La threat intelligence - detta anche 'CTI' (cyber threat intelligence) o 'threat intel' - consiste in dati contenenti informazioni dettagliate sulle minacce alla sicurezza informatica che prendono di mira un'organizzazione. La threat intelligence aiuta i team di sicurezza a essere più proattivi, consentendo loro di intraprendere azioni efficaci e basate sui dati per prevenire gli attacchi informatici prima che si verifichino. Può anche aiutare un'organizzazione a rilevare e rispondere meglio agli attacchi in corso.
Gli analisti della sicurezza creano la threat intelligence raccogliendo informazioni non elaborate sulle minacce e correlate alla sicurezza da molteplici fonti, procedendo quindi a correlare e analizzare i dati per scoprire tendenze, schermi e relazioni che forniscono una comprensione approfondita delle minacce effettive o potenziali. Le informazioni che ne derivano sono
- Specifiche per l'organizzazione, focalizzate non su informazioni generiche (ad es. elenchi di ceppi di malware comuni) ma sulle specifiche vulnerabilità nella superficie di attacco dell'organizzazione, sugli attacchi che consentono e sugli asset che espongono
- Dettagliate e contestuali, coprendo non solo le minacce che prendono di mira l'azienda ma anche gli attori di minacce che potrebbero condurre gli attacchi, le tattiche, le tecniche e le procedure (TTP) da essi utilizzate e gli indicatori di compromissione (IoC) che potrebbero segnalare uno specifico attacco informatico
- Utilizzabili, fornendo informazioni che i team di sicurezza possono utilizzare per occuparsi delle vulnerabilità, assegnare la priorità alle minacce e correggerle e anche valutare gli strumenti di sicurezza informatica nuovi ed esistenti.
Secondo il report di IBM Cost of a Data Breach 2022, il costo medio di una violazione dei dati per le sue vittime è pari a 4,35 milioni di dollari; con i loro 1,44 milioni di dollari, i costi di rilevamento ed escalation rappresentano il grosso di tale somma. La threat intelligence può fornire ai team di sicurezza le informazioni di cui hanno bisogno per rilevare prima gli attacchi, riducendo i costi di rilevamento e limitando l'impatto delle violazioni riuscite.
Il ciclo di vita della threat intelligence è il processo iterativo e costante con il quale i team di sicurezza producono, diffondono e migliorano continuamente la loro threat intelligence. Sebbene i dettagli possano variare da organizzazione a organizzazione, la maggior parte segue una qualche versione dello stesso processo articolato in sei passi.
Passo 1: pianificazione
Gli analisti della sicurezza lavorano con le parti interessate dell'organizzazione - dirigenti, direttori di dipartimento, membri dei team IT e di sicurezza e altre persone coinvolte nel processo decisionale in materia di sicurezza informatica - per fissare i requisiti di informazioni. Di norma includono domande sulla sicurezza informatica a cui le parti interessate desiderano, o hanno bisogno di, una risposta. Ad esempio, il CISO potrebbe voler sapere quante probabilità ci sono che un nuovo ceppo di ransomware che sta facendo notizia possa colpire l'organizzazione.
Passo 2: raccolta dei dati sulle minacce
Il team di sicurezza raccoglie tutti i dati sulle minacce non elaborati che potrebbero contenere o contribuire alle risposte che le parti interessate stanno cercando. Continuando con l'esempio precedente, se sta indagando su un nuovo ceppo di ransomware, un team di sicurezza potrebbe raccogliere informazioni sulla banda del ransomware dietro gli attacchi, i tipi di organizzazioni che hanno preso di mira in passato e i vettori di attacco che hanno sfruttato per infettare le vittime precedenti.
Questi dati sulle minacce possono provenire da una varietà di fonti, tra cui:
Feed di threat intelligence - flussi di informazioni sulle minacce in tempo reale. Il nome è a volte fuorviante: mentre alcuni feed includono threat intelligence elaborata o analizzata, altri consistono in dati sulle minacce non elaborati. (Questi ultimi sono talvolta detti "feed di dati sulle minacce").
I team di sicurezza in genere sottoscrivono più feed open-source e commerciali. Ad esempio, un feed potrebbe monitorare gli IoC degli attacchi comuni, un altro potrebbe aggregare le notizie sulla sicurezza informatica, un altro potrebbe fornire analisi dettagliate dei ceppi di malware e un quarto potrebbe sondare i social media e il dark web per rilevare eventuali conversazioni legate alle minacce informatiche emergenti. Tutto ciò può contribuire a una comprensione più approfondita delle minacce.
Community di condivisione di informazioni - forum, associazioni professionali e altre community in cui gli analisti condividono esperienze di prima mano, insight e i loro dati personali sulle minacce.
Negli Stati Uniti, molti settori infrastrutturali critici - quali i settori della sanità, dei servizi finanziari e del petrolio e del gas - operano dei centri di condivisione e analisi delle informazioni (ISAC) specifici del settore. Questi ISAC si coordinano tra loro tramite l'NSI (National Council of ISACs) (collegamento esterno a ibm.com). A livello internazionale, la piattaforma open-source MISP Threat Sharing intelligence (link esterno a ibm.com) supporta diverse community di condivisione di informazioni organizzate intorno a località, settori e argomenti di diverso tipo. MISP ha ricevuto supporto finanziario sia dalla NATO che dall'Unione europea.
Log di sicurezza interni - dati sulla sicurezza interni dai sistemi di sicurezza e conformità, quali i sistemi SIEM (security information and response), SOAR (security orchestration, automation and response), EDR (endpoint detection and response), XDR (extended detection and response) e ASM (attack surface management). Questi dati forniscono una registrazione delle minacce e degli attacchi informatici affrontati dall'organizzazione e possono contribuire a scoprire prove precedentemente non identificate di minacce interne o esterne.
Le informazioni provenienti da queste fonti eterogenee vengono di norma aggregate in un dashboard centralizzato, come un SIEM o una piattaforma di threat intelligence, per una gestione più facile.
Passo 3: elaborazione
In questa fase, gli analisti della sicurezza aggregano, standardizzano e correlano i dati non elaborati che hanno raccolto per facilitarne l'analisi per gli insight. Ciò potrebbe includere l'esclusione mediante filtri dei falsi positivi o l'applicazione di un framework di threat intelligence, come MITRE ATT&CK, ai dati legati a un precedente incidente di sicurezza per ottenere risultati migliori
Molti strumenti di threat intelligence automatizzano questa elaborazione, utilizzando l'AI (artificial intelligence) e il machine learning per correlare le informazioni sulle minacce da molteplici fonti e identificare le tendenze o gli schemi iniziali nei dati.
Passo 4: analisi
L'analisi è il punto in cui i dati sulle minacce non elaborati diventano vera threat intelligence. In questa fase, gli analisti della sicurezza testano e verificano gli andamenti, gli schemi e altri insight che possono utilizzare per rispondere ai requisiti di sicurezza delle parti interessate e formulare raccomandazioni.
Ad esempio, se gli analisti della sicurezza rilevano che la banda collegata a un nuovo ceppo di ransomware ha preso di mira altre aziende nel settore dell'organizzazione, il team può identificare specifiche vulnerabilità nell'infrastruttura IT dell'organizzazione che tale banda potrebbe sfruttare, nonché i controlli o le patch di sicurezza che potrebbero mitigare o eliminare tali vulnerabilità.
Passo 5: diffusione
Il team di sicurezza condivide i suoi insight e le sue raccomandazioni con le parti interessate appropriate. È possibile intraprendere delle azioni sulla base di queste raccomandazioni, ad esempio stabilire nuove regole di rilevamento SIEM per puntare a IoC identificati di recente o aggiornare le blacklist del firewall per bloccare il traffico da indirizzi IP sospetti identificati di recente. Molti strumenti di threat intelligence integrano e condividono dati con strumenti di sicurezza quali i SOAR o gli XDR, per generare automaticamente degli avvisi per gli attacchi attivi, assegnare dei punteggi di rischio per definire la priorità delle minacce oppure attivare altre azioni.
Passo 6: feedback
In questa fase, le parti interessate e gli analisti riflettono sul ciclo di threat intelligence più recente per determinare se sono stati soddisfatti i requisiti. Eventuali nuove domande che emergono o nuove lacune nelle informazioni identificate possono influenzare la tornata successiva del ciclo di vita.
Il ciclo di vita della threat intelligence produce diversi tipi di informazioni a seconda delle parti interessate coinvolte, dei requisiti fissati e degli obiettivi generali di una specifica istanza del ciclo di vita. Esistono tre ampie categorie di threat intelligence:
La threat intelligence tattica viene utilizzata dal SOC (security operations center) per rilevare e rispondere agli attacchi informatici in corso. Si concentra in genere sugli IoC comuni - ad esempio indirizzi IP associati a server di comando e controllo, hash di file correlati ad attacchi malware e ransomware noti oppure righe dell'oggetto di e-mail associate ad attacchi di phishing.
Oltre ad aiutare i team di risposta agli incidenti ad escludere mediante filtri i falsi positivi e a intercettare i veri attacchi, la theat intelligence tattica viene utilizzata anche dai team di ricerca delle minacce per rintracciare le minacce persistenti avanzate (APT) e altri aggressori attivi ma nascosti.
La threat intelligence operativa aiuta le organizzazioni ad anticipare e prevenire attacchi futuri. A volte viene indicata come "threat intelligence tecnica" poiché descrive in dettaglio le tecniche e le procedure (TTP) e i comportamenti degli attori di minacce noti - ad es. i vettori di attacco che utilizzano, le vulnerabilità che sfruttano e gli asset che prendono di mira. I CISO, i CIO e gli altri responsabili delle decisioni in materia di sicurezza delle informazioni utilizzano la threat intelligence operativa per identificare gli attori di minacce che potrebbero attaccare le loro organizzazioni e rispondere con controlli di sicurezza e altre azioni mirate specificamente a sventare tali attacchi.
La threat intelligence strategica consiste in informazioni di alto livello sul panorama delle minacce globale e il posto in esso occupato da un'organizzazione. La threat intelligence strategica offre ai responsabili delle decisioni fuori dall'ambito IT, come i CEO e altri dirigenti, una comprensione delle minacce informatiche affrontate dalle loro organizzazioni. La threat intelligence strategica di norma si concentra su questioni quali le situazioni geopolitiche, le tendenze delle minacce informatiche in un determinato settore o sul come o il perché alcuni asset strategici dell'organizzazione possono essere presi di mira. le parti interessate utilizzano la threat intelligence strategica per allineare le strategie e gli investimenti generici in materia di gestione dei rischi con il panorama delle minacce informatiche.
Esperti di security intelligence globale con analisi leader del settore per semplificare e automatizzare la tua piattaforma di minacce informatiche.
Trasforma il tuo business e gestisci il rischio con un leader di settore a livello globale nei servizi di consulenza sulla sicurezza informatica e di sicurezza gestita e sul cloud.
I servizi offensivi e difensivi di X-Force sono supportati da servizi di ricerca, informazioni e correzione delle minacce.
In un approccio alla sicurezza Zero Trust, tutti gli endpoint sono ritenuti non affidabili per impostazione predefinita e viene loro concesso l'accesso con privilegio minimo necessario per supportare il lavori o le funzioni che svolgono.
La gestione delle minacce è il processo utilizzato dai professionisti della sicurezza informatica per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere agli incidenti di sicurezza
La ricerca delle minacce è un approccio proattivo all'identificazione di minacce non corrette sconosciute o in corso all'interno della rete di un'organizzazione.