Focalizzata su raccolta e analisi dati per identificare e caratterizzare potenziali minacce informatiche, la cyber threat intelligence o CTI è diventata una componente essenziale delle strategie di cybersicurezza aziendali: si basa – in buona sostanza – sull’esame di aspetti tecnici, risorse, motivazioni e intenti dei criminal hacker, con l’obiettivo di recuperare informazioni dal Dark Web e dal Deep Web, come password, indirizzi email, nomi di domini.
Questa raccolta su larga scala di dati consente, inoltre, di delineare nuove tendenze del cyber crimine e pronosticarne lo sviluppo nel prossimo futuro: si cerca, in altre parole, di raccogliere una quantità e diversità di informazioni tali da tratteggiare una previsione solida sul tema dei cyber attacchi.
Cyber threat intelligence: pianificare i budget
Attenzione, però: la cyber threat intelligence non parla solo di futuro in senso stretto. Delineare una tendenza, in questo settore, significa anche avere uno strumento in più per riconoscere minacce di nuova generazione e mitigarle con maggiore efficienza.
Su queste basi, del resto, si possono pianificare in modo più oculato i budget dedicati alla protezione delle infrastrutture informatiche. Da qui, dunque, si ricava che la cyber threat intelligence è uno strumento complesso, dalle grandi potenzialità e che richiede, però, una gestione attenta delle fonti di informazioni. Sbagliare la raccolta delle informazioni, infatti, equivale ad alterare lo studio che se ne ricava. E, a cascata, sbagliare a prevedere lo sviluppo di una tendenza e ad allocare quindi le risorse necessarie.
Perché serve conoscere il proprio dominio digitale
È per questa ragione che, nella cyber threat intelligence, l’approvvigionamento delle informazioni deve contare non solo sulla quantità, ma soprattutto sulla qualità. Per riuscire in questa missione, è necessario implementare un sistema di monitoraggio specifico per la realtà da proteggere.
“Il primo pilastro per una difesa efficace è la conoscenza del proprio dominio digitale”, spiega Giuseppe Colosimo, CISO e Cyber Security Director di WIIT, che rincara: “Alla conoscenza delle infrastrutture interne e quindi al loro monitoraggio tramite il SOC, si aggiunge anche l’analisi degli attacchi e delle compromissioni derivanti dallo spazio esterno incluso il Dark Web”.
La totalità delle informazioni interne ed esterne crea un insieme utile di dati specifici per il cliente su cui si sta lavorando. La specificità e la contestualizzazione di tali dati, secondo Colosimo, è la chiave del successo per la cyber threat intelligence. Oggi, per esempio, è poco utile puntare alla raccolta di dati sul generico fenomeno delle password compromesse, perché si tratta di una minaccia ormai diffusa e variegata.
Occorre, invece, delineare specifiche tipologie di attacchi. Se, per esempio l’azienda da proteggere è italiana, è possibile raccogliere informazioni che correlino fasce di indirizzi IP italiani con specifiche tipologie di ransomware, e partire dalle seconde per cercare informazioni relative alla provenienza di queste minacce e ai team di cybercriminali che le sviluppano.
Cyber threat intelligence, in aiuto della prevenzione
Al termine di un lavoro di questo tipo, corroborato da dati contestualizzati, si può arrivare a individuare una specifica tendenza sulla provenienza di attacchi – per esempio, gruppi di hacker che in determinati giorni del mese attaccano indirizzi IP di uno specifico operatore italiano. Sulla base di considerazioni come questa, si può quindi sviluppare un piano di prevenzione basato su un più rigido controllo del traffico dati proveniente dal paese di provenienza.
È un esempio semplice, ma che mostra l’applicazione della cyber threat intelligence nella prevenzione. Ma la cyber threat intelligence è uno strumento ancora più sofisticato, nella filiera della cybersecurity.
La cyber threat intelligence, per definizione, si fonda infatti su un ciclo di vita, cioè un processo ricorsivo che una volta avviato non ha fine. Il vantaggio, in particolare con l’avvento di soluzioni di intelligenza artificiale evolute, è che la cyber threat intelligence, a ogni ciclo, si arricchisce di nuovi elementi che la rendono sempre più precisa e utile.
Il ciclo di vita si basa su alcune fasi dal numero e nome variabili a seconda di framework e approccio progettuale della singola soluzione, ma quelle imprescindibili, oltre la raccolta dati e la loro analisi, sono la condivisione delle informazioni e il feedback sul ciclo che va a concludersi. La condivisione è un passaggio spesso sottovalutato, ma che prevede la diffusione di quanto ottenuto dalla fase di analisi con tutte le figure coinvolte.
Se, per esempio, la cyber threat intelligence relativa a una certa azienda rivela che questa potrebbe venire attaccata da un malware che sfrutta una determinata vulnerabilità, nella fase di diffusione si allertano le parti coinvolte sulla necessità di applicare un certo aggiornamento per neutralizzare sul nascere l’eventuale azione malevola. Oppure, addirittura, neutralizzarla mentre è in esecuzione a insaputa della vittima, nella più tradizionale dinamica di un attacco APT (Advanced Persistent Threat).
“Ecco, quindi, che la cyber threat intelligence, da strumento in apparenza passivo, si trasforma in un processo attivo che non è efficace solo in fase di prevenzione ma anche di remediation”, commenta Colosimo.
Cyber threat intelligence e SOC, il connubio indispensabile
Detto questo, la cyber threat intelligence sta diventando sempre più uno strumento importante per guidare ogni strategia operativa di cybersecurity. Ed è proprio per questo che oggi la si trova integrata nei Security Operations Center (SOC), cioè quei centri di monitoraggio e analisi dei parametri di cybersicurezza di aziende e realtà che vogliono proteggersi in modo efficace e strutturato.
Ma la cyber threat intelligence, del resto, è anche una delle basi informative indispensabili per gli altri strumenti di protezione contro le minacce informatiche: sistemi EDR, XDR, SOAR, firewall, piattaforme di incident response sono solo alcuni esempi di applicazioni che beneficiano dei dati offerti dalla cyber threat intelligence.
Il risultato è quello di massimizzare l’efficacia degli strumenti di difesa, facendo convergere le risorse su obiettivi specifici, segnalati proprio da un apparato di intelligence informatica. In questo modo, i risultati sono tangibili sia sotto il profilo della precisione, sia sotto quello economico, visto che una protezione più efficiente equivale a un minor numero di attacchi subiti.
Va da sé, tuttavia, che la cyber threat intelligence non deve essere adottata senza un’attenta fase di disegno e progettuale, per evitare che delle valutazioni errate o imprecise portino a esiti inefficaci. È per questo che la tendenza è di affidare questo servizio a partner esterni, specializzati in attività di cybersecurity di questo tipo, che garantiscano competenza ed efficienza a una frazione del costo. Specie perché, va detto, una cyber threat intelligence di qualità richiede un occhio critico e competente sui dati raccolti.
