«Threat Intelligence: Un passo avanti agli hacker»
La conoscenza è uno strumento importante per difendersi dai cyber attacchi. Quando un’azienda sa come e dove può avvenire un attacco, può armarsi di conseguenza. È nella prevenzione che si inserisce la Threat Intelligence, un vantaggio in termini di conoscenze su vari livelli.
Testo: Andreas Heer, 12 marzo 2018 4 min
Una cattiva azione ogni giorno nuovi cyber attacchi alle aziende e alle autorità occupano i titoli dei giornali. Gli hacker attaccano per svariati motivi. A volte per acquisire dati confidenziali (ad es. segreti aziendali), a volte si tratta di estorcere denaro tramite ransomware. In altri casi gli hacker agiscono soltanto per acquisire informazioni necessarie per scopi più grandi. Anche se le motivazioni alla base dei cyber attacchi sono di diversa natura, quasi sempre sono legate a interessi commerciali.
Riconoscere gli attacchi prima che abbiano luogo
Tuttavia, le aziende non sono indifese. Conoscendo lo stato attuale delle minacce e gli scenari d’attacco possono difendersi anche dalle aggressioni mirate. Dotandosi di un «sistema di preallarme», le aziende possono adottare misure di sicurezza per prevenire un attacco. Ed è proprio qui che si inserisce la Threat Intelligence, che è la conoscenza delle minacce attuali e potenziali e degli scenari di attacco. La Threat Intelligence (TI) o Cyber Threat Intelligence (CTI) non è un software di sicurezza, ma una raccolta di dati che possono essere utilizzati per difendersi in modo mirato dai potenziali attacchi. È simile ai dati meteo che vengono impiegati per prevedere la possibile evoluzione degli uragani.
La Threat Intelligence è una nuova disciplina della sicurezza informatica, che viene interpretata in modo diverso dai vari fornitori. Motivo per cui il tipo e la quantità di dati variano a seconda dell’offerta. La Threat Intelligence richiede conoscenze specialistiche nel campo della Cybersecurity per poter trasformare le informazioni in misure di protezione concrete. Questo approccio si rivela però anche una difesa efficace per prevenire gli attacchi e quindi i danni.
Threat Intelligence: non soltanto tecnologia, ma anche strategia
La Threat Intelligence non si limita a misure tecniche: deve essere integrata nell’intero ciclo di vita della strategia di sicurezza informatica. Ciò significa che le informazioni presenti confluiscono anche nella pianificazione strategica. L’ente britannico «Centre for the Protection of National Infrastructure»(apre una nuova finestra) (CPNI) indica quattro livelli di applicazione della Threat Intelligence.
- Strategico: informazioni con le quali il Risk Management può stimare lo stato attuale delle cyberminacce, ad esempio dati sulla frequenza degli attacchi regionali o specifici per un determinato settore.
- Tattico: come procedono gli hacker e quali strumenti e fonti di informazioni utilizzano? Se ad esempio all’inizio di un attacco si verificano attacchi di phishing mirati a singoli collaboratori, da questa informazione è possibile ricavare misure preventive opportune.
- Operativo: dettagli su attacchi noti con cui è possibile adottare misure di protezione per gli attacchi di questo tipo.
- Tecnico: informazioni concrete che permettono ai sistemi di sicurezza di riconoscere gli attacchi. Esempi: indirizzi di server Command & Control, firme di malware, indirizzi IP e nomi di dominio o account di social network dai quali possono essere lanciati gli attacchi.
Sicurezza grazie al vantaggio in termini di conoscenze
Utilizzata correttamente, la Threat Intelligence integra la Cybersecurity con una componente preventiva. Questo perché i sistemi di sicurezza tecnica intervengono sempre soltanto quando si verifica un attacco. Con la Threat Intelligence le aziende possono armarsi contro i possibili attacchi adottando misure preventive. La sicurezza informatica deve essere preparata per un attacco effettivo e sapersi proteggere. Tuttavia, la Threat Intelligence non sta in piedi da sola: necessita di conoscenze specialistiche a livello strategico e tecnico per interpretare i dati e trarne le conclusioni corrette. Le conoscenze preliminari offrono un grande vantaggio per la difesa preventiva contro gli attacchi e nel rafforzamento della resilienza informatica. O, in altre parole, la Threat Intelligence offre alle aziende la possibilità di stare un passo avanti agli hacker nell’eterno gioco del gatto e del topo.