Che cos'è l'intelligence sulle minacce?
 

Diversi modi di attaccare i sistemi e le reti di computer sono in continua evoluzione mentre i cyber-criminali trovano nuove vulnerabilità da sfruttare. La Cyber Threat Intelligence (CTI) aiuta le aziende a rimanere informate sulle nuove minacce in modo che possano proteggersi. Gli esperti di sicurezza informatica organizzano, analizzano e perfezionano le informazioni raccolte sugli attacchi per imparare e utilizzarle per proteggere meglio le aziende.  

L'intelligence sulle minacce (o intelligence sulla sicurezza) aiuta anche a fermare o mitigare un attacco in corso. Più un team IT comprende su un attacco, più sarà in grado di prendere una decisione informata su come combatterlo.

Quali sono i tipi di intelligence sulle minacce?

Esistono diversi tipi di intelligence sulle minacce, dalle informazioni non tecniche di alto livello ai dettagli tecnici su attacchi specifici. Ecco alcuni diversi tipi di intelligence sulle minacce:

• Strategica: l'intelligence strategica sulle minacce è un'informazione di alto livello che mette la minaccia nel contesto. Si tratta di informazioni non tecniche che un'azienda potrebbe presentare a un consiglio di amministrazione. Un esempio di intelligence strategica sulle minacce è l'analisi del rischio di come una decisione aziendale potrebbe rendere l'azienda vulnerabile agli attacchi informatici.  
• Tattica: l'intelligence tattica sulle minacce si occupa di come vengono condotte le minacce e delle relative difese, inclusi vettori di attacco, strumenti e infrastrutture utilizzati dagli hacker, tipi di aziende o tecnologie prese di mira e strategie di elusione. Inoltre, aiuta un'organizzazione a capire con quale probabilità può diventare un bersaglio per diversi tipi di attacchi. Gli esperti di sicurezza informatica utilizzano le informazioni tattiche per prendere decisioni informate sui controlli di sicurezza e sulla gestione delle difese. 
•  Operativa: l'intelligence operativa sulle minacce tratta informazioni che un reparto IT può utilizzare come parte della gestione attiva delle minacce per contrastare un attacco specifico. Sono informazioni sull'intento, sulla natura e sulla tempistica dell'attacco. Idealmente, queste informazioni vengono raccolte direttamente da chi effettua l'attacco, il che le rende difficili da ottenere.
• Tecnica: l'intelligence tecnica sulle minacce è la prova specifica che è in corso un attacco e si basa sugli indicatori di compromesso (IOC). Alcuni strumenti di intelligence sulle minacce utilizzano l'intelligenza artificiale per cercare questi indicatori, che potrebbero essere contenuti e-mail da campagne di phishing, indirizzi IP di infrastrutture C2 o artefatti da campioni di malware noti.

Cosa fa l'intelligence sulle minacce?

L'intelligence sulle minacce e gli strumenti di minacce informatiche aiutano le aziende a comprendere i rischi di diversi tipi di attacchi e il modo migliore per difendersi da essi. L'intelligence sulle minacce informatiche aiuta anche a mitigare gli attacchi in corso. Il reparto IT di un'azienda può raccogliere le proprie informazioni sulle minacce o fare affidamento su un servizio di intelligence sulle minacce per raccogliere informazioni e fornire consigli sulle best practice di sicurezza. Le aziende che adottano il networking Software-Defined (SDN) possono utilizzare l'intelligence sulle minacce per riconfigurare rapidamente la propria rete per difendersi da tipi specifici di cyber-attacchi. 

Perché l'intelligence sulle minacce è importante?

L'intelligence sulle minacce consente alle aziende di essere proattive anziché reattive quando si tratta di cyber-attacchi. Senza comprendere le vulnerabilità della sicurezza, gli indicatori di minacce e il modo in cui queste vengono eseguite, è impossibile difendersi efficacemente dai cyber-attacchi. L'intelligence sulle minacce può prevenire e contenere gli attacchi più velocemente, facendo potenzialmente risparmiare alle aziende centinaia di migliaia di dollari. L'intelligence sulle minacce può aumentare i controlli di sicurezza aziendali a tutti i livelli, compresa la sicurezza della rete e la cloud security.

Quali sono gli indicatori di compromesso più comuni?

Il personale di sicurezza può spesso trovare indizi di un attacco in corso o accaduto, se sta cercando nei posti giusti per comportamenti insoliti. L'intelligenza artificiale può aiutare moltissimo con questo lavoro. Alcuni IOC comuni sono:

• Attività insolita dell'account utente privilegiato: gli aggressori spesso cercano di ottenere privilegi di account più alti o passare da un account compromesso a un altro account che ha privilegi più elevati.
• Anomalie nel login: login al di fuori dell'orario di lavoro che tentano di accedere a file non autorizzati, login in rapida successione allo stesso account da indirizzi IP diversi in tutto il mondo e login non riusciti da account utente che non esistono sono tutti buoni indicatori del fatto che qualcosa non va.
• Aumenti del volume di lettura del database: vedere un forte aumento del volume di lettura del database potrebbe indicare che qualcuno sta estraendo una quantità insolitamente grande di dati, come tutti i numeri di carta di credito in un database.
• Insolite richieste di Domain Name System (DNS): grandi picchi nelle richieste DNS da un host specifico e schemi di richieste DNS agli host esterni sono entrambi segnali di pericolo perché potrebbero significare che qualcuno al di fuori dell'azienda sta inviando il comando e controlla il traffico.
• Gran numero di richieste per lo stesso file: gran parte dell'attività criminale informatica è composta da attacchi ripetuti, il che può indicare che qualcuno è alla ricerca di una vulnerabilità. Vedere 500 richieste per lo stesso file potrebbe indicare che qualcuno sta provando diversi modi per trovare un punto debole.
• Modifiche inspiegabili alla configurazione o ai file di sistema: sebbene sia difficile trovare uno strumento di raccolta delle carte di credito, è più facile trovare le modifiche ai file di sistema che si verificano dallo strumento installato. 

Quali sono gli strumenti di intelligence sulle minacce disponibili?

Una varietà di strumenti di intelligence sulle minacce è in vendita o disponibile gratuitamente attraverso la community open source. Hanno tutti degli approcci leggermente diversi alla raccolta di informazioni per l'intelligence sulle minacce:

• Disassemblatori di malware: questi strumenti eseguono la decompilazione del malware per capire come funziona e aiutare i tecnici della sicurezza a decidere come difendersi da attacchi simili in futuro.
• Strumenti per informazione sulla sicurezza e gestione degli eventi (SIEM): gli strumenti SIEM consentono ai team di sicurezza di monitorare la rete in tempo reale, raccogliendo informazioni su comportamenti insoliti e traffico sospetto.
• Strumenti di analisi del traffico di rete: gli strumenti di analisi del traffico di rete raccolgono informazioni e registrano l'attività di rete per fornire informazioni che facilitano il rilevamento di un'intrusione.
• Community di intelligence sulle minacce e raccolte di risorse: i siti Web liberi che aggregano indicatori di compromesso conosciuti e dati generati dalla community sulle minacce possono essere una preziosa fonte di intelligence sulle minacce. Alcune di queste community supportano la ricerca collaborativa e forniscono consigli attuabili su come prevenire o combattere le minacce.

Le aziende consapevoli delle minacce emergenti e che sanno come evitarle possono agire per prevenire un attacco prima che accada. La raccolta e la revisione dell'intelligence sulle minacce dovrebbero far parte della strategia di sicurezza di ogni azienda.