Cyber Threat Intelligence

In un mondo iper-connesso come quello attuale, tutte le organizzazioni, senza distinzioni, rischiano di finire nel mirino dei cyber criminali, in grado di violare il loro perimetro. Con l’emergenza Covid 19 questo perimetro è stato reso ulteriormente più debole dalla repentina e spesso improvvisata transizione al modello di home working, esponendo però le organizzazioni a maggiori probabilità di cyber attacchi. In questo contesto un aiuto fondamentale arriva dalla Cyber Threat Intelligence, che permette di acquisire conoscenze preziose su quelle che possono essere le minacce incombenti o le vulnerabilità dei sistemi ed è così in grado di prevedere le possibili mosse di agenti ostili (malware, hacker, etc..). 

Il termine Cyber Threat Intelligence (CTI) si riferisce a una tecnologia che sfrutta le tecniche e le metodologie dell’intelligence, un tempo appartenenti ai servizi segreti, per l’analisi delle cyber minacce. La CTI non è una soluzione, ma è una componente fondamentale dell’architettura di sicurezza delle informazioni.

Lo scopo della Cyber Threat Intelligence è: 

  • valutare anzitempo la presenza di potenziali minacce; 
  • ridurre i rischi, attraverso rappresentazioni predittive;
  • offrire maggiore visibilità e profondità di comprensione rispetto ai punti critici, le probabilità di accadimento e l’ampiezza dell’impatto su un’organizzazione.

In realtà le soluzioni di cyber intelligence possono, anzi,
devono essere utilizzate non solo in contesti governativi ed
enterprise ma anche in quelli molto più piccoli come le PMI.

Principali Vantaggi per le Aziende

La CTI trasforma l’informazione su una minaccia, in un’informazione di “intelligence” su una minaccia. Questo permette alle aziende di:

  • contestualizzare i rischi nel concreto;
  • fornire preventivamente risposte in materia di sicurezza;
  • guidare le azioni di contenimento;
  • ottimizzare l’allocazione delle risorse e dei budget in maniera più efficiente.

 

 L’obiettivo è quello di scegliere le misure di sicurezza più appropriate al contesto, basando tale scelta sul rischio, la probabilità e il livello di impatto di una violazione a cui può essere soggetta un’organizzazione, attraverso un processo predittivo. La CTI rappresenta quindi non solo un valido aiuto per comprendere come l’organizzazione potrebbe essere attaccata, ma anche come definire le migliori strategie per prevenire, difendere e mitigare eventuali incidenti.
In questi termini la Cyber Threat Intelligence deve essere considerata un vero e proprio processo aziendale, una parte integrante di qualsiasi altro processo nella gestione delle informazioni di un’organizzazione.

Il Ciclo di Vita della CTI

La CTI segue lo stesso ciclo di una qualsiasi altra attività di intelligence. È un percorso che parte dalla definizione degli obiettivi che si vogliono conseguire e dagli asset da proteggere e termina con l’analisi dei dati raccolti per sviluppare modelli di minaccia e probabilità di accadimento
e ottenere così gli scenari di rischio.

La CTI comprende tre principali livelli:

  • Strategico (Chi? Perché?) 

Lo scopo dell’analisi strategica è quella di evidenziare le potenziali minacce, rispetto alla propria attività, al fine di tracciare un profilo di tutti quegli attori che potrebbero agire contro la stessa (il cosiddetto profilo di minaccia). Quest’ultimo, calcolato secondo degli indicatori quali il motivo, l’intento, le risorse e l’opportunità.

  • Tattico (Come? Dove?)

In questa fase si analizzano le tecniche, gli strumenti e le procedure che potrebbero essere utilizzate da agenti ostili verso possibili superfici di attacco di un’organizzazione (dati, asset, servizi, procedure, persone) che possono avere delle vulnerabilità.

  • Operativo (Cosa?)

Analisi, più a basso livello, fondata sulla ricerca di indicatori di minaccia che possano dare un contributo reale rispetto a quella che è la sicurezza di un’organizzazione. Per esempio un sistema SIEM (Security Information and Event Management): che raccoglie e correla eventi che possono presagire minacce cibernetiche. È importante sottolineare l’importanza del monitoraggio continuo: un sistema oggi sicuro, potrebbe essere compromesso domani.

Evoluzione della Sicurezza

L’approccio tradizionale alla sicurezza nelle organizzazioni coinvolge team e professionisti diversi che usano diversi strumenti e processi per la difesa ed analisi delle minacce. L’integrazione fra questi team e la condivisione di informazioni di interesse è spesso un processo manuale, che avviene attraverso scambio di mail, sistemi di ticketing o fogli elettronici. L’evoluzione delle metodologie d’attacco ha fatto emergere i limiti degli approcci tradizionali. Al contrario, la CTI è la prima linea di difesa nell’odierna e futura sicurezza informatica: interpretare l’intento dei cyber criminali e predire cyber minacce, consentendo alle organizzazioni di anticipare e disarmare gli attacchi prima, e non dopo, che si verifichino. 

La CTI continuerà ad evolversi e a ricoprire un ruolo essenziale nella cyber sicurezza. L’integrazione della Threat Intelligence a livello tattico, operativo e strategico fornirà informazioni sempre più utili sulle minacce e su come identificare gli agenti ostili, creando ambienti più sicuri. L’ Information Sharing, la condivisione delle informazioni di minaccia, sarà prima la nuova “best practice” poi lo standard che porterà a migliori difese contro le crescenti cyber minacce di qualsiasi natura.