Security Intelligence: in cosa consiste e perché occorre essere tempestivi
Per le società di sicurezza, la security intelligence è diventata una priorità. Chi lavora nel campo della cyber security, infatti, si trova impegnato in una sfida che lo mette a confronto ogni giorno con minacce sempre nuove e attacchi sempre più sofisticati. Per fronteggiarli, è indispensabile avere le conoscenze che permettono di contrastare efficacemente gli attacchi dei pirati informatici. Il lavoro di intelligence, però, ha anche obiettivi molto più pratici, legati alle specificità dell’azienda di cui si gestisce la cyber security.
Conosci il tuo nemico
La prima funzione delle security intelligence (detta anche cyber threat intelligence o CTI) è quella di consentire agli esperti di mantenersi aggiornati sul panorama delle minacce informatiche che devono affrontare. Il mondo del cyber crimine, infatti, è una sorta di magma in continua evoluzione, in cui le nuove tecniche di attacco vengono sviluppate, condivise e vendute nei bassifondi del Web con una velocità incredibile. Il monitoraggio dei forum frequentati dagli hacker e, soprattutto, dei market in cui vengono scambiati i nuovi malware e gli strumenti di hacking rappresentano uno strumento fondamentale per mantenere aggiornate le difese.
Le nuove frontiere del cyber crimine
Uno dei fenomeni segnalati dagli esperti di cyber threat intelligence, che negli ultimi anni ha preso piede come modalità “normale” per la gestione della filiera del cyber crimine, è quella del “malware as a service”, una formula che i pirati informatici adottano per “commercializzare” i software malevoli che creano e massimizzare il profitto. La logica è quella della affiliazione, attraverso il pagamento di un canone che consente di utilizzare i malware più pericolosi in cambio di una sorta di abbonamento. In alcuni casi, addirittura, la formula prevede una partecipazione agli utili, che vengono spartiti tra chi conduce gli attacchi e chi mette a disposizione gli strumenti per infettare i sistemi delle vittime.
Monitorare il mondo del cyber crimine
In uno scenario come questo, il ruolo degli esperti di security intelligence è quello di tenere sotto controllo tutto ciò che accade negli ambienti in cui i pirati informatici gestiscono i loro traffici. Il campo in cui agiscono è prima di tutto il Dark Web, cioè quella parte di Internet cui è possibile accedere soltanto attraverso particolari strumenti e autorizzazioni chelimitano la possibilità di controllo da parte di chi non conosce l’ambiente. Una forma di raccolta di informazioni che non può essere affidata a strumenti automatici e che ricorda piuttosto l’attività degli agenti segreti in territorio nemico. La cyber threat intelligence si concentra su questi ambienti. Il sottobosco in cui si muovono gli specialisti della security intelligence è infatti un intrico di conoscenze, relazioni e rapporti di “fiducia” che richiedono esperienza e capacità che solo la figura degli “ethical hacker” possono garantire.
Prevenire gli attacchi con la security intelligence
I pirati informatici specializzati in attacchi nei confronti delle aziende agiscono secondo un modus operandi ben definito. Raramente improvvisano o si affidano al caso: adottano invece una strategia che prevede un’attenta preparazione. In questa fase, i cyber criminali usano tutti gli strumenti a loro disposizione per raccogliere le informazioni che gli servono per pianificare l’attacco, individuando eventuali punti deboli nelle infrastrutture dell’azienda, i bersagli più “interessanti” per ottenere l’accesso ai sistemi e gli strumenti di hacking che gli servono per fare breccia nella rete. Non solo: i pirati sfruttano i forum di hacking e i market del Dark Web per cercare tutto ciò che gli può essere utile per compromettere i dispositivi degli impiegati dell’azienda, per esempio cercando eventuali credenziali rubate a servizi di qualsiasi genere. Secondo una recente analisi, nei bassifondi del Web sono in vendita più di 15 miliardi di credenziali sottratte a utenti privati e aziendali. Ne basta una, anche relativa a un account sui social network, per mettere a loro disposizione una “testa di ponte” utile per portare l’attacco.
Ed è proprio qui che viene in soccorso la cyber threat intelligence: uno dei compiti della security intelligence, infatti, è proprio quello di monitorare questo tipo di ricerche. Individuare tempestivamente attività preparatorie come questa, infatti, è la chiave per prevenire e bloccare eventuali attacchi mirati.
Come le soluzioni di cyber threat intelligence possono aiutare le aziende
Le soluzioni dedicate alla cyber threat intelligence aiutano le imprese a proteggersi da minacce sempre più sofisticate. Il loro elemento cardine è la capacità di raccolta, analisi e interpretazione di informazioni provenienti da varie fonti, come feed di intelligence e dark web.
L’impiego di questi tool ha chiaramente due finalità, poiché supporta i team di sicurezza nel prevenire gli attacchi e a rispondere in modo efficace. In particolare, gli strumenti di cyber security intelligence sono molto utili per identificare nuove tecniche di attacco e vulnerabilità, facendo sì che le aziende possano elaborare efficaci strategie di difesa prima di essere concretamente prese di mira.
Le soluzioni CTI risultano quindi essenziali per il monitoraggio continuo delle minacce, unica strategia davvero efficace in un mondo sempre più insidioso e che evolve con cadenza quotidiana.