Secondo le rilevazioni di IBM, il costo medio di un data breach non solo ha quasi raggiunto i 4,5 milioni di dollari, ma è cresciuto del 15% negli ultimi 3 anni. Poter contare su una strategia efficace di cyber security è fondamentale per tutte le aziende che vogliono tutelare la propria operatività e i propri dati da minacce in continua evoluzione.
Una strategia di cyber security moderna è un insieme interconnesso di processi, attività, strumenti, ruoli e best practice. Nel segmento degli strumenti, emerge con sempre maggiore rilevanza la cyber threat intelligence.
L’evoluzione repentina delle minacce cyber
L’espressione cyber threat intelligence (CTI) descrive un insieme di informazioni, o meglio la pratica di raccogliere, analizzare e interpretare dati sulle minacce informatiche (attuali) al fine di comprendere meglio i rischi informatici cui l’azienda è soggetta, a volte anche in maniera indiretta attraverso componenti della propria catena del valore.
La cyber threat intelligence è centrale per le aziende proprio perché le minacce evolvono con enorme velocità e conoscerle fa la differenza tra un’azienda resiliente a una che dovrà pagare le conseguenze di un data breach. Il suo scopo è quindi principalmente preventivo, ma può anche aiutare le aziende a rispondere al meglio ad un attacco in corso.
Lo sviluppo e l’aggiornamento continuo della cyber threat intelligence è responsabilità degli analisti di sicurezza, professionisti che combinano solide competenze tecniche con una visione strategica e una comprensione globale del panorama delle minacce informatiche. Il loro obiettivo è fornire ai CISO, ai CIO o direttamente agli specialisti del SOC delle informazioni attendibili, aggiornate e dettagliate sulle minacce incombenti, effettive o potenziali.
Diversi tipi di cyber threat intelligence
Esistono diversi tipi di CTI, a seconda dalla prospettiva di osservazione, degli stakeholder coinvolti e degli obiettivi fissati. In particolare, se ne riconosce una declinazione strategica, una tattica e una operativa.
Cyber intelligence strategica
La cyber threat intelligence strategica si occupa di fornire un quadro attendibile delle minacce di alto livello che possono condizionare l’operatività e la mission dell’azienda nel medio e lungo periodo. Ci si occupa, in particolare, delle conseguenze di eventi geopolitici, di grandi eventi globali, delle tendenze emergenti nel panorama delle minacce informatiche e delle azioni di attori statali e non. Questa forma di intelligence mira a informare le decisioni strategiche dell'azienda, consentendo di anticipare rischi potenziali.
Cyber intelligence tattica e operativa
Le cyber threat intelligence di livello tattico e operativo coinvolgono direttamente i professionisti della sicurezza, dal CISO agli specialisti del SOC. La CTI tattica, in particolare, si occupa di prevenzione e di risposta alle minacce concentrandosi sugli indicatori di compromissione (IoC), fondamentali per intercettare gli attacchi sul nascere, evitare i falsi positivi e rilevare le Advanced Persistent Threat (APT).
L’intelligence di tipo operativo, infine, si concentra soprattutto sulle tecniche, tattiche e procedure (TTP) adottate dai cyber criminali come le vulnerabilità, i comportamenti, le tipologie di ransomware per portare a termine i loro attacchi. In risposta alle informazioni elaborate dagli analisti di sicurezza, vengono definiti nuovi controlli ed eseguite azioni preventive mirate.
Come funziona la cyber threat intelligence
La CTI si sostanzia in un percorso personalizzato che ogni azienda intraprende per proteggersi dalle minacce e dai trend attuali della cyber security. Non c’è nulla di standardizzato: gli analisti, infatti, procedono come prima tappa a raccogliere i requisiti dei dirigenti aziendali e degli specialisti, formulando delle domande specifiche cui il processo di CTI dovrà fornire risposte adeguate.
La raccolta di dati e informazioni è senza dubbio la fase core del processo e si basa principalmente su dati non elaborati. Agli analisti spetta il compito di acquisirli e di eseguire una pipeline di normalizzazione, correlazione e analisi al fine di ottenere insight che rispondono alla domanda iniziale e che indirizzano le scelte successive, tecniche e/o strategiche.
Durante tutto il ciclo di vita della threat intelligence, vengono poi raccolti feedback e dati sull'efficacia delle informazioni sulle minacce e delle azioni adottate in risposta. Questi feedback vengono utilizzati per iterare e migliorare il processo nel tempo.
Infine, per quanto concerne le fonti, gli analisti dei security provider che compiono un lavoro di intelligence accurato si rivolgono solitamente a:
- feed di threat intelligence, commerciali o open source, che forniscono feed relativi a IOC (indicatori di compromissione), TTPS (Tattiche, tecniche e procedure), vulnerabilità, zero day, nuovi exploit;
- community di analisti e forum verticali, solitamente segmentati per settore industriale;
- contenuti nel dark web e deep web, analisi delle informazioni pubblicati dagli attaccanti in relazione ad attacchi in corso, attacchi già avvenuti e data breach;
- post sui social network e sul clear web pubblicati da dipendenti, terze parti o competitor al fine di ledere la reputazione del brand;
- report di sicurezza pubblicati da organizzazioni governative nazionali, europee e internazionali;
- segnalazioni di sicurezza pubblicate da CERT (Computer Emergency Response Team) e CSIRT (Computer Security Incident Response Team) nazionali, europei e internazionali;
- dati di logging e monitoring interni dell'organizzazione.
