Cyber Threat Intelligence: benefici e casi d’uso | Antreem
Vai al blog

Cyber Threat Intelligence: benefici e casi d’uso

di lettura
Ludovico Loreti
thumbnail

L’analisi delle minacce informatiche e le svolte che porta

Il panorama della Cyber Security è in costante evoluzione e la Cyber Threat Intelligence svolge un ruolo fondamentale nell’aiutare le aziende a comprendere i rischi di diversi tipi di attacchi informatici e il modo migliore per difendersi da essi. È inoltre uno strumento prezioso per mitigare gli attacchi in corso.

Gli hacker e i ricercatori di threat intelligence giocano continuamente al gatto e al topo. I ricercatori trovano e correggono le minacce e gli aggressori trovano nuovi modi per aggirare le difese.

Esistono numerose definizioni di “threat intelligence” e sono tutte accomunate dall’importanza che hanno le informazioni. Conoscere le intenzioni e i mezzi del nemico è un grande vantaggio e consente di guidare in modo ottimale il processo decisionale di previsione e mitigazione di eventuali minacce.

La Cyber Threat Intelligence (CTI) è quindi un agglomerato di informazioni strutturate con lo scopo, appunto, di prevenire o mitigare attacchi informatici. Lo scopo di essa è l’identificazione delle minacce e la creazione di una struttura che supporti il processo decisionale.

La Cyber Threat Intelligence è una conoscenza basata sull’evidenza, inclusi contesto, meccanismi, indicatori, implicazioni e consigli orientati all’azione su una minaccia o pericolo esistente o emergente per le risorse. Questa intelligenza può essere utilizzata per informare le decisioni riguardanti la risposta del soggetto a quella minaccia o pericolo. — Gartner

Oggi, il settore della sicurezza informatica deve affrontare numerose sfide: Cyber criminali sempre più persistenti e subdoli, un flusso quotidiano di dati pieni di informazioni estranee e falsi allarmi su più sistemi di sicurezza non collegati e una grave carenza di professionisti qualificati.

Alcune organizzazioni cercano di incorporare feed di dati sulle minacce nella loro rete, ma non sanno cosa fare con tutti quei dati extra, aumentando il peso agli analisti che potrebbero non avere gli strumenti per decidere a cosa dare la priorità e cosa ignorare.
Una soluzione di Cyber Threat Intelligence può affrontare ciascuno di questi problemi.

Le migliori soluzioni utilizzano l’apprendimento automatico per automatizzare la raccolta e l’elaborazione dei dati, integrarsi con le soluzioni esistenti, acquisire dati non strutturati da fonti disparate e quindi collegare i punti fornendo un contesto sugli indicatori di compromissione (IoC), le tattiche, le tecniche e le procedure (TTP) dei cyber criminali.
La Cyber Threat Intelligence è comoda, efficace, tempestiva: fornisce un contesto ed è in grado di essere compresa dalle persone incaricate di prendere decisioni.

Chi può trarre vantaggio dalla CTI ?

Tutti! La CTI è vista da tanti, in modo errato, come dominio degli analisti d’élite. In realtà, aggiunge un grande valore alla parte di sicurezza per le organizzazioni di qualsiasi dimensione. Quando la CTI  viene trattata come una funzione separata all’interno di un paradigma di sicurezza più ampio piuttosto che come un componente essenziale che potenzia ogni altra funzione, il risultato è che molte delle persone che trarrebbero maggior beneficio da essa non vi hanno accesso quando ne hanno bisogno. 

Threat Intelligence Use Cases

I diversi casi d’uso della Cyber Threat Intelligence la rendono una risorsa essenziale per i team interfunzionali di qualsiasi organizzazione.
Sebbene sia forse il valore più immediato quando aiuta a prevenire un attacco, la Cyber Threat Intelligence è anche una parte utile del triage, dell’analisi dei rischi, della gestione delle vulnerabilità e del processo decisionale ad ampio raggio.

Risposta agli incidenti

Gli analisti della sicurezza incaricati della risposta agli incidenti segnalano alcuni dei più alti livelli di stress nel settore, e non c’è da meravigliarsi sul perché: il tasso di incidenti informatici è costantemente aumentato negli ultimi due decenni e un’alta percentuale di avvisi giornalieri si rivelano poi falsi positivi. Quando si tratta di incidenti reali, gli analisti devono spesso dedicare del tempo a selezionare manualmente i dati per valutare il problema. L’intelligenza delle minacce riduce la pressione in diversi modi:

  • identificazione e scarto automatici dei falsi positivi;
  • arricchire gli avvisi con il contesto in tempo reale, come i punteggi di rischio personalizzati;
  • confronto tra informazioni provenienti da fonti interne ed esterne.

Security Operation Center

La maggior parte dei team dei centri operativi di sicurezza (SOC) deve gestire enormi volumi di avvisi generati dalle reti che monitorano.
La valutazione di questi avvisi richiede troppo tempo e molti non vengono mai esaminati. La Cyber Threat Intelligence risolve molti di questi problemi, aiutando a raccogliere informazioni sulle minacce in modo più rapido e accurato, filtrare i falsi allarmi, accelerare il triage e semplificare l’analisi degli incidenti. 

Gestione delle vulnerabilità

Una gestione efficace delle vulnerabilità significa passare dall’adozione di un approccio “toppa tutto, sempre”, che nessuno può realisticamente mai raggiungere, alla priorità delle vulnerabilità in base al rischio effettivo.

Analisi del rischio

La modellazione del rischio può essere un modo utile per le organizzazioni di stabilire le priorità di investimento. Ma molti modelli di rischio soffrono di output vaghi e non quantificati che vengono compilati frettolosamente, basati su informazioni parziali, su ipotesi infondate o su cui è difficile agire.
La Cyber Threat Intelligence fornisce un contesto che aiuta i modelli di rischio a effettuare misurazioni del rischio definite ed essere più trasparenti su ipotesi, variabili e risultati. Può aiutare a rispondere a domande come:

  • quali attori delle minacce stanno usando questo attacco e prendono di mira il nostro settore?
  • quante volte questo specifico attacco è stato osservato di recente da aziende come la nostra?
  • il trend è al rialzo o al ribasso?
  • quali vulnerabilità sfrutta questo attacco e quelle vulnerabilità sono presenti nella nostra azienda?
  • che tipo di danni, tecnici e finanziari, ha causato questo attacco a imprese come la nostra?

Leadership (nel campo della sicurezza)

I CISO e gli altri leader della sicurezza devono gestire il rischio bilanciando le limitate risorse disponibili con la necessità di proteggere le proprie organizzazioni da minacce in continua evoluzione. La Cyber Threat Intelligence può aiutare a mappare il panorama delle minacce, calcolare il rischio e fornire al personale addetto alla sicurezza l’intelligence e il contesto per prendere decisioni migliori e più rapide.

Conclusione 

La CTI integra dunque persone, processi e tecnologie per salvaguardare le aziende da attacchi informatici che possono provocare ingenti danni, per questo è importante adottarla nella propria strategia di sicurezza.
Nel prossimo articolo approfondiremo le 6 fasi del suo ciclo di vita

Ludovico Loreti
Scritto da
Ludovico Loreti
Esperto di sicurezza informatica e di sviluppo. Conosce e si appassiona a diversi linguaggi di programmazione. L'interesse per l'hacking lo porta a diventare un Hacker etico e professionale in ambito Cyber Security.