.
Conoscere i rischi e analizzare le debolezze della propria rete è un lavoro continuativo e costante. Ma le minacce non riguardano solo gli attacchi diretti. Raccogliendo le informazioni da diverse fonti in modo proattivo è possibile conoscere in anticipo le possibili minacce e prendere provvedimenti in modo tempestivo. La Threat Intelligence è il ramo della sicurezza informatica che si occupa proprio di indagare, soprattutto da fonti esterne, per conoscere in anticipo i rischi per la sicurezza che si stanno concretizzando, ma anche per conoscere e arginare le minacce che sono in atto nei confronti di una azienda senza un intervento diretto sulla rete e sul perimetro aziendali.
Internet è uno spazio virtuale in cui operano realtà malicious di varia natura (opportunisti, cybercriminali, attivisti, gruppi sponsorizzati da governi, ecc.). Molte organizzazioni sono cieche nei confronti di queste minacce esterne finché un attacco non è in corso, ad esempio di phishing massivo o mirato, o finché non si verifica un data breach e sono esposte online credenziali o dati personali.
Il compito della Threat Intelligence è soprattutto quello di andare oltre la logica della remediation.
L’attenzione infatti non si deve rivolgere solo ad attacchi diretti. Possiamo considerare minacce anche opportuni schemi di frode attuati con successo o anche ad azioni di danneggiamento del proprio brand. Si pensi ad esempio a pagine social non ufficiali usate per veicolare messaggi ingannevoli o mobile app simili alle proprie su store alternativi.
Questi attori non operano solo sul web indicizzato dai motori di ricerca, definito clear, per esempio blog o social media, ma anche sul Deep Web o sul Dark Web: facciamo riferimento ai numerosi paste site, forum underground, black marketplace o a quanto comunicato tramite reti Tor, peer-to-peer, chat cifrate o sistemi di anonimizzazione.
Come funziona la Threat Intelligence
Diventa quindi fondamentale monitorare il profilo di rischio legato alla propria presenza su Internet, sondando, aggregando e analizzando le segnalazioni che provengono da questa pluralità di fonti: questa è ciò che si definisce come Threat Intelligence.
Affinché questa attività di Cyber Intelligence sia efficace, è necessario che soddisfi alcuni requisiti principali. In particolare deve essere:
- esaustiva, per poter indirizzare tutti i principali vettori di attacco;
- costante nel tempo;
- automatizzabile: la mole di dati da gestire è elevata ed è necessario filtrare il più possibile falsi positivi o indizi inutili per mantenere i security analyst concentrati su ciò che costituisce un concreto pericolo per la propria organizzazione.
Va da sé che un monitoring realizzato internamente in grado di soddisfare i requisiti essenziali appena citati, è decisamente dispendioso in termini di risorse (competenze e tempo uomo) e di investimento tecnologico.
Come avviene la Threat Intelligence
CryptoNet Labs supporta le realtà che vogliono implementare con successo il processo di Threat Intelligence, ed eroga servizi gestiti dedicati, tramite la piattaforma all-in-one IntSights: la sua finalità è fornire tutti gli elementi utili per individuare, comprendere e intervenire sugli attacchi di cybersecurity compiuti da minacce esterne operanti su Internet.
I cardini della soluzione IntSights sono:
- Il controllo dell’impronta digitale dell’organizzazione. Malintenzionati e cybercriminali necessitano e devono fare riferimento nelle loro comunicazioni ad alcuni asset specifici, quali i nomi di dominio, gli indirizzi IP pubblici, i brand, i nomi e gli indirizzi email delle figure VIP, e altro ancora.
Conoscere questi asset e utilizzarli come chiave di ricerca è il punto di partenza di qualsiasi azione di security intelligence.
- L’estensione dell’attività di controllo. La stessa minaccia può lasciare tracce in differenti posti. Monitorare il più ampio insieme di fonti, per tipologia, quantità e posizionamento, diventa quindi indispensabile per cogliere il minimo segnale sospetto. In particolare, è indispensabile includere nel monitoraggio anche le zone al di fuori della Internet pubblica (reti autogestite, Deep Web, Dark Web) perché proprio in queste, a causa della scarsa regolamentazione e dello scarso controllo, proliferano le attività illecite.
- L’automazione. Con le keyword più significative è possibile andare a scandagliare il web in modo proficuo, 24 ore al giorno, 7 giorni su 7. Come sappiamo infatti è impensabile analizzare quanto pubblicato nel dark web solo con attività manuali.
- L’approfondimento e la valutazione dei diversi allarmi, che solo uno specialista in carne e ossa può compiere. CryptoNet Labs e IntSights assegnano un analista del proprio team, con competenze e skill adeguate, per le fasi di indagine e per le azioni di remediation.
Tramite la piattaforma è possibile infatti avviare azioni di takedown di un sito di phishing, operare acquisti di credenziali sul black market o altro ancora.
In questo modo è possibile trasformare numerose segnalazioni di intelligence in decisione informate e applicare opportune strategie di mitigazione del rischio e di risposta.
Chi ne può beneficiare
Tutte le organizzazioni, indipendentemente dalle proprie dimensioni, che espongono su Internet servizi critici per il proprio business o che trattano dati sensibili possono beneficiare dei servizi di threat intelligence, per presidiare la problematica delle minacce esterne, ottimizzando le risorse destinate alla gestione e fruendo di un servizio chiavi in mano.