Blog

Scegli un threat intelligence software con queste 5 funzionalità

Pubblicato il da TEAM ISEC

Un threat intelligence software è una piattaforma che analizza i big data per rilevare tutte le minacce esistenti. Analizza anche le minacce dirette all’azienda e genera sistemi di allerta e di gestione dell’attacco. Tutto questo, deve essere fatto preferibilmente real time, perché nella protezione dell’hacking il fattore tempo è spesso preponderante.

La cyber threat intelligence sta diventando una branca della cybersecurity sempre più importante. La crescita del settore dipende dall’evolversi del contesto, delle minacce e dall’aumento del numero di attacchi,

Se non sai ancora di cosa si tratta, ti suggeriamo di leggere il nostro precedente articolo in cui parliamo proprio di questo.

Sebbene un threat intelligence service completo richieda anche l’intervento di operatori umani (nella fase di analisi, nella fase strategica e nel monitoraggio SOC), è altrettanto vero che servono dei security tools avanzati. Le piattaforme di threat intelligence devono svolgere infatti una serie di funzioni per poter dire che l’azienda è davvero protetta.

A nostro avviso, le caratteristiche principali che dovresti cercare in una cyber threat intelligence platform sono queste:

Ora le analizzeremo nel dettaglio. Alla fine dell’articolo, troverai anche un esempio di software consigliato dai nostri esperti: AlienVault USM.

Le top 5 funzioni del threat intelligence software

Scendendo nel dettaglio di queste 5 funzioni che riteniamo fondamentali, sarà anche più chiaro a cosa serve una piattaforma di threat intelligence.

1. L’analisi dei dati da più fonti

Oggi l’arsenale a disposizione degli hacker è molto vaso. Cosa più preoccupante, cresce a una velocità mai raggiunta prima. Così, rapidamente, arrivano nuove minacce, nuovi malware sconosciuti, nuove possibilità di attaccare le aziende.

Una cyber threat intelligence platform dovrebbe quindi essere in grado di analizzare dati aggiornati real time e provenienti da più data sources. L’obiettivo è quello di avere sempre una protezione aggiornata, anche contro le minacce più recenti e misconosciute. I dati analizzati dovrebbero provenire da database globali, per avere una visione ampia della situazione corrente nel mondo del cybercrime, ai fini di prevenzione.

2. I data feed aggiornati

Gestire così tante informazioni, richiede un management intelligente dei dati. Per questo, la capacità di aggiornare i data feed in maniera ordinata e funzionale è la seconda caratteristica top che dovrebbe avere un software di threat intelligence.

In questa fase, il programma dovrebbe svolgere le seguenti operazioni:

  • acquisire i dati dalle varie data sources e in diversi formati;
  • eliminare i duplicati;
  • aggiornare il data feed, per avere sotto controllo tutta la lista delle minacce possibili;
  • ridurre il rischio di falsi positivi.

3. La personalizzazione

Una delle cose che la maggior parte dei cittadini europei ha imparato con il GDPR è che la prevenzione del rischio deve essere adeguata alle esigenze del singolo caso. Significa semplicemente che l’ideale è avere una protezione attiva 24/7, con il miglior team SOC del pianeta all’opera e una serie di software di ultimissima generazioni che scandagliano database, reti IT e bloccano ogni minaccia.

Tuttavia, non tutte le aziende hanno questa capacità organizzativa ed economica e questo livello di protezione non è adeguato per tutti.

Di qui la terza caratteristica che dovresti cercare in un tool di threat intelligence: la possibilità di gestire le minacce in maniera personalizzata, per esempio attraverso pacchetti scalabili o software modulari. La forza di una strategia di intelligence non sta nella potenza degli strumenti, ma nella capacità di sceglierli in modo che contribuiscano al raggiungimento degli obiettivi.

4. Lo storico degli eventi e delle minacce

Non ci stancheremo mai di dire quanto è importante la componente umana nella sicurezza informatica. Questo assunto vale (molto) anche in materia di threat intelligence.

Proprio per questo motivo, è un bene che una piattaforma permette all’operatore umano di accedere alla lista degli eventi e delle minacce aggiornate e lo aiuti a ricavarne degli Insights.

Conoscendo i punti di vulnerabilità preferiti dagli hacker, è più facile mettere in pista soluzioni di mitigazione del rischio. In quest’ottica è fondamentale anche l’integrazione con strumenti che consentano di svolgere dei Vulnerability Assessment e di fare dei Penetration Test periodici.

5. La capacità operativa contro gli attacchi

Ultima caratteristica, ma decisamente cruciale: la capacità della cyber threat intelligence platform di monitorare le reti e bloccare gli attacchi.

In questo caso la cosa importante è che la piattaforma si integri facilmente con gli altri strumenti deputati a svolgere questo compito: threat detection, SIEM, antimalware, sistemi di monitoraggio ecc.

Di preferenza, il top è di poter gestire tutte queste attività da un’unica dashboard di controllo per consentire una gestione semplificata.

Le migliori threat intelligence platform per Gartner

Gartner® non provvede solo a creare ogni anno il Magic Quadrant™ con le piattaforme Leader, ma mette anche a disposizione una lista di peer reviews per ciascun prodotto esaminato.

Quali sono le migliori piattaforme di threat intelligence secondo queste recensioni?

Accedendo alla pagina, puoi filtrare le recensioni per threat intelligence platform vendors, o per numero di reviews, o per punteggio medio.

Questo ti aiuterà ad avere una panoramica dei software più quotati nel settore.

Uno strumento completo per la sicurezza informatica: AlienVault USM

Anche se non è direttamente considerata una piattaforma per la cyber threat intelligence, riteniamo che AlienVault USM sia uno strumento completo che permette una gestione unificata – e semplice – di tutti i task di sicurezza informatica.

Il software svolge 7 tipologie di operazioni:

  1. Scopre chi è collegato alla rete aziendale in ogni momento;
  2. Svolge Vulnerability Assessment sulla rete;
  3. Rileva intrusioni e attività sospette;
  4. Fa’ attività di monitoraggio comportamentale e individua i sistemi potenzialmente compromessi;
  5. Protegge gli EndPoint e risponde alle minacce;
  6. Analizza e correla gli eventi in tutta la rete e risponde, operando come tool SIEM e Log Management;
  7. Permette di compilare e scaricare la reportistica, anche per la compliance ai regolamenti.

C’è di più, dal punto di vista della threat intelligence.

AlienVault USM si appoggia a due sistemi di scambio di informazioni:

  1. AlienVault Labs Threat Intelligence, che mette a disposizione dei cyber security team delle aziende clienti tutte le informazioni su hacker, nuovi strumenti, metodi e infrastruttura preferite. Le informazioni sono sempre aggiornate e sono reperibili direttamente sulla piattaforma;
  2. Open Threat Exchange, che è il più grande repository del mondo in cui sono reperibili tutte le nuova minacce esistenti, in continuo aggiornamento.

Contattaci

Se hai bisogno di valutare come proteggere la tua azienda, entra in contatto con il nostro team. Valuteremo insieme i rischi che possono minacciare il tuo business.

Ho letto l‘informativa sulla privacy e fornisco il consenso esplicito al trattamento dei dati inseriti *