Gli attacchi informatici di quinta generazione sono in crescita contro imprese e individui. Ciò ha reso di fatto le tradizionali misure di sicurezza informatica virtualmente obsolete. Ai cyber criminali oggi altamente organizzati, motivati convenienze personali ed economiche, basta anche una sola singola vulnerabilità da sfruttare, per potersi infiltrare e fare danni consistenti a una organizzazione.
La Threat Intelligence, considerata nel contesto dell'intelligence operativa sulle minacce, può essere utilizzata per impostare una protezione proattiva tramite policy basate sulla reputazione IP, URL, file, o ambiti mobile, se e solo se le misure sono essere integrate nell'infrastruttura di sicurezza. E se la governance è basata anche sui rapporti di Threat Intelligence.
Per combattere questa nuova era di minacce, sempre più aziende e fornitori di sicurezza si rivolgono alla Threat Intelligence per implementare un approccio preventivo da coniugare al più classico approccio reattivo rispetto al verificarsi di un incidente.
La Threat Intelligence è una conoscenza basata sull'evidenza di una minaccia esistente (oppure emergente) o di un rischio per le risorse informatiche. Comprende informazioni quali il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli utilizzabili, come elementi informativi capaci di abilitare la presa di decisioni rispetto alla risposta del soggetto target verso tale minaccia o pericolo1.
La maggiore sfida per i sistemi o i provider che offrono servizi di Threat Intelligence riguarda l’identificazione degli indicatori principali di rischio per un'organizzazione da parte di avversari che sono inizialmente del tutto sconosciuti. Come dire che in teoria non si sa bene in quale direzione del cyberspazio digitale si debba cercare.
Rob McMillan di Gartner2 sottolinea come i CISO non abbiano alcun controllo diretto sulle minacce alle loro organizzazioni e possano solo essere consapevoli dei rischi e prepararsi per il loro arrivo.
Per questo motivo i CISO che scelgono di dotarsi di capacità di Threat Intelligence, sia “in house”, sia in modalità “as a service”, dovrebbero avere una chiara comprensione delle caratteristiche e dovrebbero scegliere un fornitore di servizi che sia in linea con tali capacità.
Affinché le informazioni di Threat Intelligence abbiano un valore operativo per l’azienda è necessario che siano complete di informazione e attributi al contorno. Questi elementi scaturiscono dalle fasi di raccolta, confronto, convalida, valutazione e interpretazione.
Gli attributi sono elementi a valore aggiunto che includono:
Quando un’organizzazione si dota di capacità o servizi di Threat Intelligence la sfida chiave è come utilizzare tali informazioni per supportare la presa di decisioni e introdurre contromisure di riduzione del rischio, ma anche per intraprendere azioni volte al trasferimento del rischio residuo.
La Threat Intelligence può occuparsi di:
Dipendentemente dal core business aziendale e dai canali maggiormente operativi per l’impresa, è possibile integrare uno o più di questi ambiti, selezionando una o più fonti di intelligence sulle minacce. Quale che sia l’ambito/i è fondamentale valutare attentamente:
1 Fonte: CREST
2 Fonte: Gartner