La cyber threat intelligence somiglia molto a una spy story di 007, ma giocata nel virtuale. Questo settore della sicurezza informatica aziendale è in costante crescita, perché lo scenario degli attacchi cyber è in evoluzione rapida e mutevole.
Chi si occupa di cyber e digital threat intelligence, studia le mosse degli hacker per capire da dove arriverà l’attacco e mette in allerta l’azienda e gli utenti per prevenire il danno.
Le aziende non possono fare a meno di questa sorta di hacking etico, condotto da operatori esperti e con software di threat intelligence sempre più evoluti. Antivirus, antimalware, sistemi di protezione degli EndPoint sono ancora indispensabili, ma non bastano.
Il gioco oggi è complesso e richiede metodologie e soluzioni altrettanto complesse e intelligenti. Basti pensare che nel Dark Web, la parte oscura e illegale di Internet, gli hacker possono acquistare software malevoli, dati, informazioni sulle vulnerabilità ecc. Questo fa del cybercrime un fenomeno economicamente interessante per gli utenti malintenzionati.
In questo articolo, dare dei consigli utili alle aziende per mettere le basi per una buona strategia in tre fasi, fornendo tips anche per la scelta dei software.
Cyber Threat Intelligence: una spy story quotidiana
Un esempio calzante è quello dei servizi segreti. La Cyber Threat Intelligence consiste nel pensare come un hacker, sapere cosa farebbe un hacker e dove può trovare le risorse di cui ha bisogno per sferrare gli attacchi. Ma non solo: è anche ricerca dei punti di vulnerabilità della rete di un’azienda.
Un caso frequente è quello in cui un’azienda, facendo cyber threat intelligence, si rende conto di avere un punto di vulnerabilità.
Non è raro avere notizie di grandi produttori o distributori di servizi informatici che comunicano l’esistenza di una vulnerabilità e forniscono agli utenti le linee guida per tutelarsi, mentre cercano di sistemare il codice.
Nel momento in cui l’azienda si rende conto del rischio, cerca immediatamente la soluzione. Per implementarla, tuttavia, ha quasi sempre bisogno di comunicarla ai propri utenti.
Questo è il momento di maggior tensione, perché quando la vulnerabilità è resa pubblica, anche gli hacker ne vengono a conoscenza.
Inizia una lotta contro il tempo tra gli attaccanti e l’azienda: i primi devono sferrare il loro attacco prima che il team di cyber security abbia riparato la vulnerabilità e che gli utenti abbiano aggiornato i sistemi.
C’è quindi una forte componente umana e strategica nella cyber threat intelligence, che richiede di avere le stesse skills degli hacker e di capirne le logiche per anticipare le mosse.
Questo significa anche conoscere il funzionamento del Dark Web che, come abbiamo detto, è un luogo oscuro del Web.
Guida alla digital threat intelligence in tre fasi
La cyber threat intelligence consta di una serie di operazioni che possiamo racchiudere in tre categorie:
- Analisi e valutazione del rischio;
- Operazioni per mitigare il rischio delle minacce informatiche;
- Monitoraggio.
Anche lo schema metodologico di ISEC si basa su queste tre fasi.
1. Dall’analisi alla strategia
La prima fase, di analisi e valutazione del rischio, consiste in una serie di attività come:
- mappare le informazioni dell’azienda presenti nel Web, nel Deep Web o (purtroppo accade spesso) nel Dark Web;
- individuare i punti di vulnerabilità dei perimetri informatici aziendali;
- effettuare penetration test per valutare la risposta dei sistemi di sicurezza;
- aggiornarsi costantemente sul panorama delle minacce informatiche e dei nuovi attacchi e malware in circolazione;
- svolgere attività di hacking etico per tutelare la sicurezza dell’azienda, dei dati dei dipendenti e di tutti gli utenti.
Una volta che sono state raccolte tutte queste informazioni, si mette a punto una strategia finalizzata a raggiungere degli obiettivi di sicurezza ritenuti cruciali.
Quindi, definiti obiettivi e strategia, si passa alla tattica: quali azioni servono per mitigare il rischio? Si raccolgono le idee e si pianificano le operazioni da svolgere e i tools da utilizzare.
2. Le operazioni di mitigazione e la scelta dei software
La seconda fase è quella operativa che permette appunto di mitigare il rischio.
Questo step si basa soprattutto su software di threat intelligence avanzati, che vengono scelti in base a caratteristiche specifiche.
Una piattaforma di qualità per la threat intelligence gestisce feed da più fonti, permette l’identificazione automatica delle minacce e genera subito le azioni necessarie a contenerli. Per questo è importante l’integrazione di altre funzionalità come la data analytics per la sicurezza, l’integrazione con SIEM, Firewall e sistemi di protezione e risposta degli EndPoint.
Il trend è sempre più quello di unificare queste features e di gestirle da un’unica dashboard per dare all’azienda una gestione semplificata di un fenomeno complesso come la cyber security.
Per scegliere è opportuno richiedere il supporto di un consulente esperto. Una prima cernita si può fare leggendo ad esempio le peer review proposte da Gartner per i prodotti di Security Threat Intelligence.
3. Il monitoraggio tra software e SOC fisici
La terza fase è quella di monitoraggio, in primis delle reti aziendali, dei punti vulnerabili, delle azioni degli utenti ecc.
Anche questo step richiede l’impiego di software di threat intelligence, tuttavia in alcuni casi può essere necessaria la presenza di operatori umani. In questo caso si parla di metodologia SOC: un Security Operation Center in cui i tecnici esperti monitorano in presenza le reti e le mosse di ogni utente.
Le aziende particolarmente strategiche o di grandi dimensioni, o che gestiscono dati cruciali per la collettività, scelgono frequentemente una soluzione SOC 24/7 per combinare il controllo dei software con quello umano.
Questo rende anche più rapidi i tempi di risposta in caso di attacco: come abbiamo già visto, la reattività in presenza della minaccia è davvero importante nella lotta contro gli hacker.
Il monitoraggio però include anche il controllo e l’aggiornamento dei trend in fatto di cyber crime, del modo di muoversi degli hacker ecc.
La nostra scelta: AlienVault USM di AT&T
Tra i nostri software preferiti per la Threat Detection c’è AlienVault Unified Security Management. Offre un’interessante protezione ed è un’alleato della cyber threat intelligence perché integra diverse funzioni di sicurezza (SIEM, monitoraggio comportamentale, vulnerability assessment ecc) con una gestione semplificata da una sola dashboard.