Principi base di Threat Intelligence

Un passo avanti agli hacker

La conoscenza è uno strumento importante per difendersi dai cyber attacchi. Quando un’azienda sa come e dove può avvenire un attacco, può armarsi di conseguenza. È nella prevenzione che si inserisce la Threat Intelligence, un vantaggio in termini di conoscenze su vari livelli.

Testo: Andreas Heer, 12 marzo 2018

Una cattiva azione ogni giorno nuovi cyber attacchi alle aziende e alle autorità occupano i titoli dei giornali. Gli hacker attaccano per svariati motivi. A volte per acquisire dati confidenziali (ad es. segreti aziendali), altre per arrecare danni. In altri casi gli hacker agiscono soltanto per acquisire informazioni necessarie per scopi più grandi. Anche se le motivazioni alla base dei cyber attacchi sono di diversa natura, quasi sempre sono legate a interessi commerciali: l’obiettivo è trasformare gli attacchi in cash (digitale) nel modo più semplice e veloce possibile.

Una nuova tendenza è il crypto mining: componenti di mining vengono inseriti in siti web manomessi per impiegare le risorse del computer dell’ignaro visitatore al fine di estrarre criptomonete. La fantasia dei criminali informatici non ha limiti. Quasi ogni giorno nascono nuove idee di cybercrimini e nuovi modelli di attacchi. Disponendo di sufficiente energia e know-how, spesso i criminali riescono a fare leva sulle misure di sicurezza esistenti, variando continuamente le forme di attacco.

Riconoscere gli attacchi prima che abbiano luogo

Tuttavia, le aziende non sono indifese. Conoscendo lo stato attuale delle minacce e gli scenari d’attacco possono difendersi anche dalle aggressioni mirate. Dotandosi di un «sistema di preallarme», le aziende possono adottare misure di sicurezza per prevenire un attacco. Ed è proprio qui che si inserisce la Threat Intelligence, che è la conoscenza delle minacce attuali e potenziali e degli scenari di attacco. La Threat Intelligence non è un software di sicurezza, ma una raccolta di dati che possono essere utilizzati per difendersi in modo mirato dai potenziali attacchi. È simile ai dati meteo che vengono impiegati per prevedere la possibile evoluzione degli uragani.

La Threat Intelligence è una nuova disciplina della sicurezza informatica, che viene interpretata in modo diverso dai vari fornitori. Motivo per cui il tipo e la quantità di dati variano a seconda dell’offerta. La Threat Intelligence richiede conoscenze specialistiche nel campo della Cybersecurity per poter trasformare le informazioni in misure di protezione concrete. Questo approccio si rivela però anche una difesa efficace per prevenire gli attacchi e quindi i danni.

Threat Intelligence: non soltanto tecnologia, ma anche strategia

La Threat Intelligence non si limita a misure tecniche: deve essere integrata nell’intero ciclo di vita della strategia di sicurezza informatica. Ciò significa che le informazioni presenti confluiscono anche nella pianificazione strategica. L’ente britannico «Centre for the Protection of National Infrastructure» (CPNI) indica quattro livelli di applicazione della Threat Intelligence.

Strategico: informazioni con le quali il Risk Management può stimare lo stato attuale delle cyberminacce, ad esempio dati sulla frequenza degli attacchi regionali o specifici per un determinato settore.
Tattico: come procedono gli hacker e quali strumenti e fonti di informazioni utilizzano? Se ad esempio all’inizio di un attacco si verificano attacchi di phishing mirati a singoli collaboratori, da questa informazione è possibile ricavare misure preventive opportune.
Operativo: dettagli su attacchi noti con cui è possibile adottare misure di protezione per gli attacchi di questo tipo.
Tecnico: informazioni concrete che permettono ai sistemi di sicurezza di riconoscere gli attacchi. Esempi: indirizzi di server Command & Control, firme di malware, indirizzi IP e nomi di dominio o account di social network dai quali possono essere lanciati gli attacchi.

Sicurezza grazie al vantaggio in termini di conoscenze

Utilizzata correttamente, la Threat Intelligence integra la Cybersecurity con una componente preventiva. Questo perché i sistemi di sicurezza tecnica intervengono sempre soltanto quando si verifica un attacco. Con la Threat Intelligence le aziende possono armarsi contro i possibili attacchi adottando misure preventive. La sicurezza informatica deve essere preparata per un attacco effettivo e sapersi proteggere. Tuttavia, la Threat Intelligence non sta in piedi da sola: necessita di conoscenze specialistiche a livello strategico e tecnico per interpretare i dati e trarne le conclusioni corrette. Le conoscenze preliminari offrono un grande vantaggio per la difesa preventiva contro gli attacchi. O, in altre parole, la Threat Intelligence offre alle aziende la possibilità di stare un passo avanti agli hacker nell’eterno gioco del gatto e del topo.