Attacchi DDoS, trojan, ransomware as a service: i criminali informatici oggi hanno a disposizione un arsenale davvero ampio e sono sempre in cerca di nuove strade per ferire le reti aziendali. Nel 2021, secondo l’ultimo rapporto Clusit, i cyberattacchi sono aumentati del 10% rispetto all’anno precedente, distinguendosi per gravità e serietà degli impatti. Anche il 2022 si sta confermando un anno di forte pressione per le organizzazioni di ogni settore, con ripetute minacce ransomware, attacchi collaterali al conflitto in Ucraina e campagne di spear-phishing che sfruttano l’interesse per guerra e pandemia.
Con la continua evoluzione delle minacce informatiche, anche le strategie di sicurezza delle organizzazioni devono trasformarsi. Di fronte ad azioni sempre più sofisticate, spesso originate dai membri del dark web, la prevenzione da sola non è più sufficiente. La maggior parte degli attacchi vengono, infatti, bloccati dalle linee di difesa messe in campo dalle soluzioni tradizionali di cybersecurity, ma i criminali più avanzati e motivati sono oggi in grado di superarle e trovare nuove vie di ingresso.
La chiave è giocare d’anticipo, intercettando le mosse dell’avversario laddove vengono orchestrate, prima che ci sia l’occasione di metterle in atto. Le moderne soluzioni di Threat Intelligence sono oggi in grado di scandagliare il dark web alla ricerca di piani d’attacco e bloccare gli avversari prima che possano andare a segno.
Non basta più, infatti, il solo occhio umano. Oggi, le analisi di intelligence sono utilizzate per valutare in modo preventivo i rischi che incombono sulla propria organizzazione, offrendo una conoscenza basata su dati, contesti e meccanismi, al fine di indirizzare il processo decisionale di risposta a una minaccia incombente o in atto. Attraverso la consapevolezza e la comprensione dei pericoli, è possibile, infatti, introdurre contromisure che aiutino a mitigare i rischi, rendendoli accettabili per l’organizzazione stessa.
Applicare l’intelligence al Dark Web significa studiare i comportamenti degli avversari che si nascondono negli anfratti più profondi della rete. Un luogo digitale fatto di decine di migliaia di indirizzi URL non indicizzati, dove si ritrovano le community e i collettivi dediti ad attività illecite, online e offline. È lì che è possibile rinvenire, mimetizzandosi tra gli habitué dei domini .onion, informazioni preziose sulle minacce e sui potenziali target, altrimenti non accessibili attraverso ricerche convenzionali.
Una volta infiltratisi in queste comunità sotterranee, la mole di conversazioni da controllare, filtrare e setacciare è enorme. La Threat Intelligence applicata a questo ambito di indagine permette di avere accesso a informazioni strategiche sulle intenzioni dei cyber criminali e calcolare così il rischio potenziale o imminente di un attacco. Proprio perché consente di intercettare gli attacchi in una fase anticipata, permette anche di adottare strumenti di difesa specifici e individuare eventuali punti deboli all’interno della rete aziendale.
L’intelligenza artificiale (AI) si è dimostrata una preziosa alleata in questo tipo di rilevazione. È infatti in grado di individuare in tempo reale segnali precoci di un accesso o un movimento così come studiato nei piani degli attaccanti, scalando anche le dimensioni di infrastrutture complesse. Monitorare costantemente la rete, soprattutto nella sua dimensione dark, aiuta a stare sempre un passo avanti rispetto ai potenziali attacchi.
L’obiettivo della ricerca è fornire agli analisti un’informazione contestualizzata, tempestiva e accurata. Deve trattarsi anche di qualcosa di “azionabile”, cioè tale da permettere di anticipare in modo proattivo l’identificazione delle minacce all’interno della propria organizzazione. Solo così l’intelligence si trasforma in un vantaggio competitivo sui cybercriminali, utile alla difesa dell’azienda.
Le minacce odierne, proprio perché in continua evoluzione, impongono un ripensamento di strategie e tecnologie di difesa. I sistemi tradizionali adottati dalla maggior parte delle aziende, quali SOC, AML, Anti-Fraud & Internal Control System, sono spesso molto incentrati sulla reazione agli eventi già verificatisi. Devono invece evolvere verso un modello fondato sull’intelligenza artificiale e la Threat Intelligence, che utilizzi fonti diversificate, esterne e interne, per rendere più efficace l’attività di ricerca e identificazione delle minacce.