La Cyber Threat Intelligence ricopre un ruolo fondamentale in materia di prevenzione dai cyber attacchi.
Secondo il rapporto stilato da Clusit, infatti, nel corso del 2021 la percentuale di attacchi informatici è aumentata del 10% rispetto all’anno precedente. E questo trend sembra essere confermato anche per l’anno in corso.
Minacce ransomware, campagne di phishing, attacchi zero day: la pressione sui team esperti di sicurezza informatica cresce di giorno in giorno.
Difendersi e correre ai ripari in corsa non è più la sola contromossa da adottare.
Visto il costante e sempre crescente flusso di minacce informatiche, gli esperti di cyber security devono necessariamente giocare d’anticipo.
La metafora è quella di una partita a scacchi: per vincere non basta sapersi difendere, ma saper prevenire le mosse dell’avversario.
Ma in cosa consiste l’attività di Threat Intelligence e come si sviluppa? Quali sono gli ambienti web che vengono presidiati? E quanto è importante per le aziende monitorare costantemente la rete e il dark web?
In questo articolo approfondiremo il concetto di Cyber Threat Intelligence e la sua fondamentale importanza nel processo di decision making in ambito sicurezza di infrastrutture e sistemi informatici.
Sommario
Il concetto di Cyber Threat Intelligence è fortemente legato a un progetto strategico di prevenzione del rischio informatico.
Si tratta, in sostanza, di studiare comportamenti e nuove frontiere dell’hacking per poter stilare un piano di difesa proattivo contro nuove potenziali minacce.
In generale, chi si occupa di Cyber Threat Intelligence è alla costante ricerca
- di minacce da scoprire
- e di vulnerabilità della rete da risanare
Più di duecentomila nuovi prototipi di malware ogni giorno non possono certo essere lasciati al caso.
Non è più tempo di agire mettendo solamente in pratica azioni difensive in risposta ad eventuali attacchi hacker, ma si rivela sempre più necessario prevenire e andare a scovare potenziali nuovi pericoli: il tutto monitorando costantemente l’attività dei criminali informatici.
In tal senso gli esperti di Threat Intelligence hanno il compito di raccogliere più informazioni possibili riguardo:
- le intenzioni degli hacker
- le reali capacità di violare la sicurezza di infrastrutture e sistemi informatici
- il codice malware
- l’infrastruttura da monitorare e difendere
Il modus operandi prevede, quindi,
- una prima fase di raccolta di informazioni
- cui fanno seguito analisi dettagliate
- e l’elaborazione di un report finale che metta in luce tanto i rischi quanto le possibili soluzioni.
In generale, quindi, il ciclo di vita in cui si sviluppa una procedura di Cyber Threat Intelligence prevede i seguenti step:
- pianificazione degli obiettivi
- raccolta dati per capire se una minaccia ha compromesso un sistema (ad attacco avvenuto) o per capire se un sistema è sotto attacco
- elaborazione dei dati raccolti
- analisi dei dati per capire se la violazione si è concretizzata
- disseminazione, ovvero invio di informazioni ai vari canali aziendali quando una minaccia viene scoperta
- feedback finale per capire se tutti gli obiettivi siano stati raggiunti
L’esecuzione di attività di Cyber Threat Intelligence si esplica secondo tre modalità:
- Strategica
- Operativa
- Tattica
La Threat Intelligence Strategica si rivolge a un pubblico non specialistico, solitamente consigli di amministrazione aziendali.
Si concentra sulla contestualizzazione e valutazione del profilo di un potenziale hacker, attraverso l’analisi di white papers e pubblicazioni giornalistiche o governative.
In sostanza ne viene tracciato un profilo per capire quale possa essere il motivo che lo spinge a colpire una determinata area o attività specifica in rete.
Diversa, invece, è la Threat Intelligence Operativa, che risponde a domande quali:
- come avviene un attacco
- dove si sviluppa
- quali strumenti vengono utilizzati
- e quali TTP (tattiche, tecniche e procedure) vengono impiegate dagli hacker.
Gli esperti sono così in grado di tracciare i contorni di una potenziale minaccia informatica ancora non nota.
Infine, la Therat Intelligence Tattica, di profilo più tecnico, è circoscritta ad un determinato evento di sicurezza.
Si concentra su un malware o su un attacco tramite riferimento a specifici Indicatori di Compromissione (IOC). Tra questi:
- traffico sospetto
- domini o indirizzi IP pericolosi
- o anomalie nelle richieste di file o download.
Monitorare e presidiare il web è fondamentale per intercettare sul nascere eventuali minacce.
In tal senso, dati e informazioni vengono solitamente raccolti in luoghi d’incontro e di scambio di comunicazioni tra gli hacker:
- forum di hacking specializzati
- dark web
- chat
- e marketplace, il più delle volte illegali e clandestini.
Presidiare questi ambienti è strategicamente imprescindibile per intercettare quelle informazioni decisive atte a salvaguardare la rete e i sistemi informatici da proteggere.
Una volta intercettata la nuova tipologia di attacco negli ambienti in cui gli hacker si scambiano comunicazioni, è importante attivarsi tempestivamente per evitare un pericolo imminente ai propri sistemi informatici.
In questa fase è fondamentale la cooperazione tra il team di sicurezza informatica e gli sviluppatori software, cosi da permettere a questi ultimi di intervenire e correggere le vulnerabilità che potrebbero essere sfruttate dagli attaccanti.
Il fattore tempo, quindi, svolge un ruolo essenziale per evitare che la minaccia si tramuti in un attacco vero e proprio.
Infatti, nel momento in cui dovesse essere pubblicato un Proof of Concept (PoC), ovvero un codice che riesca a sfruttare la falla di sicurezza per compromettere il software o il dispositivo, ci si troverebbe di fronte a una minaccia reale e concreta.
In questo caso, se il team di Cyber Threat Intelligence dovesse riuscire a individuare tempestivamente il PoC su chat o forum clandestini, potrebbe prevenire un eventuale attacco informatico e salvaguardare l’infrastruttura stessa.
Gli esperti di Cyber Threat Intelligence agiscono come agenti sotto copertura per potersi infiltrare in questi ambienti in cui vengono diffusi e scambiati nuovi malware e strumentazione hacker.
Attraverso questa tecnica è inoltre possibile conoscere nuove potenziali vittime verso le quali verranno indirizzati i cyberattacchi.
Intercettando, quindi, una minaccia in una fase ancora embrionale è possibile mettere a punto una difesa solida e di individuare quali possono essere le falle da monitorare.
In questo contesto,
- la ricerca
- e la capacità di presidiare il dark web
risultano essere fondamentali per fornire informazioni aggiornate e in tempo reale a chi si occuperà di correggere l’eventuale vulnerabilità.
I vantaggi che ne derivano da una corretta applicazione di analisi di Cyber Threat Intelligence possono essere riassunti nei seguenti punti:
- riduzione dei costi e dei rischi
- preservazione di riservatezza e integrità dei dati.
La Cyber Threat Intelligence rientra tra le attività fondamentali da svolgere per
- monitorare la rete aziendale
- capire se questa è sotto attacco
- e individuare eventuali vulnerabilità da correggere.
Per poter prevenire un’eventuale minaccia informatica all’infrastruttura di un’azienda, è importante affidarsi a un team di Cyber Threat Intelligence non solo in ottica difensiva ma soprattutto per anticipare eventuali attacchi e risanare la vulnerabilità.
In quest’ottica, è altresì importante formare il personale interno e renderlo edotto sulle possibili minacce che potrebbero presentarsi.
Cyberment Srl
Cyberment è un’azienda specializzata in consulenza di sicurezza informatica. Il nostro red team è composto da hacker etici e specialisti in cybersecurity che operano in questo settore da oltre 20 anni.
Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.
Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica. Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.
Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!
- Autore articolo
- Gli ultimi articoli
Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.