Secondo le rilevazioni di IBM, il costo medio di un data breach non solo ha quasi raggiunto i 4,5 milioni di dollari, ma è cresciuto del 15% negli ultimi 3 anni. Poter contare su una strategia efficace di cyber security è fondamentale per tutte le aziende che vogliono tutelare la propria operatività e i propri dati da minacce in continua evoluzione.
Una strategia di cyber security moderna è un insieme interconnesso di processi, attività, strumenti, ruoli e best practice. Nel segmento degli strumenti, emerge con sempre maggiore rilevanza la cyber threat intelligence.
L’espressione cyber threat intelligence (CTI) descrive un insieme di informazioni, o meglio la pratica di raccogliere, analizzare e interpretare dati sulle minacce informatiche (attuali) al fine di comprendere meglio i rischi informatici cui l’azienda è soggetta, a volte anche in maniera indiretta attraverso componenti della propria catena del valore.
La cyber threat intelligence è centrale per le aziende proprio perché le minacce evolvono con enorme velocità e conoscerle fa la differenza tra un’azienda resiliente a una che dovrà pagare le conseguenze di un data breach. Il suo scopo è quindi principalmente preventivo, ma può anche aiutare le aziende a rispondere al meglio ad un attacco in corso.
Lo sviluppo e l’aggiornamento continuo della cyber threat intelligence è responsabilità degli analisti di sicurezza, professionisti che combinano solide competenze tecniche con una visione strategica e una comprensione globale del panorama delle minacce informatiche. Il loro obiettivo è fornire ai CISO, ai CIO o direttamente agli specialisti del SOC delle informazioni attendibili, aggiornate e dettagliate sulle minacce incombenti, effettive o potenziali.
Esistono diversi tipi di CTI, a seconda dalla prospettiva di osservazione, degli stakeholder coinvolti e degli obiettivi fissati. In particolare, se ne riconosce una declinazione strategica, una tattica e una operativa.
La cyber threat intelligence strategica si occupa di fornire un quadro attendibile delle minacce di alto livello che possono condizionare l’operatività e la mission dell’azienda nel medio e lungo periodo. Ci si occupa, in particolare, delle conseguenze di eventi geopolitici, di grandi eventi globali, delle tendenze emergenti nel panorama delle minacce informatiche e delle azioni di attori statali e non. Questa forma di intelligence mira a informare le decisioni strategiche dell'azienda, consentendo di anticipare rischi potenziali.
Le cyber threat intelligence di livello tattico e operativo coinvolgono direttamente i professionisti della sicurezza, dal CISO agli specialisti del SOC. La CTI tattica, in particolare, si occupa di prevenzione e di risposta alle minacce concentrandosi sugli indicatori di compromissione (IoC), fondamentali per intercettare gli attacchi sul nascere, evitare i falsi positivi e rilevare le Advanced Persistent Threat (APT).
L’intelligence di tipo operativo, infine, si concentra soprattutto sulle tecniche, tattiche e procedure (TTP) adottate dai cyber criminali come le vulnerabilità, i comportamenti, le tipologie di ransomware per portare a termine i loro attacchi. In risposta alle informazioni elaborate dagli analisti di sicurezza, vengono definiti nuovi controlli ed eseguite azioni preventive mirate.
La CTI si sostanzia in un percorso personalizzato che ogni azienda intraprende per proteggersi dalle minacce e dai trend attuali della cyber security. Non c’è nulla di standardizzato: gli analisti, infatti, procedono come prima tappa a raccogliere i requisiti dei dirigenti aziendali e degli specialisti, formulando delle domande specifiche cui il processo di CTI dovrà fornire risposte adeguate.
La raccolta di dati e informazioni è senza dubbio la fase core del processo e si basa principalmente su dati non elaborati. Agli analisti spetta il compito di acquisirli e di eseguire una pipeline di normalizzazione, correlazione e analisi al fine di ottenere insight che rispondono alla domanda iniziale e che indirizzano le scelte successive, tecniche e/o strategiche.
Durante tutto il ciclo di vita della threat intelligence, vengono poi raccolti feedback e dati sull'efficacia delle informazioni sulle minacce e delle azioni adottate in risposta. Questi feedback vengono utilizzati per iterare e migliorare il processo nel tempo.
Infine, per quanto concerne le fonti, gli analisti dei security provider che compiono un lavoro di intelligence accurato si rivolgono solitamente a: