Cyber Threat Intelligence:
cos’è e come implementarla

Nello scenario attuale della sicurezza IT, per le aziende è importante mantenere solida e sempre aggiornata la loro postura per essere sempre in grado di conoscere e affrontare rischi e attacchi sempre più mutevoli e mirati.

È qui che entra in gioco la Cyber Threat Intelligence (CTI) o più semplicemente la Threat Intelligence, cui viene di fatto “demandato” il compito di rilevare e riconoscere le minacce e gli attacchi più recenti, anche e soprattutto quelli non ancora segnalati dagli organismi di settore, come gli attacchi Zero-Day, i nuovi malware e le Advanced Persistent Threats (APT).

In questo articolo ci proponiamo di spiegare non solo cosa sia la Threat Intelligence, ma anche perché sia uno strumento chiave per i CISO e gli amministratori dell’infrastruttura IT di ogni impresa.

Ormai parte integrante della strategia di cyber security di ogni impresa, la Cyber Threat Intelligence sfrutta le informazioni, le conoscenze e le competenze degli specialisti per comprendere e valutare l’insorgenza di minacce, al fine di mitigare potenziali attacchi ed eventi dannosi che potrebbero mettere a rischio non solo i dati ma anche le infrastrutture fisiche dell’azienda.

La CTI fornisce dunque ai SOC (Security Operation Center) e agli Incident Response Team un contributo importante per riconoscere il comportamento degli attacker, prevenendone dunque l’attività, valutando sia l’IoC (Indicator of Compromise – Indicatore di Compromissione, vale a dire dati forensi che indicano una potenziale minaccia e segnalano se un attacco, come malware, credenziali compromesse o esfiltrazione di dati, si sia già verificato) sia l’entità dell’attacco stesso.

La Threat Intelligence, dunque, si basa sulla raccolta, analisi e conseguente azione di informazioni su minacce potenziali e attive.

L’intelligence si applica sui dati open source, sui dati dei social media, su attività umane, su dati tecnici, sui file di log dei dispositivi, o ancora su analisi forensi, sul traffico Internet, su attività in corso su deep e dark web.
Sono informazioni approfondite e di contesto relative a chi stia attaccando, sulle sue capacità e sugli obiettivi dell’attacco stesso, così da consentire alle organizzazioni di prendere decisioni informate su come difendersi dagli attacchi più dannosi e di configurare in modo proattivo i controlli di sicurezza, anche automatizzando alcuni processi e procedure.

La creazione di un programma efficace di intelligence sulle minacce informatiche richiede una visione chiara e completa del panorama delle minacce che l’organizzazione deve affrontare.

Per questo, dire Threat Intelligence non è sufficiente.

In base al motivo per cui vengono raccolte e alla loro natura, l’insieme delle informazioni sulle minacce può essere ricondotto a tre pillar principali: strategico, operativo e tattico.
Ciascuno aggiunge un tassello specifico alla comprensione dei rischi e alle possibili risposte.

Per questo, tutti e tre i pillar sono necessari per individuare e neutralizzare le minacce nelle diverse fasi del loro ciclo di vita, fornendo informazioni a tutti gli stakeholder coinvolti nella sicurezza dell’organizzazione, dai dirigenti ai dipendenti tecnici.

Vediamoli in dettaglio

L’analisi strategica mette in luce i potenziali attacchi informatici e le possibili conseguenze non solo a beneficio dei decisori aziendali e dei tecnici, ma anche per una “audience” non tecnica.

In questo caso, l’analisi viene presentata sotto forma di report e riporta informazioni dettagliate su rischi e tendenze in atto, fornendo di fatto una panoramica di alto livello sul tema.

L’obiettivo è quello di fornire anche e soprattutto ai C-Level che non hanno un background specifico sulla cybersecurity quelle informazioni utili a comprendere il rischio informatico della loro organizzazione, come parte della loro pianificazione strategica e di compliance.

Utilizzando queste informazioni, i leadership team e i team di sicurezza sono in grado di allocare le risorse necessarie ad esempio sia alla strutturazione dei gruppi di lavoro, sia alla definizione di uno stack tecnologico adeguato.

Attraverso l’Operational Intelligence, le informazioni raccolte da tutte le diverse fonti sopra citate sono utilizzate per comprendere e anticipare la natura e la tempistica degli attacchi futuri.

È un approccio che spesso ricorre a data mining e Machine Learning automatizzare l’elaborazione di centinaia di migliaia di data point e data set.

L’Operational Threat Intelligence fornisce ai team preposti le informazioni necessarie per modificare o aggiornare la configurazione di alcuni controlli, come, ad esempio, le regole dei firewall o i controlli accesso.

È il livello più tecnico delle attività di Intelligence, dal momento che lavora su dettagli concreti e specifici e fornisce altrettanto specifiche informazioni su natura, intento e tempistica delle minacce emergenti.
È dunque destinata a tecnici, professionisti della sicurezza, specialisti.

L’Intelligence tattica si concentra sull’identificazione di particolari tipi di malware o altri attacchi informatici utilizzando indicatori di compromissione (IoC).

Si concentra dunque sulla triade TTP (Tactics, Techniques, Procedures), utilizzata dagli attori delle minacce.

È una Intelligence destinata alle figure direttamente coinvolte nella protezione delle risorse informatiche e dei dati.

Fornisce dettagli su come un’organizzazione potrebbe essere attaccata in base ai metodi più recenti utilizzati e ai modi migliori per difendersi o attenuare gli attacchi.

E’ un livello “intermedio” tra Intelligence strategica e operativa.

Il ciclo di vita delle informazioni è inferiore rispetto all’intelligence strategica sulle minacce, che ha lo scopo di rilevare le tendenze a lungo termine.

Per essere efficace, richiede una conoscenza approfondita dell’attore della minaccia e delle sue tattiche, tecniche e procedure (TTP), e viene continuamente raccolta e analizzata da fonti sia umane che tecniche.

Spesso supporta indagini specifiche e fornisce informazioni su un certo tipo di attacco e sulle metodologie comunemente utilizzate.

Inoltre, fornisce ai team di sicurezza informazioni sui luoghi in cui sono state osservate determinate minacce online, consentendo loro di individuare meglio le minacce rilevanti dalle fonti di raccolta dei dati.

Appare evidente che ciascuno dei tipi di Threat Intelligence menzionati ha una propria ragion d’essere e svolge un ruolo unico nell’intero processo di rilevamento, prevenzione e risposta alle minacce. Per questo, una efficace strategia di sicurezza dovrebbe comprenderli tutti e tre.

Come ben si intuisce da quanto sin qui scritto, la Threat Intelligence deve essere interpretata come un processo iterativo, circolare e continuo, per consentire alle aziende di adeguare costantemente la loro postura in mdo pertinente con lo sviluppo delle minacce, così da non farsi mai cogliere impreparate.

Non è dunque un caso che in relazione alla Cyber Threat Intelligence si parli di “ciclo”.

Un ciclo, dunque, suddiviso in cinque fasi ben distinte:

  • Planning, ovvero la fase nella quale vengono definiti obiettivi e finalità dell’intelligence
  • Collect, ovvero la fase di raccolta dati
  • Processing, ovvero l’elaborazione dei dati raccolti
  • Analysis, ovvero l’analisi delle informazioni per comprendere contesto, modelli e impatti potenziali.
  • Dissemination, ovvero la condivisione delle evidenze con le parti interessate.

Vediamole in dettaglio.

Per poter scegliere consapevolmente quali siano gli strumenti di Threat Intelligence più adatti, è importante capire quali siano gli obiettivi che si spera di raggiungere rispetto ai diversi stakeholder (leadership team, decisori, responsabili di sicurezza…).

In questa fase il team CTI o i responsabili della raccolta di intelligence si interfacciano direttamente con altre funzioni aziendali per determinare il tipo di intelligence da raccogliere e l’obiettivo del progetto.

L’identificazione dei requisiti è fondamentale per garantire che i processi CTI si allineino correttamente agli obiettivi di business e di gestione del rischio e forniscano informazioni che possano essere utilizzate dagli stakeholder interessati.

Come abbiamo già anticipato, le fonti che costituiscono la base per la Cyber Threat Intelligence sono molte e diversificate.

Si parte così da dati interni come log dei sistemi interni, controlli di sicurezza e servizi cloud, cui poi si aggiungono quelli provenienti da terze parti, siano essi feed di dati sulle minacce e informazioni raccolte da siti di social media, forum di hacker, indirizzi IP dannosi, telemetria antivirus e rapporti di ricerca.

I dati grezzi possono essere raccolti direttamente dalla piattaforma, per poi essere sottomessi alle fasi successive.

I dati grezzi raccolti devono essere elaborati per poter essere utilizzabili in un’ottica di Threat Intelligence.

Ed è qui che entrano in gioco le piattaforme, che filtrano i dati, aggiungono metadati, correlano e aggregano vari tipi di dati e fonti.

Automatizzazione e Machine Learning aiutano in questa fase per fornire continuamente informazioni sulle attività degli attori delle minacce.

Questa fase può prevedere la creazione di fogli di calcolo e attività di correlazione per definire il contesto delle minacce e la loro gravità.

In questa fase si cercano risposte: quando si è verificato l’evento? Perché si è verificato? Cosa cercava l’autore dell’attacco? Qual è stata la gravità dell’attacco stesso?

È una fase fondamentale per fornire all’azienda dati rilevanti e utilizzabili per ridurre il rischio o informare le decisioni aziendali in materia di sicurezza delle informazioni.

Gli analisti di threat intelligence devono comunicare in modo efficace al giusto destinatario, fornendo ad esempio informazioni tecniche sulle azioni da compiere ai responsabili di sicurezza, così come informazioni di contesto sui rischi effettivi alle funzioni dirigenziali.

In questa fase, le informazioni rilevanti sulle minacce vengono inviate alle varie unità aziendali che potrebbero essere interessate, così come emerso dalla prima fase di pianificazione.

Apparentemente semplice, questa fase si rivela insidiosa laddove le aziende non siano in grado di comunicare le informazioni giuste ai giusti stakeholder.

A queste cinque fasi del ciclo di vita della Cyber Threat Intelligence riconosciute a livello di “letteratura”, se ne aggiunge ormai anche una sesta, quella del Feedback.

È importante infatti raccogliere feedback dall’organizzazione per determinare se l’analisi dell’intelligence sia stata tempestiva, pertinente e perseguibile. In caso negativo, va da sé, è il momento di integrare i giusti correttivi.

Non tutte le organizzazioni dispongono al proprio interno di un team specializzato per poter implementare soluzioni di Cyber Threat Intelligence.

Per questo è importante affidarsi a un partner in grado di supportare l’organizzazione in questo percorso, indispensabile per garantire una postura di sicurezza adeguata allo stato attuale delle minacce e dei rischi.

FI è in grado di offrire ai propri clienti una vera e propria Cyber Threat Intelligence As a Service, a partire dalla Data Collection e proseguendo in tutte le fasi del ciclo.

Grazie al proprio Team di analisti di sicurezza e al proprio SOC, è possibile non solo garantire un monitoraggio H24, ma effettuare tutte le azioni necessarie all’analisi e alla prevenzione di rischi e attacchi, completandole con più che consolidate procedure di Incident Response e Remediation.