Threat Intelligence è una parola ormai inflazionata nel mondo della sicurezza informatica. Secondo un’indagine pubblicata da Mandiant, sebbene i team di cybersecurity riconoscano il valore dell’intelligence sugli attaccanti, in pochi prendono decisioni informate, conoscendo appieno l’identità e le motivazioni degli avversari. La difficolta nell’utilizzo delle informazioni disponibili è imputabile a diversi fattori, tra cui la mancanza di figure competenti e l’incapacità nel comprendere come sfruttare i dati. Come colmare il gap?
Jens Monrad, Head of Threat Intelligence EMEA di Mandiant e il collega Jamie Collier, Senior Threat Intelligence Advisor, spiegano l’approccio della società alla Threat Intelligence e l’importanza di fornire informazioni “azionabili”.
La specializzazione della multinazionale americana in termini di Threat Intelligence (e Incident Response) non è passata inosservata, tanto che Google Cloud ha deciso di acquistarla (l’operazione si è conclusa nel settembre 2022) per integrare le proprie soluzioni di sicurezza.
Mandiant, spiegano i manager, ha un team dedicato con oltre 400 professionisti incaricati di esplorare le minacce e studiare gli attaccanti, in relazione allo scenario geopolitico e non solo nella prospettiva cibernetica, fornendo a clienti e partner un contesto per capire gli avversari e migliorare la linea di difesa.
Cos’è la Threat Intelligence e come applicarla
“La Threat Intelligence – dichiara Monrad – è diventata una parola di moda. Tutti dicono di utilizzarla, ma in pochi sanno realmente come. Pensiamo che i dati debbano essere disponibili a supporto degli addetti IT, ma anche per i senior executive e chi non ha un background tecnico. Tuttavia, l’intelligence non può essere la stessa per tutti. Quando ci rivolgiamo a CEO, politici o istituzioni europee, diamo informazioni diverse rispetto ai dettagli tecnici o tattici: piuttosto forniamo un’intelligence strategica, per chi prende decisioni”.
Secondo Collier, il merito della Threat Intelligence consiste nell’aiutare le organizzazioni a identificare le minacce rilevanti, togliendo il rumore di fondo e le potenziali distrazioni. “Ad esempio – spiega – durante la pandemia vigeva una grande preoccupazione rispetto al phishing legato al Covid, che tuttavia rappresentava solo il 2% circa delle email maligne in circolazione. Le aziende spesso passano da una situazione di panico all’altra. Prima c’era la paura per le minacce riconducibili all’emergenza pandemica, quindi alla guerra russo-ucraina e ora all’intelligenza artificiale. Disponendo di dati di alta qualità, aumenta la capacità di concentrarsi su ciò che conta davvero, evitando di sprecare risorse su altro”.
“Il concetto – aggiunge Monrad – è simile alle previsioni meteo: se vivi in una determinata regione, difficilmente sarai interessato degli eventi negli altri Paesi”.
Come opera un team di Threat Intelligence
Ma come opera in concreto un team di Threat Intelligence? “Gli analisti di Mandiant – spiega Monrad – si occupano di esaminare i dati sulle minacce provenienti da diverse fonti, traducendo i risultati in report comprensibili. Ovviamente, buona parte del nostro lavoro consiste nella conversazione con i clienti e i media, che a loro volta traducono e divulgano le informazioni”.
“Il nostro team di Threat Intelligence – dichiara Collier – è davvero numeroso, perché dobbiamo elaborare i dati da un’enorme varietà di fonti. Innanzitutto, dalle nostre attività di incident response e dai servizi di sicurezza gestita per conto delle aziende, che ci permettono di avere visione continuativa sugli ambienti delle vittime e di capire in profondità come funzionano le minacce. Inoltre, monitoriamo i forum del darkweb e i marketplace clandestini. Abbiamo anche una partnership con Trellix (vendor specializzato in soluzioni XDR e di Threat Intelligence – ndr), che ci permette di interrogare milioni di endpoint di posta elettronica e ottenere informazioni sulle minacce più diffuse”.
All’interno del team, operano diversi gruppi, ognuno con una precisa specializzazione: cybercrime, espionage, analisi delle vulnerabilità, information operations e così via. “Quando si conducono attività di Threat Intelligence – sottolinea Monrad – l’elemento più importante su cui focalizzarsi sono le motivazioni degli attaccanti e non le tecniche utilizzate. Quindi, in base a questa logica, ci siamo strutturati in sottogruppi”. Inoltre, ci sono team specializzati su precisi settori o aree geografiche, come la Nord Corea.
La collaborazione nel settore della cybersecurity
La collaborazione tra vendor è un altro punto fondamentale per l’efficacia della Threat Intelligence. “Non possiamo – sostiene Monrad – sapere tutto. I report che scriviamo si basano solo sulle informazioni a nostra disposizione, ma ci sono tante altre fonti. Chi legge i nostri documenti deve esserne consapevole. C’è una grande collaborazione con gli altri fornitori, soprattutto in termini di sharing delle informazioni. Vogliamo essere sicuri che quanto pubblicato da noi o da altri sia allineato”.
“Soprattutto – aggiunge Collier – quando ci sono questioni di rilevanza nazionale, magari minacce alle infrastrutture critiche. Ad esempio, nel caso SolarWinds, il nostro team di incident response ha cooperato attivamente con Microsoft. Penso che il settore della sicurezza sia particolare rispetto al tema della collaborazione, perché è fatto di persone mission-driven, che sono abituate a lavorare insieme e hanno buone relazioni”.
Ciò che manca, tuttavia, soprattutto comparando l’Europa rispetto agli Stati Uniti, è la collaborazioni tra istituzioni governative e aziende private. “Non tutti gli Stati – dichiara Monrad – hanno la stessa propensione nel condividere le informazioni e spesso le aziende non hanno uno “spazio” (un sistema coordinato – ndr) dove comunicare e condividere le informazioni. Le recenti normative e linee guida UE in termini di information sharing, ad esempio con l’entrata in vigore della direttiva NIS2, daranno in questo senso un impulso positivo, aiutando le organizzazioni a identificare prima e meglio le minacce”.
Le aziende sono davvero pronte per la Threat Intelligence?
Quando si parla di Threat Intelligence, tuttavia, il nodo cruciale rimane la maturità del mercato: le aziende sono davvero in grado di sfruttare le informazioni disponibili per guidare le attività di sicurezza?
“Alcune organizzazioni sono pronte – dichiara Monrad – ad altre manca il cambio di mindset necessario. Il problema sta qui: fornire Threath Intelligence è come dare l’accesso a un’immensa libreria dove però i libri non hanno il titolo sulla copertina e bisogna scorrerli tutti per capire i contenuti”.
Secondo Collier, le organizzazioni stanno migliorando la capacità di difesa: infatti, soprattutto in America, l’intervallo di tempo che intercorre tra l’effettiva intrusione e la scoperta da parte della vittima sta diminuendo. “Tuttavia – evidenzia – bisogna distinguere tra detection interna ed esterna. In EMEA avviene molto più frequentemente che non sia il team di cybersecurity aziendale ad accorgersi della compromissione, ma che piuttosto la segnalazione arrivi da una terza parte, un vendor oppure gli stessi hacker, ad esempio i gruppi ransomware che chiedono un riscatto”.
Il problema è anche lo shortage di competenze e l’impossibilità di trattenere i talenti. “Le aziende – sostiene Monrad – faticano a trovare le competenze e assumere le persone giuste. È un tema caldo soprattutto nella pubblica amministrazione, dove le regolamentazioni sui salari impediscono di essere attrattivi verso i professionisti”:
Insomma, come dichiara Collins, seppure con differenze legate al settore e alla struttura aziendale (società storica o digital-native), le aziende stanno aumentando gli investimenti in sicurezza, ma c’è ancora tanto da fare.