI possono trarre vantaggio dai dati di intelligence per raggiungere un livello di protezione molto più avanzato. Per le aziende più grandi, che hanno già al loro interno un team di sicurezza, i dati di intelligence rappresentano un vantaggio tangibile per ridurre i costi attraverso l’ottimizzazione dei processi di cybersecurity e rendere gli analisti più preparati ed efficaci.

La Threat Intelligence offre vantaggi unici a ogni membro dei team di sicurezza:

  • Analista IT, migliora le proprie capacità di prevenzione e rilevamento e rafforza le difese;
  • SOC, ottimizza le proprie attività, attribuendo la priorità agli incidenti in base al rischio d’impatto per l’organizzazione;
  • Incident Responder, accelera le indagini e l’assegnazione delle priorità agli incidenti;
  • Board aziendale, ha una visione più approfondita dei i rischi che l’organizzazione deve affrontare ed è in grado di prendere decisioni più mirate sugli investimenti e le strategie da introdurre.

Certego Cyber Threat Intelligence

Quokka è la piattaforma di Threat Intelligence di Certego per la raccolta, classificazione, analisi e condivisione delle informazioni sulle minacce e tattiche evolute.

Quokka è il cuore delle attività di Threat Intelligence di Certego:

  • Riceve input e richieste di analisi (IP, Domini, File, ecc.) da honeypot, sensori e utenti;
  • Elabora e correla i risultati per produrre una risposta che può essere facilmente utilizzata in più contesti: avvisi automatici, analisi manuale, arricchimento dei dati, ecc.

I dati vengono continuamente aggiornati dal team di ricerca e automaticamente diffusi sulla piattaforma di Managed Detection and Response proprietaria Certego PanOptikon® , per adattare in tempo reale i sistemi di sicurezza dei nostri clienti ed identificare le minacce più innovative.

I servizi di Cyber Threat Intelligence di Certego aiutano inoltre le aziende a prendere decisioni più rapide, migliorare l’impatto degli investimenti e la distribuzione delle risorse aziendali per le attività di cybersecurity.

Per saperne di più consulta l’area del nostro sito dedicata alla Cyber Threat Intelligence.

 Pier Giorgio Bergonzi, Product Marketing Specialist

Subscribe

Sign up to our newsletter

Clicking Submit, I agree to the use of my personal data in accordance with Certego Privacy Policy. Certego will not sell, trade, lease, or rent your personal data to third parties.