.

Come proteggersi in modo proattivo dal ``nemico``
HOME / DEFENSIVE SECURITY

Threat Intelligence

Internet è uno spazio virtuale in cui operano realtà “malicious” (opportunisti, cybercriminali, attivisti, gruppi sponsorizzati da governi, ecc.). Molte organizzazioni sono cieche nei confronti di queste minacce esterne finché un attacco non è in corso, ad esempio di phishing massivo o mirato, o finché non si verifica un data breach e sono esposte online credenziali o dati personali.
L’attenzione non si deve rivolgere solo ad attacchi diretti: minacce possono essere opportuni schemi di frode attuati con successo o anche ad azioni di danneggiamento del proprio brand. Si pensi ad esempio a pagine social non ufficiali usate per veicolare messaggi ingannevoli o mobile app simili alle proprie su store alternativi.
Questi attori non operano solo sul web indicizzato dai motori di ricerca, definito “clear” (ad es. blog o social media), ma anche sul deep o dark web: facciamo riferimento ai numerosi paste site, forum underground, black marketplace o a quanto comunicato tramite reti Tor, peer-to-peer, chat cifrate o sistemi di anonimizzazione.

Diventa quindi fondamentale monitorare il profilo di rischio legato alla propria presenza su Internet, sondando, aggregando e analizzando le segnalazioni che provengono da questa pluralità di fonti: questa è ciò che si definisce come Threat Intelligence.
Affinché questa attività di rilevazione, indagine e gestione sia efficace, è necessario che sia:

  • esaustivo, per poter indirizzare tutti i principali vettori di attacco;
  • costante, nel tempo;
  • automatizzabile, infatti la mole di dati da gestire è elevata ed è necessario filtrare il più possibile falsi positivi o indizi inutili per mantenere i security analyst concentrati su ciò che costituisce un concreto pericolo per la propria organizzazione.

Va da sé che un monitoring “fatto in casa”, che abbia i requisiti essenziali appena citati, è decisamente dispendioso in termini di risorse (competenze e tempo uomo) e di investimento tecnologico.

CryptoNet Labs supporta le realtà che vogliono implementare con successo il processo di Threat Intelligence, ed eroga servizi gestiti dedicati, tramite la piattaforma all-in-one IntSights: la sua finalità è fornire tutti gli elementi utili per individuare, comprendere e intervenire sugli attacchi di cybersecurity compiuti da minacce esterne operanti su Internet.

I cardini della soluzione IntSights sono:

  • Il controllo dell’impronta digitale dell’organizzazione. I criminali cyber necessitano e devono fare riferimento nelle loro comunicazioni ad alcuni asset specifici, quali i nomi di dominio, gli indirizzi IP pubblici, i brand, i nomi e gli indirizzi email delle figure VIP, e altro ancora. Conoscere questi asset e utilizzarli come chiave di ricerca è il punto di partenza di qualsiasi azione di intelligence.
  •  L’estensione. La stessa minaccia può lasciare tracce in differenti posti. Monitorare il più ampio insieme di fonti, per tipologia e per numerosità, diventa quindi indispensabile per cogliere il minimo segnale sospetto.
  • L’automazione. Con le keyword più significative è allora possibile andare a scandagliare il web in modo proficuo, 24×7; è impensabile analizzare quanto pubblicato nel dark web solo con attività manuali.
  • L’approfondimento e la valutazione dei diversi allarmi, che solo uno specialista in “carne e ossa” può compiere. IntSights assegna un analista del proprio team, con adeguati skill, per le fasi di indagine e per le azioni di remediation.

Tramite la piattaforma è possibile infatti avviare azioni di takedown di un sito di phishing, operare acquisti di credenziali per toglierle dal black market o altro ancora.

In questo modo è possibile trasformare numerose segnalazioni di intelligence in decisione informate e applicare opportune strategie di mitigazione del rischio e di risposta.

Destinatari
Tutte le organizzazioni, indipendentemente dalle proprie dimensioni, che espongono su Internete servizi critici per il proprio business o che trattano dati sensibili.

Benefici
Presidiare la problematica delle minacce esterne, ottimizzando le risorse destinate alla gestione e fruendo di un servizio chiavi in mano.