La prima regola per affrontare una minaccia è non farsi cogliere impreparati, conoscere ciò che si deve affrontare e avere tutti i mezzi per evitare o limitare i danni.
Ed è proprio questo ciò di cui si occupa la Cyber Threat Intelligence, un insieme di procedure fondamentali per garantire la sicurezza aziendale.
Indice dei contenuti
Cos’è la Cyber Threat Intelligence
La Cyber Threat Intelligence, o CTI, è una pratica che si basa sulla raccolta di informazioni utili per individuare e comprendere le possibili minacce alla sicurezza.
Segue delle logiche strutturate e include analisi e rielaborazione dei dati, con lo scopo di creare strategie preventive, sistemi di monitoraggio e tattiche di intervento.
Considerando la situazione attuale, infatti, dotarsi di una rete efficace di sistemi difensivi e di un buon piano di Business Continuity non basta più.
Bisogna ritenersi parte di una vera e propria guerra digitale e ragionare in termini di strategia, armi e controffensive.
Solo così è possibile analizzare realmente le minacce a cui l’azienda può andare incontro e affrontare gli attacchi in modo efficace e consapevole.
Per questo la CTI si rivela essere un elemento chiave per lavorare in serenità, diffondendosi sempre di più non solo nelle aziende di tutto il mondo, ma anche all’interno di organi istituzionali e organizzazioni importanti come NATO e FBI.
Perché la Cyber Threat Intelligence conviene?
La CTI è il nucleo centrale di qualsiasi piano di cyber security e permette di prevenire le minacce sulla base di informazioni concrete e reali.
Ma non solo: oltre a individuare i pericoli, la Cyber Threat Intelligence può comprendere le motivazioni e gli intenti che stanno alla base di tali attacchi e mettere in correlazione i dati raccolti. Li può poi inserire in un contesto specifico e trarre delle conclusioni fondamentali per proteggersi e capire quali sistemi difensivi adottare.
Con queste tecniche si possono affrontare anche gli hacker più abili e aggirare i sistemi di intrusione più all’avanguardia.
Sarà più difficile diventare bersagli di attacchi come i Data Breach e incorrere in indesiderate fughe di dati sensibili.
Esiste inoltre il CTI-EU forum, un evento a livello europeo che riunisce esperti, ricercatori e professionisti della Cyber Threat Intelligence, con lo scopo di condividere le proprie conoscenze, le tecniche più efficaci e le best practices per garantire sicurezza.
Creando un ambiente collaborativo e funzionale da cui possono trarre beneficio moltissime attività.
Cyber Threat Intelligence: com’è strutturata
La CIT segue una struttura precisa che può essere suddivisa in quattro step:
- Conoscenza: è la fase che più di tutte riprende il concetto di Intelligence.
Si raccolgono infatti informazioni strategiche inerenti alla propria attività, affidandosi a siti web, colleghi del settore e altre fonti pubbliche. S individuano quindi le potenziali minacce e le si ordina per urgenza e pertinenza. - Piano strategico: si delineano, nel concreto, le minacce a cui si può andare incontro. Individuando – per esempio – se è più probabile essere bersaglio di un attacco di tipo DDoS o un ransomware, e stabilendo gli obiettivi primari verso i quali concentrarsi.
- Tattiche di cyber sicurezza: a questo punto si stilano le vulnerabilità su cui potrebbe fare leva un hacker o malintenzionato, e si delineano tutti i comportamenti e sistemi difensivi utili per eliminare i punti deboli e contrastare gli attacchi.
- Monitoraggio della sicurezza: si stabiliscono delle azioni di routine per tenere sotto controllo costante la rete di sicurezza adottata.
Le tre fasi di analisi
Abbiamo detto che ciò che contraddistingue la Cyber Threat Intelligence è la raccolta delle informazioni, vero cuore di tutto il processo .
Queste informazioni vengono poi rielaborate per capire come utilizzarle in modo strategico a proprio vantaggio.
L’analisi che ne segue può essere suddivisa in tre differenti livelli, ognuno focalizzato su un diverso aspetto che compone un attacco.
Ecco quali sono:
- Intelligence a livello strategico: si individuano tutti gli elementi che potrebbero impedire all’azienda di raggiungere con successo i propri obiettivi.
Si parte quindi dall’analisi del business, del modo in cui opera e degli intenti che stanno alla base e si stilano gli Obiettivi Strategici.
Da qui si individuano gli attori che potrebbero avere un interesse a ostacolare tale azienda rappresentando un pericolo e si traccia il Profilo di Minaccia.
Per farlo l’azienda può compiere attività di analisi e/o affidarsi a fonti di informazioni pubbliche che offrono dati riguardanti le principali minacce per ogni tipologia di settore. - Intelligence a livello tattico: una volta che sono stati individuati i potenziali Profili di Minaccia, si analizzano le tecniche di attacco che potrebbero essere utilizzate. Queste tecniche prendono il nome di Superficie di Attacco e comprendono tecnologie, procedure, strumenti, servizi, politiche e molto altro. Si analizza quali è più probabile che vengano scelte e si identificano le contromisure più idonee ed efficaci.
- Intelligence a livello operativo: si valuta l’insieme dei sistemi difensivi di un’azienda e si delinea un quadro preciso e realistico sul livello di sicurezza che può garantire. Si considerano quindi strumenti specifici come antivirus e firewall, ma anche la normale operatività dei sistemi informatici aziendali. Si stila poi uno storico di tutti gli incidenti in cui già è stata coinvolta l’attività in passato e si valuta come attuare miglioramenti.
Grazie ai SIEM – soluzioni che combinano software e servizi – si riescono inoltre a mettere in correlazione eventi che, insieme, identificano pattern di attacco più sofisticati e coordinati.
Ha un ruolo decisivo anche il Machine Learning, che permette di implementare algoritmi per raccogliere più informazioni e con maggiore precisione.
CTI: prospettive per il futuro
Si stima che solo il 5,9% delle aziende non si affidi alla Cyber Threat Intelligence e ben il 40,95% delle aziende ha un programma in fase di maturazione che si sta impegnando a potenziare.
Dati che mettono in luce l’importanza che ha oggi questa pratica per far fronte alle insidie del mondo digitale.
Cosa bisogna aspettarsi, quindi, dal futuro?
La quantità di incidenti informatici è in drammatica crescita e, se si considerano anche i numerosi falsi allarmi o falsi positivi, è evidente quanto affidarsi alla CTI possa rivelarsi una soluzione sempre più vantaggiosa.
Grazie a queste tecniche, infatti, è possibile identificare ed eliminare i falsi positivi in modo rapido e facile, evitando a un’azienda di sprecare tempo ed energie per valutare se un problema effettivamente sussiste o no.
Inoltre permette di semplificare l’analisi degli incidenti e delle vulnerabilità, fornendo informazioni preziose ed accurate in tempi più brevi.
Può capire quali punti deboli costituiscono un reale pericolo e quali è improbabile che vengano presi di mira da hacker o malintenzionati. Un’analisi eseguita non solo sulla base di un esame della rete di sicurezza di un’azienda, ma prendendo in considerazione anche contesto, attori coinvolti e trend ricorrenti.
Infine è un’ottima soluzione per prevenire usi fraudolenti dei dati o del marchio: grazie a un’analisi della comunità hacker, infatti, se ne possono prevenire i comportamenti, aiutando a evitare rischi di questo tipo o frodi nei pagamenti.
Una prospettiva totalmente nuova per le aziende, che potranno anche contare sul nuovo ruolo che l’ENISA – l’Agenzia dell’Unione europea per la cyber sicurezza – ha acquisito tramite il Cyber Security Act, garantendo un ecosistema di collaborazione se supporto reciproco.
