Threat intelligence

La Cyber Threat Intelligence ricopre un ruolo fondamentale in materia di prevenzione dai cyber attacchi.

Secondo il rapporto stilato da Clusit, infatti, nel corso del 2021 la percentuale di attacchi informatici è aumentata del 10% rispetto all’anno precedente. E questo trend sembra essere confermato anche per l’anno in corso.

Minacce ransomware, campagne di phishing, attacchi zero day: la pressione sui team esperti di sicurezza informatica cresce di giorno in giorno.

Difendersi e correre ai ripari in corsa non è più la sola contromossa da adottare.

Visto il costante e sempre crescente flusso di minacce informatiche, gli esperti di cyber security devono necessariamente giocare d’anticipo.

La metafora è quella di una partita a scacchi: per vincere non basta sapersi difendere, ma saper prevenire le mosse dell’avversario.

Ma in cosa consiste l’attività di Threat Intelligence e come si sviluppa? Quali sono gli ambienti web che vengono presidiati? E quanto è importante per le aziende monitorare costantemente la rete e il dark web?

In questo articolo approfondiremo il concetto di Cyber Threat Intelligence e la sua fondamentale importanza nel processo di decision making in ambito sicurezza di infrastrutture e sistemi informatici.

Che cos’è la Cyber Threat Intelligence?

Il concetto di Cyber Threat Intelligence è fortemente legato a un progetto strategico di prevenzione del rischio informatico.

Si tratta, in sostanza, di studiare comportamenti e nuove frontiere dell’hacking per poter stilare un piano di difesa proattivo contro nuove potenziali minacce.

In generale, chi si occupa di Cyber Threat Intelligence è alla costante ricerca

Più di duecentomila nuovi prototipi di malware ogni giorno non possono certo essere lasciati al caso.

Non è più tempo di agire mettendo solamente in pratica azioni difensive in risposta ad eventuali attacchi hacker, ma si rivela sempre più necessario prevenire e andare a scovare potenziali nuovi pericoli: il tutto monitorando costantemente l’attività dei criminali informatici.

In tal senso gli esperti di Threat Intelligence hanno il compito di raccogliere più informazioni possibili riguardo:

  • le intenzioni degli hacker
  • le reali capacità di violare la sicurezza di infrastrutture e sistemi informatici
  • il codice malware
  • l’infrastruttura da monitorare e difendere

Il modus operandi prevede, quindi,

  • una prima fase di raccolta di informazioni 
  • cui  fanno seguito analisi dettagliate
  • e l’elaborazione di un report finale che metta in luce tanto i rischi quanto le possibili soluzioni.

In generale, quindi, il ciclo di vita in cui si sviluppa una procedura di Cyber Threat Intelligence prevede i seguenti step:

  • pianificazione degli obiettivi
  • raccolta dati per capire se una minaccia ha compromesso un sistema (ad attacco avvenuto) o per capire se un sistema è sotto attacco
  • elaborazione dei dati raccolti
  • analisi dei dati per capire se la violazione si è concretizzata
  • disseminazione, ovvero invio di informazioni ai vari canali aziendali quando una minaccia viene scoperta
  • feedback finale per capire se tutti gli obiettivi siano stati raggiunti

Le tre tipologie di Cyber Threat Intelligence

L’esecuzione di attività di Cyber Threat Intelligence si esplica secondo tre modalità:

  • Strategica
  • Operativa
  • Tattica

La Threat Intelligence Strategica si rivolge a un pubblico non specialistico, solitamente consigli di amministrazione aziendali.

Si concentra sulla contestualizzazione e valutazione del profilo di un potenziale hacker, attraverso l’analisi di white papers e pubblicazioni giornalistiche o governative.

In sostanza ne viene tracciato un profilo per capire quale possa essere il motivo che lo spinge a colpire una determinata area o attività specifica in rete.

Diversa, invece, è la Threat Intelligence Operativa, che risponde a domande quali:

  • come avviene un attacco
  • dove si sviluppa
  • quali strumenti vengono utilizzati
  • e quali TTP (tattiche, tecniche e procedure) vengono impiegate dagli hacker.

Gli esperti sono così in grado di tracciare i contorni di una potenziale minaccia informatica ancora non nota.

Infine, la Therat Intelligence Tattica, di profilo più tecnico,  è circoscritta ad un determinato evento di sicurezza.

Si concentra su un malware o su un attacco tramite riferimento a specifici Indicatori di Compromissione (IOC). Tra questi:

  • traffico sospetto
  • domini o indirizzi IP pericolosi
  • o anomalie nelle richieste di file o download.

In che modo operano gli esperti di Threat Intelligence

Monitorare e presidiare il web è fondamentale per intercettare sul nascere eventuali minacce.

In tal senso, dati e informazioni vengono solitamente raccolti in luoghi d’incontro e di scambio di comunicazioni tra gli hacker:

  • forum di hacking specializzati
  • dark web
  • chat
  • e marketplace, il più delle volte illegali e clandestini.

Presidiare questi ambienti è strategicamente imprescindibile per intercettare quelle informazioni decisive atte a salvaguardare la rete e i sistemi informatici da proteggere.

Una volta intercettata la nuova tipologia di attacco negli ambienti in cui gli hacker si scambiano comunicazioni, è importante attivarsi tempestivamente per evitare un pericolo imminente ai propri sistemi informatici.

In questa fase è fondamentale la cooperazione tra il team di sicurezza informatica e gli sviluppatori software, cosi da permettere a questi ultimi di intervenire e correggere le vulnerabilità che potrebbero essere sfruttate dagli attaccanti.

Il fattore tempo, quindi, svolge un ruolo essenziale per evitare che la minaccia si tramuti in un attacco vero e proprio.

Infatti, nel momento in cui dovesse essere pubblicato un Proof of Concept (PoC), ovvero un codice che riesca a sfruttare la falla di sicurezza per compromettere il software o il dispositivo, ci si troverebbe di fronte a una minaccia reale e concreta.

In questo caso, se il team di Cyber Threat Intelligence dovesse riuscire a individuare tempestivamente il PoC su chat o forum clandestini, potrebbe prevenire un eventuale attacco informatico e salvaguardare l’infrastruttura stessa.

Quanto è importante prevenire le mosse degli hacker

Gli esperti di Cyber Threat Intelligence agiscono come agenti sotto copertura per potersi infiltrare in questi ambienti in cui vengono diffusi e scambiati nuovi malware e strumentazione hacker.

Attraverso questa tecnica è inoltre possibile conoscere nuove potenziali vittime verso le quali verranno indirizzati i cyberattacchi.

Intercettando, quindi, una minaccia in una fase ancora embrionale è possibile mettere a punto una difesa solida e di individuare quali possono essere le falle da monitorare.

In questo contesto,

  • la ricerca
  • e la capacità di presidiare il dark web

risultano essere fondamentali per fornire informazioni aggiornate e in tempo reale a chi si occuperà di correggere l’eventuale vulnerabilità.

I vantaggi che ne derivano da una corretta applicazione di analisi di Cyber Threat Intelligence possono essere riassunti nei seguenti punti:

  • riduzione dei costi e dei rischi
  • preservazione di riservatezza e integrità dei dati.

Conclusioni

La Cyber Threat Intelligence rientra tra le attività fondamentali da svolgere per

  • monitorare la rete aziendale
  • capire se questa è sotto attacco
  • e individuare eventuali vulnerabilità da correggere.

Per poter prevenire un’eventuale minaccia informatica all’infrastruttura di un’azienda, è importante affidarsi a un team di Cyber Threat Intelligence non solo in ottica difensiva ma soprattutto per anticipare eventuali attacchi e risanare la vulnerabilità.

In quest’ottica, è altresì importante formare il personale interno e renderlo edotto sulle possibili minacce che potrebbero presentarsi.

Cyberment

Cyberment è un’azienda specializzata in consulenza di sicurezza informatica da oltre 20 anni.

Il nostro red team è composto da hacker etici e esperti specialisti in cybersecurity.

Ci occupiamo di identificare le vulnerabilità informatiche nei sistemi e nelle applicazioni web tramite servizi di Vulnerability Assessment e Penetration Test.

Siamo un’azienda di sicurezza informatica certificata ISO 9001, ISO 27001, nonché azienda etica.
Abbiamo sede legale a Milano e sede operativa a Porto Mantovano, mentre Londra è il cuore del nostro reparto ricerca e sviluppo.

Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci!