Nel primo articolo della Cyber Threat Intelligence abbiamo visto quanto sia importante per le aziende adottare questa strategia per difendersi e mitigare eventuali attacchi informatici e alcuni casi d’uso.
Approfondiamo ora le 6 fasi del ciclo di vita. 

Come viene prodotta la Cyber Threat Intelligence?

I dati grezzi non sono la stessa cosa dell’intelligence: la CTI è il prodotto finito che esce da un ciclo composto da circa 6 fasi, al cui interno vi è la raccolta, l’elaborazione e l’analisi dei dati.
Questo processo è un ciclo perché nel corso dello sviluppo dell’intelligence vengono identificate nuove domande e nuove lacune, portando alla definizione di nuovi requisiti. Un programma di intelligence efficace è iterativo e si affina nel tempo.

1. Pianificazione e direzione

Il primo passo per avere dati utili sulla CTI è porre la domanda giusta.
Le domande che guidano al meglio la creazione di buoni dati di threat intelligence si concentrano su un singolo fatto, evento o attività: di solito si dovrebbero evitare domande ampie e aperte.

2. Collezione

Il passaggio successivo consiste nel raccogliere dati grezzi che soddisfino i requisiti stabiliti nella prima fase. È meglio raccogliere dati da un’ampia gamma di fonti: quelle interne come i registri degli eventi di rete (network event logs), i dati delle risposte agli incidenti (incident response) passati e da fonti esterne reperibili nel deep web, nel dark web e da fonti certe che trattano questo genere di dati. 

I dati sulle minacce sono generalmente considerati elenchi di IoC (indicatori di compromissione), come indirizzi IP dannosi, domini e hash di file, ma possono anche includere informazioni sulla vulnerabilità, come le informazioni di identificazione personale dei clienti e tante altre.

3. Elaborazione

Una volta raccolti tutti i dati grezzi, è necessario ordinarli, organizzarli con metadati, filtrando informazioni ridondanti o falsi positivi e negativi.
Oggi, anche le piccole organizzazioni raccolgono dati dell’ordine di milioni di logs e centinaia di migliaia di IoC ogni giorno. È evidentemente troppo da elaborare in modo efficiente per gli analisti umani, per questo la raccolta e l’elaborazione dei dati devono essere automatizzate per iniziare a dargli un significato. 

Soluzioni come i SIEM sono un buon punto di partenza perché rendono relativamente facile strutturare i dati con regole di correlazione che possono essere impostate per ricoprire i più vasti casi d’uso.

4. Analisi

Il passo successivo è dare un senso ai dati elaborati. L’obiettivo dell’analisi è ricercare potenziali problemi di sicurezza e informare i team competenti in un formato che soddisfi i requisiti di intelligence delineati nella fase di pianificazione e direzione. L’intelligenza delle minacce può assumere molte forme a seconda degli obiettivi iniziali e del pubblico previsto, ma l’idea è ottenere i dati in un formato che il pubblico capirà. Questo può variare da semplici elenchi di minacce a rapporti sottoposti a revisione paritaria.

5. Diffusione

Il prodotto finito viene quindi distribuito ai consumatori previsti, se vi sono consumatori previsti. Affinché la Cyber Threat Intelligence sia utile, deve arrivare alle persone giuste al momento giusto.

6. Feedback

Il passaggio finale è quando il ciclo dell’intelligence chiude il cerchio, rendendolo strettamente correlato alla fase iniziale di pianificazione e direzione. Dopo aver ricevuto il prodotto di intelligence finito, chiunque abbia fatto la richiesta iniziale lo esamina e determina se le sue domande hanno ricevuto risposta. Questo guida gli obiettivi e le procedure del prossimo ciclo di intelligence, rendendo ancora una volta essenziale la documentazione e la continuità.

Conclusione

Ognuna delle 6 fasi che compongono il ciclo di vita della Cyber Threat Intelligence è fondamentale per creare un prodotto capace di fornire un valore aggiunto alla sicurezza delle aziende di qualsiasi dimensione.