Per comprendere l’importanza della cyber threat intelligence occorre, prima di tutto, afferrare l’importanza della prevenzione nella cybersecurity. Da sempre si sostiene la centralità di saper anticipare rischi e anomalie di sistema ma, numeri alla mano, quanto lo è davvero?
Secondo il Data Breach Investigations Report 2022 di Verizon, l’errore umano è alla base del 82% delle violazioni dei dati. Errori che, in generale, si rivelano intuibili e prevedibili, a patto di sapere anzitempo quali saranno le debolezze sfruttate dai criminali informatici. Stando alle ultime analisi di Tanium, per le aziende che adottano opportune strategie di prevenzione l’incidenza di attacchi scende dal 90% al 79%: in questo scenario, nonostante fare prevenzione sia fondamentale, bisogna considerare che le minacce di nuova generazione richiedono un approccio diverso e predittivo. Ed è qui che entra in gioco la cyber threat intelligence.
Cyber threat intelligence, cos’è e perché serve oggi
La cyber threat intelligence è un insieme di tecniche e processi con i quali si raccolgono e analizzano dati utili ad anticipare le minacce alla sicurezza di un sistema. Grazie a questo metodo, quindi, la prevenzione non si limita a chiudere brecce e vulnerabilità sfruttabili dagli hacker, ma determina in primo luogo le mosse di questi ultimi e consente all’azienda di adeguare di conseguenza i propri sistemi di difesa. La prevenzione, grazie alla cyber threat intelligence, diventa ancora più efficace, migliorando sotto tutti i punti di vista.
Una prima ricaduta positiva sul business riguarda la possibilità di canalizzare meglio le risorse disponibili verso quegli aspetti che risultano più a rischio compromissione. Questo, di conseguenza, va a incidere in maniera positiva sui costi: in altre parole, la cyber threat intelligence consente di fare una migliore prevenzione sfruttando al massimo le risorse disponibili. Inoltre, quando combinata con un buon sistema di monitoraggio, la cyber threat intelligence serve a limitare i falsi positivi contribuendo a una gestione più serena e lucida dei processi aziendali.
“Una buona cyber threat intelligence va a monitorare tutte le informazioni di un’azienda, a partire dal dominio, per arrivare alle email compromesse, considerando nel mezzo una serie di informazioni che delineano approcci e modus operandi dei criminali informatici”, racconta Mauro Salvau, esperto di cybersecurity di BlendIT, gruppo tutto italiano che offre un’ampia gamma di servizi IT personalizzati.
Cyber threat intelligence in 5 punti chiave
Per comprendere la cyber threat intelligence e valutarne l’impiego all’interno dei propri sistemi, occorre indicarne i suoi cinque tratti distintivi, i quali non devono mai mancare nella definizione di una strategia in tal senso.
- Raccolta del maggior numero di informazioni analizzando fonti diverse
- Analisi dei sistemi e dell’obiettivo da tutelare
- Definizione degli Indicatori di Compromissione (IoC)
- Adeguamento dei sistemi di protezione sulla base dei punti precedenti
- Previsione di tendenze delle minacce nel medio periodo
Questi punti, a seconda delle esigenze, possono poi essere ampliati, ma il metodo è di base ciclico e, con le giuste competenze e strumenti adeguati, consente di proiettare la prevenzione digitale in una dimensione più scalabile e aggiornata.
Cyber threat intelligence e come integrarla all’interno dei sistemi
Integrare queste meccaniche e sfruttare i benefici di una buona cyber threat intelligence, del resto, non richiede grossi sforzi. La conferma arriva dalle parole di Salvau: “integrare la cyber threat intelligence è semplice, perché il cliente deve fare poco o nulla: ci fornirà in prima battuta le keyword – individuabili anche congiuntamente – e poi alcune informazioni chiave, che ci consentano di attivare un efficace piano di intelligence”. E chiarisce: “a partire da indirizzi email, domini, contatti degli executive”.
Questi elementi conducono, però, a una considerazione necessaria in questa sede: integrare la cyber threat intelligence nei sistemi di cybersecurity è un’operazione tanto più semplice quanto maggiore è la competenza in materia di chi se ne occupa. E questo significa che un’azienda può gestire la cyber threat intelligence da sé, a patto di dotarsi di professionisti e strumenti specializzati, valutando di investire in apposite risorse e in un costante aggiornamento. Una strategia che può avere un senso in grandi strutture, disposte ad allocare budget importanti per lo scopo. In caso contrario, c’è il rischio di mettere in piedi una cyber threat intelligence poco mirata, col rischio che si riveli inefficace e che tutto l’investimento fatto, a quel punto, diventi inutile.
Per questo motivo, la tendenza del settore, salvo casi particolari, è di esternalizzare la gestione della cyber threat intelligence, affidandola a realtà professionali che guidino passo per passo l’azienda e si occupino di ogni aspetto tecnico e strategico. A quel punto, l’impresa potrà ottenere sistemi di protezione perfettamente integrati ed efficienti, senza inficiare in alcun modo l’abituale flusso di lavoro. Ma anche senza investimenti onerosi: professionisti, strumenti e risorse vengono governati dal partner scelto, che può distribuire i costi e focalizzarsi sulla buona riuscita del progetto.
Cyber threat intelligence, una scelta rivolta al futuro
Con gli ultimi sviluppi in tema di sicurezza IT, la cyber threat intelligence si rivela uno strumento irrinunciabile: per esempio, con una cyber criminalità sempre più strutturata in vere e proprie organizzazioni piramidali, diventa essenziale sapere in anticipo quali sono le sue mosse, quali successi sta ottenendo, quali vulnerabilità è solita sfruttare e con quali exploit, fino a quali tecniche di social engineering è più avvezza.
Ottenere queste informazioni, tramite l’uso accorto di una strategia di cyber threat intelligence, permette di sviluppare un piano di protezione capace di giocare in anticipo, coordinando anche aree quali il vulnerability management e il controllo degli accessi. Un modello di cybersecurity finalmente organico e capace di contrastare anche le minacce più nuove e sconosciute: per questo, la scelta del partner giusto è vincente.