La vostra azienda usa dispositivi digitali connessi a Internet? Se la risposta è sì allora avete bisogno di una cyber threat intelligence platform. È infatti vero che la digitalizzazione ha trasformato (e sta ancora trasformando) le istituzioni economiche e culturali di tutto il mondo, portando notevoli benefici. Per contro, però, ha aperto la via a una nuova forma di criminalità, quella informatica. E, proprio perché si tratta di criminalità, per contrastarla si possono efficacemente impiegare metodi di intelligence simili a quelli usati contro la criminalità comune.
Perché la cyber threat intelligence platform è importante?
Da un’indagine eseguita da Syntax all’inizio del 2021 su un campione di 500 decisori IT è emerso il 77% degli intervistati ha sperimentato un aumento dei cyber attacchi dopo l’inizio della pandemia da Covid-19. E per il 40% di questi l’aumento è stato decisamente significativo. A fronte di tale situazione, oltre la metà (56%) dei leader IT interpellati ha affermato che nel 2021 avrebbe allocato più del 40% del proprio budget IT nella cybersecurity. Non solo: il 37% ha affermato che il principale investimento IT per il 2021 sarebbe stato il miglioramento della protezione di sicurezza. E al primo posto tra gli acquisti in tema di cybersecurity ci sarebbe stata la cyber threat intelligence.
Ma perché la cyber threat intelligence è ritenuta tanto importante? Perché gli attacchi sono sempre di più e sempre più sofisticati, e difendersi è diventato molto difficile. Inoltre, spesso nelle aziende la sicurezza è fornita da molteplici sistemi non connessi fra loro che producono innumerevoli dati da analizzare per capire gli obiettivi dell’attacco, chi l’ha sferrato e quali danni potrebbe creare. Purtroppo, però, sovente manca il personale o le competenze per poter valutare tali dati e prendere i provvedimenti necessari.
Attraverso una cyber threat intelligence platform è invece possibile risolvere questi problemi. Le più evolute soluzioni utilizzano il machine learning per automatizzare la raccolta e l’elaborazione dei dati, si integrano con le soluzioni esistenti, acquisiscono dati non strutturati da fonti diverse e poi forniscono informazioni sugli indicatori di compromissione (IoC) e le tattiche, le tecniche e le procedure usate dagli attori delle minacce. In sostanza, una cyber threat intelligence platform può dare una chiara indicazione su chi ha effettuato l’attacco, quali sono i suoi obiettivi e con che mezzi sta cercando di ottenerli.
Quattro tipi di informazioni sulle minacce
L’intelligence sulle minacce informatiche non è una soluzione, ma offre informazioni fondamentali per crearne una. Se si ha una chiara idea operativa delle minacce alla sicurezza IT aziendale si dispone di preziose indicazioni per costruire un piano funzionale volto a proteggere la rete. In questo senso, attraverso una cyber threat intelligence platform si possono ricavare principalmente quattro tipi di informazioni sulle minacce: strategici, tattici, tecnici e operativi.
L’intelligence strategica si basa sulle analisi dettagliate delle tendenze e dei rischi emergenti per creare un quadro generale delle possibili conseguenze di un attacco informatico.
L’intelligence tattica ricerca dettagli tattici e sulle procedure usate nelle minacce, per fornire indicazioni su come la rete potrebbe essere attaccata in base ai più recenti metodi utilizzati dai criminali informatici. A tal fine, si cercano indizi sugli Indicatori di Compromissione (IoC), come indirizzi IP, URL e log di sistema da utilizzare per aiutare a evitare futuri tentativi di violazione dei dati.
L’intelligence tecnica si concentra sui dettagli tecnici relativi a una minaccia alla sicurezza IT, come gli oggetti delle e-mail di phishing o gli URL fraudolenti, fornendo un’idea di cosa cercare nelle analisi degli attacchi di social engineering.
L’intelligence operativa aiuta a comprendere la natura di specifici attacchi offrendo dettagli su elementi come la natura del gruppo responsabile, gli obiettivi, i tempi e il livello di sofisticatezza. Può richiedere operazioni di vero spionaggio, infiltrandosi nel Dark Web o nelle chat room degli hacker.
I limiti della threat intelligence in-house
All’interno dell’indagine di Syntax è emerso anche che l’83% dei decisori IT che hanno attive squadre di cyber security in-house con persone dedicate stava considerando di portare in outsourcing presso un MSP (managed service provider) tutta l’attività inerente alla cyber threat intelligence platform. Il motivo? Anzitutto i costi e in secondo luogo la mancanza nel software usato della capacità di fornire una soluzione a eventuali problemi di sicurezza individuati.
I costi e, in senso più ampio, le competenze sono sicuramente due aspetti che giocano a vantaggio della scelta di affidarsi a un MSP per gestire la threat intelligence. D’altra parte, con attacchi che ormai sono diventati una routine quotidiana per tutte le aziende digitalizzate e che si basano su tecniche in continua evoluzione, per proteggersi adeguatamente bisogna mettere in atto le misure di sicurezza più avanzate. E bisogna saperle usare. Team di persone che si occupano esclusivamente di sicurezza, che hanno un alto livello di competenza e che sono costantemente aggiornate sono sempre più rari nelle aziende, dove, anche per il dipartimento IT, il focus è sempre più spostato verso il business.
I vantaggi che si ottengono rivolgendosi a un MSP
Rivolgendosi a un MSP si è invece sicuri di avere a disposizione 24 ore al giorno persone con un alto livello di competenza nella sicurezza IT, aggiornati sulle ultime minacce e sugli strumenti utilizzabili. In più, i fornitori di servizi di intelligence reclutano, assumono e formano analisti e investigatori esperti in metodologie di intelligence. Sono loro che raccolgono i dati sulle minacce informatiche a vari livelli, valutano le informazioni per definire il profilo di rischio dell’azienda, reperiscono dati fondamentali, scandagliando anche il Dark Web, per prevenire attacchi che potrebbero avere grandi impatti sull’IT e sul business.
Si potrebbe pensare di portare in azienda persone con questo profilo, ma sarebbe un impegno oltremodo gravoso perché sono molto difficili da trovare. In alternativa, si potrebbe tentare di formare le risorse già presenti in azienda, ma lo stesso sarebbe molto impegnativo e richiederebbe del tempo. E, comunque, entrambe le scelte non porterebbero a raggiungere la medesima efficacia fornita da un servizio di outsourcing che, per altro, è immediatamente disponibile.
Chiedere aiuto a un service provider implica ovviamente un costo, che può essere anche rilevante. Tuttavia, superato un essenziale periodo di coordinamento, in virtù della sua specializzazione e della sua esperienza, l’MSP produce molto velocemente dei risultati, che saranno in linea con gli SLA e i QOS stabiliti. Questo permette di aumentare notevolmente il livello di sicurezza IT dell’azienda, mettendola così al riparo da attacchi che, se dovessero raggiungere gli obiettivi prefissati, potrebbero causare perdite economiche molto maggiori. A ciò si aggiungerebbe anche un grave danno all’immagine aziendale, il cui valore economico è impossibile da quantificare.