Security Intelligence: in cosa consiste e perché occorre essere tempestivi

Per le società di sicurezza, la security intelligence è diventata una priorità. Chi lavora nel campo della cyber security, infatti, si trova impegnato in una sfida che lo mette a confronto ogni giorno con minacce sempre nuove e attacchi sempre più sofisticati. Per fronteggiarli, è indispensabile avere le conoscenze che permettono di contrastare efficacemente gli attacchi dei pirati informatici. Il lavoro di intelligence, però, ha anche obiettivi molto più pratici, legati alle specificità dell’azienda di cui si gestisce la cyber security.


Conosci il tuo nemico

La prima funzione delle security intelligence è quella di consentire agli esperti di mantenersi aggiornati sul panorama delle minacce informatiche che devono affrontare. Il mondo del cyber crimine, infatti, è una sorta di magma in continua evoluzione, in cui le nuove tecniche di attacco vengono sviluppate, condivise e vendute nei bassifondi del Web con una velocità incredibile. Il monitoraggio dei forum frequentati dagli hacker e, soprattutto, dei market in cui vengono scambiati i nuovi malware e gli strumenti di hacking rappresentano uno strumento fondamentale per mantenere aggiornate le difese.


Le nuove frontiere del cyber crimine

Uno dei fenomeni segnalati dagli esperti di security intelligence, che negli ultimi anni ha preso piede come modalità “normale” per la gestione della filiera del cyber crimine, è quella del “malware as a service”, una formula che i pirati informatici adottano per “commercializzare” i software malevoli che creano e massimizzare il profitto. La logica è quella della affiliazione, attraverso il pagamento di un canone che consente di utilizzare i malware più pericolosi in cambio di una sorta di abbonamento. In alcuni casi, addirittura, la formula prevede una partecipazione agli utili, che vengono spartiti tra chi conduce gli attacchi e chi mette a disposizione gli strumenti per infettare i sistemi delle vittime.


Monitorare il mondo del cyber crimine

In uno scenario come questo, il ruolo degli esperti di security intelligence è quello di tenere sotto controllo tutto ciò che accade negli ambienti in cui i pirati informatici gestiscono i loro traffici. Il campo in cui agiscono è prima di tutto il Dark Web, cioè quella parte di Internet cui è possibile accedere soltanto attraverso particolari strumenti e autorizzazioni che limitano la possibilità di controllo da parte di chi non conosce l’ambiente. Una forma di raccolta di informazioni che non può essere affidata a strumenti automatici e che ricorda piuttosto l’attività degli agenti segreti in territorio nemico. Il sottobosco in cui si muovono gli specialisti della security intelligence è infatti un intrico di conoscenze, relazioni e rapporti di “fiducia” che richiedono esperienza e capacità che solo la figura degli “ethical hacker” possono garantire.


Prevenire gli attacchi con la security intelligence

I pirati informatici specializzati in attacchi nei confronti delle aziende agiscono secondo un modus operandi ben definito. Raramente improvvisano o si affidano al caso: adottano invece una strategia che prevede un’attenta preparazione. In questa fase, i cyber criminali usano tutti gli strumenti a loro disposizione per raccogliere le informazioni che gli servono per pianificare l’attacco, individuando eventuali punti deboli nelle infrastrutture dell’azienda, i bersagli più “interessanti” per ottenere l’accesso ai sistemi e gli strumenti di hacking che gli servono per fare breccia nella rete. Non solo: i pirati sfruttano i forum di hacking e i market del Dark Web per cercare tutto ciò che gli può essere utile per compromettere i dispositivi degli impiegati dell’azienda, per esempio cercando eventuali credenziali rubate a servizi di qualsiasi genere. Secondo una recente analisi, nei bassifondi del Web sono in vendita più di 15 miliardi di credenziali sottratte a utenti privati e aziendali. Ne basta una, anche relativa a un account sui social network, per mettere a loro disposizione una “testa di ponte” utile per portare l’attacco. Uno dei compiti della security intelligence è proprio quello di monitorare questo tipo di ricerche. Individuare tempestivamente attività preparatorie come questa, infatti, è la chiave per prevenire e bloccare eventuali attacchi mirati.


New call-to-action