Press
2.11.2023
Ogni giorno migliaia di attacchi informatici impattano la quotidianità di milioni di persone, i dati sono sempre più esposti e le persone vengono sempre più prese di mira al fine di ottenere informazioni e ulteriori dati che, come spesso vengono definiti, sono l'oro del futuro. In questo labirinto di minacce l'unica difesa sembra essere quella di alzare sempre più scudi in difesa, e tra questi uno strumento che si distingue come un'arma di difesa efficace contro gli avversari infarinatici è la 'Threat Intelligence'. Negli ultimi anni tale difesa ha assunto un ruolo sempre più centrale nel proteggere moli crescenti di dati, ma cosa si intenda con tale termine non è scontato. La Threat Intelligence può essere definita come un processo di raccolta, analisi e diffusione proattiva di informazioni delle minacce informatiche emergenti. Tale processo attinge da un'ampia gamma di fonti di informazioni, tra cui, ma non solo, indicatori tecnici, forum di hacker, social media e i "Market Place" presenti nel Dark Web, luoghi dove i dati vengono abitualmente venduti al miglior offerente. Grazie a un'attenta analisi completa di dati eterogenei sulle minacce e la loro elaborazione volta ad ottenere motivazioni, obiettivi e metodologie, i professionisti della Cyber Threat Intelligence cercano di identificare le nuove minacce, di attribuirle a specifici soggetti malevoli, di prevedere i modelli di attacco futuri e infine di sviluppare contromisure efficaci.
Perché quindi usare la Threat Intelligence?
Gli attori malevoli, offrendo spesso servizi "as-a-service" al servizio di terzi, sono sempre più motivati e sempre più dotati di risorse tecnologiche ed economiche. Ma spesso le vulnerabilità informatiche sono il risultato del "non conoscere" e del "non vedere", avere quindi una piena consapevolezza dell'intera area di superficie di attacco (la cosiddetta Attack Surface) sfruttabile da un soggetto malevolo è fondamentale. Comprendere l'ecosistema informatico nella sua completezza aiuta a prepararsi, prevenire e riconoscere le minacce con meccanismi di sicurezza più ottimizzati. Le misure di sicurezza tradizionali, come Firewall e antivirus, sono essenziali ma non più sufficienti a mitigare minacce sempre più dinamiche e complesse, aver quindi accesso a questo tipo di informazioni consente all'azienda di adottare un approccio proattivo tramite decisioni più rapide, più contestualizzate alla propria realtà e basate su dati reali. Questo è possibile perché le informazioni sulle minacce informatiche possono fornire informazioni accurate, tempestive e pertinenti ed essere utilizzate per identificare in modo certo le falle di sicurezza esistenti o emergenti.
La Threat Intelligence offre dati precisi per identificare le vulnerabilità. Aiuta anche la leadership a valutare i rischi, le risorse necessarie e l'impatto finanziario nella cybersecurity. Comprendere meglio le minacce che si devono affrontare permette quindi di proteggersi dalle stesse ottimizzando costi e sforzi. Servizi come l'Early Warning e l' Attack Surface Management permettono alle aziende di identificare e ridurre le potenziali minacce ai loro sistemi e dati fornendo una visione completa dell'attacco e monitorando costantemente le potenziali minacce dall'esterno. Il servizio Early Warning permette di monitorare qualsiasi fuga di dati, siano essi credenziali di accesso, indirizzi email e altri dati aziendali, andando a scandagliare tutto il web (sia Clear Web che Dark Web) alla ricerca di attori malevoli che stanno prendendo di mira l'azienda esaminando migliaia di siti e forum dove gli attori attaccanti si scambiano o vendono tali dati.
Come può un'azienda dotarsi di questi strumenti, migliorare la propria consapevolezza su minacce interne ed esterne, e dunque migliorare la propria postura di sicurezza?
Esistono diversi servizi a cui è possibile abbonarsi per ricevere questi flussi informativi. Il mercato della Threat Intelligence ha raggiunto negli ultimi anni una certa maturità. Servizi diversi hanno anche approcci diversi, alcuni sono migliori nel discovery di informazioni sui social media, altri a reperire contenuti sul dark web, altri a scovare i domain squatting appena un dominio probabilmente ostile viene registrato. Alcuni di questi servizi, quelli più completi e professionali sono però accessibili solo ai Managed Security Service Provider (Mssp) come noi, precisa Gianpiero Abellonio, Partner e Senior Advisor di Security Lab.
Cosa si può dunque consigliare alle aziende che vogliano interessarsi di tali servizi?
Il suggerimento è di affidarsi sempre a un Mssp di provata affidabilità che utilizzi e integri diversi servizi in modo che il cliente abbia un'unica fonte informativa che si preoccupi non solo di integrare questi flussi ma di effettuare il "triage", ossia di determinare la rilevanza di un'informazione e trasmetterla al cliente solo se valutata come una probabile minaccia, prosegue il Partner.
Da dove iniziare e quali sono i primi passi da seguire è però tutt'altro che immediato.
In fase di attivazione vengono richiesti al cliente alcune informazioni che rappresentano quindi lo "scope" del servizio, ossia cosa deve essere monitorato, in termini di domini aziendali di siti e posta elettronica e parole chiave di cui verificare un'eventuale esposizione sul web/dark web. Esempi di parole chiave m possono essere dei nomi di brand o prodotti o servizi, o nomi di persone rilevanti all'interno dell'organizzazione, nota Abellonio.
Completato il settaggio e la calibrazione della raccolta dati, si passa alla reale fase di avvio.
L'Mssp configura e attiva i flussi dai suoi provider di informazioni. In questa fase di assessment vengono quindi raccolte molte informazioni e preparato un primo report dettagliato per il cliente e presentato. Successivamente l'Mssp riceve dai suoi information provider solo le nuove informazioni non rilevate quindi nella fase di assessment. Le informazioni che vengono ricevute nel tempo vengono poi comunicate al cliente non appena rilevate e chiaramente se ritenute di una certa rilevanza, rileva il Partner.
Si tratta di una materia particolarmente fluida, e per certi versi anche complessa, in cui il parere dell'esperto è fondamentale, al pari del rimanere costantemente aggiornati sugli sviluppi "di mercato", che dunque ben si presta a un evento dedicato.
Abbiamo organizzato in collaborazione con Ated un evento all'hotel Dante di Lugano per il 30 novembre alle 14:30, dove ci saranno diversi relatori e 5-6 interventi sul tema Novità e trend della Cyber Security con la Threat Intelligence quale focus principale, una sorta di filo conduttore. Si parlerà delle novità nella nuova Iso 27001 e nel Nist 2. In entrambi i sistemi di gestione una delle novità è infatti rappresentata proprio della Threat Intelligence, mette in evidenza Alberto Redi, Ceo di Security Lab, che prosegue:
Sono previsti due interventi specifici sulla Threat Intelligence, uno per approfondire l'argomento e il secondo da parte di Group Ib, uno dei brand principali che utilizziamo per fornire questi servizi di Mssp, che illustrerà il loro mix di servizi e farà anche una dimostrazione pratica. Al termine si farà il punto sulla Nuova Legge Federale per la Protezione di Dati (nLpd) entrata in vigore lo scorso 1 settembre. Al termine il consueto aperitivo e spazio per networking e approfondimento con i relatori.
Achille Barni
