Conoscere e applicare la Cyber Threat Intelligence (CTI) richiede competenze e capacità, praticate con efficacia ed efficienza, perché se conoscere è potere, allora passare all’azione deve permettere di mantenere quel vantaggio. Per farlo l’approccio preventivo è la migliore risposta a un attacco informatico e ai danni e impatti che può provocare.
Se si vuole affrontare la Cyber Threat Intelligence con serietà è importante capire esattamente di cosa si occupa. Il CREST, un organismo internazionale di accreditamento e certificazione senza fini di lucro, ha pubblicato uno studio sulla Cyber Threat Intelligence dal titolo “What is Cyber Threat Intelligence and how is it used?”. Poiché la Cyber Threat Intelligence è l'applicazione dell'Intelligence alla cyber security, si parte dalla definizione di intelligence, fusa dalle descrizioni di istituti americani: “Informazione che viene ricevuta o raccolta per rispondere a domande specifiche su ‘chi, cosa, come, dove, quando, e perché’ (UK National Crime Agency-NCA) e informazione per la conoscenza del mondo, preludio alla decisione e all'azione (US Central Intelligence Agency-CIA)”. In sostanza, grazie alla Cyber Threat Intelligence si capisce la specifica minaccia Cyber che incombe sulla propria azienda, per poi attuare la protezione adeguata.
Oltre alla minaccia è necessario integrare informazioni sulle vulnerabilità e sugli impatti che possono causare danni e con queste informazioni definire un profilo di rischio (vedi figura fonte CREST, ndr). Il valore del rischio così calcolato può essere ridotto mediante introduzione di misure di sicurezza, difesa, detection ed early warning in chiave preventiva.
Il modo più appropriato per recuperare informazioni passa per l’Open Source Intelligence (OSINT). Nella pubblicazione “Open-Source Intelligence” (ATP 2.22.9) dell’Esercito Americano è definita come “la disciplina che riguarda l’intelligence prodotta da informazioni pubblicamente disponibili che vengono raccolte, analizzate e distribuite tempestivamente ad un audience appropriata allo scopo di rispondere a specifici fabbisogni informativi”. Significa quindi raccogliere, collazionare, analizzare e diffondere informazioni a supporto dell’attività strategica e operativa della propria organizzazione (Fonte Osintbook). I mezzi tecnici con cui si ricercano informazioni in OSINT sono i Crawler, programmi che cercano automaticamente informazioni su Internet, di solito per indicizzare e/o elencare il contenuto, ma anche per raccogliere dati, il cosiddetto information gathering (Fonte Cambridge Disctionary).
Le organizzazioni che condividono informazioni (infosharing) sulle minacce informatiche possono migliorare la propria postura di sicurezza e aiutare a migliorare quella di altre organizzazioni. Le informazioni di Cyber Threat Intelligence comprendono indicatori di compromissione, Tattiche, Tecniche e Procedure (TTP) utilizzate dagli attori delle minacce, azioni suggerite per rilevare, contenere o prevenire attacchi, e i risultati delle analisi degli incidenti. Ogni azienda deve definire obiettivi e fonti di informazione attendibili e modalità di infosharing, sviluppando regole che controllino pubblicazione e distribuzione delle informazioni sulle minacce condividendo nelle community appropriate (Fonte NIST 800-150 “Guide to Cyber Threat Information Sharing”). Quindi, la Cyber Threat Intelligence e l’infosharing possono aiutare un'organizzazione a identificare, valutare, monitorare e rispondere alle minacce informatiche, ma anche ad agire preventivamente.
Così come le minacce evolvono in complessità e tecnologia abilitante anche la Cyber Threat Intelligence deve adeguarsi, arricchendo le fonti attendibili per la raccolta dei dati, evolvendo gli strumenti di gathering e ottimizzando ogni aspetto delle TTP usate degli attaccanti, per istruire difese preventive adeguate (Fonte Researchgate).
Poiché non tutte le aziende sono capaci di organizzare un reparto interno dedito alla Cyber Threat Intelligence con la capacità di condividere ad altre entità e di migliorare continuamente lo studio della minaccia, è consigliabile l’adozione di un servizio gestito di CTI.
In Cyberoo nell’ambito della Cyber Security Suite, la componente CSI (Cyber Security Intelligence) è quella dedicata alle ricerche in OSINT, che sfrutta Crawler specializzati sul dominio di interesse dell’azienda cliente (ambito di mercato, rischi della categoria tecnologica di appartenenza, motivazioni degli attaccanti, etc.); ovvero, le ricerche sono “taylor made” sulle fonti informative e sul perimetro del threat model di riferimento per quell’azienda e il suo settore. La base di conoscenza che si forma è originata solo da informazioni raccolte autonomamente, senza prendere dati dall’ambiente del cliente. La Cyber Threat Intelligence di Cyberoo, inoltre, utilizza l’infosharing ed evolve al variare delle TTP degli attaccanti.
Alcune delle attività inerenti dalla Soluzione CSI sono: Data Breach Detection, Brand Monitoring, Vulnerability Management, Data Leakage Detection, Deep&Dark Web Monitoring e Vip User Protection. La Soluzione CSI beneficia dell’I-SOC (Intelligence – Security Operation Center), un team di circa 50 specialisti dislocati fra Italia e sedi estere (volte a favorire le analisi di dati ed informazioni riportate in lingue diverse) attivi h24 per analisi e studi approfonditi. La specializzazione copre tre livelli di competenze e verticalizzazioni: ethical hackers, Incident Response Team e specialisti di varie tecnologie.
Il servizio di Data Breach Detection è pensato e realizzato per fornire al cliente una vista completa dello stato di compromissione delle sue credenziali. L’analisi viene eseguita in near-real-time a tutti i livelli del web (clear, dark, deep) comprendendo anche qui black market, tramite i quali l’I-SOC effettua controlli anche sull’attività afferente al CyberCrime. Il servizio può̀ segnalare un alerting di compromissione con report o effettuare la verifica puntuale di compromissione a fronte di evidenze specifiche. Similmente il servizio Data Leakage Detection cerca nel clear, dark e deep web documenti aziendali, al fine di identificare un eventuale furto o “smarrimento” di proprietà intellettuale o di dati sensibili, per scongiurarne il possibile utilizzo illegittimo o fraudolento. Il ritrovamento comporta un confronto interno con il cliente per concordare come mitigare, evitare o risolvere il rischio relativo alla perdita di confidenza delle informazioni. Invece, nel servizio Deep&Dark Web Monitoring e Vip User Protection il focus della ricerca sono le credenziali di utenti VIP la cui compromissione può creare rischi e/o danni molto seri. Anche in questo caso il confronto con il committente permette di comprendere le azioni di mitigazione necessarie, atte a prevenire un impatto rovinoso.
Nel Brand Monitoring sono analizzati in near-real-time tutti i domini registrati nelle nel mondo, al fine di identificare quali tra questi possano essere riconducibili ad attività̀ malevole ai danni dei clienti (domain name simili/somiglianti). A fronte della conferma di dominio sospetto sono avviate internamente le operazioni di prevenzione per il blocco preventivo di quel dominio da parte dei tool aziendali del Cliente; contestualmente l’I-SOC si adopera per effettuare lo shutting down del dominio ed il recupero delle informazioni degli attaccanti. Per il servizio di Vulnerability Management sono fornite evidenze di vulnerabilità e informazioni di sicurezza in riferimento alla realtà IT del cliente stesso. Questo monitoraggio culmina in segnalazioni in near-real-time verso il Cliente, e in presenza di minacce potenzialmente impattanti, sono previste attività di mitigazione operativa per prevenire l’incidenza.