Gli attacchi informatici di quinta generazione sono in crescita contro imprese e individui. Ciò ha reso di fatto le tradizionali misure di sicurezza informatica virtualmente obsolete. Ai cyber criminali oggi altamente organizzati, motivati convenienze personali ed economiche, basta anche una sola singola vulnerabilità da sfruttare, per potersi infiltrare e fare danni consistenti a una organizzazione.
La Threat Intelligence, considerata nel contesto dell'intelligence operativa sulle minacce, può essere utilizzata per impostare una protezione proattiva tramite policy basate sulla reputazione IP, URL, file, o ambiti mobile, se e solo se le misure sono essere integrate nell'infrastruttura di sicurezza. E se la governance è basata anche sui rapporti di Threat Intelligence.
Conoscere la Threat Intelligence e i suoi risultati
Per combattere questa nuova era di minacce, sempre più aziende e fornitori di sicurezza si rivolgono alla Threat Intelligence per implementare un approccio preventivo da coniugare al più classico approccio reattivo rispetto al verificarsi di un incidente.
La Threat Intelligence è una conoscenza basata sull'evidenza di una minaccia esistente (oppure emergente) o di un rischio per le risorse informatiche. Comprende informazioni quali il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli utilizzabili, come elementi informativi capaci di abilitare la presa di decisioni rispetto alla risposta del soggetto target verso tale minaccia o pericolo1.
La maggiore sfida per i sistemi o i provider che offrono servizi di Threat Intelligence riguarda l’identificazione degli indicatori principali di rischio per un'organizzazione da parte di avversari che sono inizialmente del tutto sconosciuti. Come dire che in teoria non si sa bene in quale direzione del cyberspazio digitale si debba cercare.
Rob McMillan di Gartner2 sottolinea come i CISO non abbiano alcun controllo diretto sulle minacce alle loro organizzazioni e possano solo essere consapevoli dei rischi e prepararsi per il loro arrivo.
Per questo motivo i CISO che scelgono di dotarsi di capacità di Threat Intelligence, sia “in house”, sia in modalità “as a service”, dovrebbero avere una chiara comprensione delle caratteristiche e dovrebbero scegliere un fornitore di servizi che sia in linea con tali capacità.
Capire quali capacità abilita la Threat Intelligence
Affinché le informazioni di Threat Intelligence abbiano un valore operativo per l’azienda è necessario che siano complete di informazione e attributi al contorno. Questi elementi scaturiscono dalle fasi di raccolta, confronto, convalida, valutazione e interpretazione.
Gli attributi sono elementi a valore aggiunto che includono:
- Target dell'attore malevolo;
- Condizioni in cui è probabile che la minaccia riesca a sfruttare con successo una vulnerabilità;
- Informazioni sulla minaccia e sue implicazioni, varianti della minaccia;
- Indicatori che la minaccia stia agendo contro quella specifica organizzazione o in modo da comprometterne le risorse;
- Impatti per l’organizzazione se la minaccia si concretizza con successo;
- Indicatori di compromissione;
- Elementi di patching delle vulnerabilità o attività di hardening suggerite;
- Valutazione dell'affidabilità della fonte dell'informazione e dell'attendibilità dell'informazione stessa;
- Periodo di rilevanza delle informazioni acquisite (corta se di tipo operativo, lunga se di tipo strategico).
Quando un’organizzazione si dota di capacità o servizi di Threat Intelligence la sfida chiave è come utilizzare tali informazioni per supportare la presa di decisioni e introdurre contromisure di riduzione del rischio, ma anche per intraprendere azioni volte al trasferimento del rischio residuo.
Come dotarsi di capacità di Threat Intelligence
La Threat Intelligence può occuparsi di:
- Ambiti Internet: reputazione nel Web, reputazione di IP, anti-phishing;
- File: per valutare la reputazione di file eseguibili o di potenziale malware:
- Mobile: per valutare la reputazione delle app nella sicurezza mobile.
Dipendentemente dal core business aziendale e dai canali maggiormente operativi per l’impresa, è possibile integrare uno o più di questi ambiti, selezionando una o più fonti di intelligence sulle minacce. Quale che sia l’ambito/i è fondamentale valutare attentamente:
- Come e da dove provengono i dati e la loro copertura del panorama delle minacce globali;
- Data di aggiornamento dei dati, inclusa la data di provenienza e il tempo impiegato per l'elaborazione;
- Efficacia dei dati, non solo per falsi positivi / negativi. ma anche per la correlazione con altri dati;
- Rilevanza per le esigenze specifiche, a livello aziendale, di settore o geografico.
1 Fonte: CREST
2 Fonte: Gartner
