Wiit Group ha implementato la soluzione Cyber Threat Intelligence – CTI (protagonista del progetto risultato finalista ai Digital360 Awards 2021 per la categoria Information e Cyber Security) presso uno studio legale internazionale sfruttando una innovativa piattaforma SaaS che fornisce un prodotto verticale in grado di scandagliare contenuti di differenti tipologie, inerenti svariati contesti aziendali presenti nel Deep & Dark web non raggiungibili attraverso strumenti tradizionali di analisi e ricerca.
L’esigenza dell’utente finale e la risposta di Wiit Group
L’utente finale è uno studio legale che ha sedi in Italia, EU, UK Medio Oriente ed Africa che impiega più di 700 collaboratori. Gli ambiti di attività coprono le principali aree di settore (M&A, finance e bancario, regulation,fiscale, contenzioso, IT e privacy, eccetera) con una particolare attenzione al settore dell’innovazione attraverso una società creata appositamente per lo sviluppo e l’applicazione delle soluzioni più innovative nel settore legal.
L’esigenza primaria del cliente è stata quella di individuare una soluzione facile, immediata ed efficace che permettesse di raccogliere informazioni di intelligence relative a minacce di tipo cyber o di reputazione correlabili al cliente, utilizzando come sorgente anche il “Dark web” e il “Deep web”.
La soluzione doveva avere come obiettivo quello di contestualizzare le cyber-minacce rilevate, assegnando un grado di priorità, criticità e di mettere a disposizione le opportune e più adeguate contromisure (automatiche o attivabili su richiesta) atte a contrastare o eliminare la minaccia stessa in tempi molto rapidi.
Il cliente da tempo ha definito una strategia di medio termine in ambito cybersecurity, mirata a coprire in maniera sempre più ampia e completa i propri ambiti operativi e organizzativi. In particolare il progetto implementato va inquadrato nell’ambito del perimetro di Cyber Threat Intelligence, sintetizzabile attraverso i seguenti concetti chiave:
- andare a monitorare e controllare i contenuti non presenti in “clear web” per verificare eventuali informazioni aziendali collegabili a una potenziale (o reale) minaccia informatica;
- anticipare e prevenire eventuali attacchi e danni di immagine e sottrazione di dati sensibili;
- attuare tempestivamente le azioni di difesa e monitoraggio degli asset principali aziendali appartenenti a key people, domini internet aziendali, account riconducibili a persone dell’organizzazione, dati finanziari (finalizzati ad attività fraudolente).
Il Dark web è la terminologia che si usa per definire i contenuti del World Wide Web nelle darknet (reti oscure) che si raggiungono via Internet attraverso specifici software (per esempio TOR), configurazioni e accessi autorizzativi. Il Dark web è una piccola parte del “Deep web”, la parte di web che non è indicizzata da motori di ricerca.
Il progetto presenta una modalità di implementazione non invasiva e con tempi di implementazione contenuti (startup in meno di 24h e successiva fase di “fine tuning” nelle settimane successive). Il perimetro del servizio prevede la copertura di 300 asset con un supporto specialistico per le remediation con SLA di 8 h.
Un aspetto importante del progetto è stato quello di avere un impatto molto limitato in fase di startup sui processi operativi e le tecnologie del cliente grazie alla bassissima invasività della piattaforma SaaS utilizzata. In virtù di questo il progetto possiede intrinsecamente la possibilità di essere scalato sul cliente o ripetuto su un numero e tipologie di clienti.
I vantaggi
Tra i principali benefici raggiunti si possono annoverare: aumento dell’efficacia della strategia di cybersecurity del cliente e abbattimento del rischio associato con l’allargamento del perimetro di monitoraggio degli asset aziendali (dark e deep web); maggiore proattività nella gestione delle minacce e possibilità di utilizzare le integrazioni con altre soluzioni tecnologiche di prevenzione già presenti in azienda; miglioramento della reputazione e solidità del brand aziendale e fidelizzazione dei clienti; possibilità di estendere ai propri clienti i benefici e la conoscenza in un settore ad elevata competenza verticale, come la CTI e la protezione cyber degli asset informativi critici integrando e migliorando il risultato globale rispetto alle tematiche legali più tradizionali; velocità di implementazione; bassissimo impatto su utenti e infrastrutture esistenti.
Più nello specifico, la soluzione adottata vanta alcuni elementi innovativi quali: la CTI è “su misura” (tailored intelligence) per i clienti; la rappresentazione fornita costituisce una vista semplice e immediata delle minacce rilevate nel deep e dark web in modo chiaro e sintetico, senza necessità di utilizzo di strumenti inefficaci, complessi e molto spesso non esenti da rischi; integrazione nativa tra minacce e contromisure attraverso la cosiddetta “actionable intelligence” in grado di rimuovere le minacce attraverso operazioni di takedown (per esempio: rimozione di domini fake registrati, inserimento di blocchi automatici sui sistemi di protezione perimetrale, correlazione tra utenze interne ed evidenze di compromissioni account rilevate nel deep web); continuo aggiornamento, automatico, del perimetro di informazioni rilevanti per il cliente, senza bisogno di intervento manuale con l’utilizzo integrato ed automatico di diverse sorgenti (feeds) e elementi di rilevazione attacchi e minacce (IOCs), possibilità di utilizzare il motore di ricerca integrato per analisi e ricerche immediate di minacce o informazioni relative a entità attive nel campo della cybercriminalità, trend di settore, notizie o informazioni rilevanti.