Lo scenario relativo alla cybersicurezza aziendale sta diventando un vero e proprio mondo a sé stante, tante sono le minacce e le implicazioni di cui tenere conto quando si tratta di difendere il perimetro di sicurezza dalle insidie provenienti dall’esterno e dall’interno, dove le condotte scriteriate degli utenti e le vulnerabilità latenti nei sistemi informatici possono far letteralmente perdere il sonno di ha a cuore le sorti del proprio business.
Ancor prima di progettare e gestire le soluzioni di sicurezza, occorre conoscere le minacce da cui è necessario difendersi. Tale attività di informazione e ricerca è oggi genericamente annoverata sotto il rassicurante ombrello della cyber threat intelligence. Come vedremo nel presente servizio, la logica è informare meglio per agire in maniera proattiva nei confronti di qualsiasi minaccia di sicurezza informatica possa mettere a rischio i sistemi IT di un’azienda.
Cos’è la Cyber Threat Intelligence
La cyber threat intelligence (CTI), o più semplicemente threat intelligence, consiste nell’attività di raccolta di informazioni provenienti da varie fonti, in merito agli attacchi informatici che colpiscono o sono potenzialmente in grado di offendere la sicurezza di un’organizzazione. Le informazioni vengono ottenute da un contesto incredibilmente ampio, che parte internamente, dai log dei sistemi, per coinvolgere le fonti giornalistiche e i portali dedicati all’argomento dai principali vendor delle tecnologie di cybersecurity.
Il patrimonio conoscitivo acquisito mediante l’attività di threat intelligence viene messo a disposizione di tutti gli stakeholder coinvolti nei processi utili alla sicurezza informatica aziendale, in modo da poter attuare consapevolmente strategie ed azioni utili alla prevenzione, alla mitigazione e all’eradicazione delle minacce, a partire da una corretta valutazione dei rischi.
La cyber threat intelligence può essere implementata in molti modi, ma la sua missione comune consiste nell’informare in merito ai rischi che provengono dalle minacce presenti all’interno della rete, dove ormai quasi tutte le aziende sono connesse per svolgere in tutto o in parte le loro attività digitali.
La threat intelligence cerca di reperire, organizzare e rendere fruibili tutte le informazioni sull’attualità, in modo da mantenere sempre aggiornati i responsabili della sicurezza aziendale sulle nuove minacce che possono mettere a repentaglio i loro sistemi. In questo ambito risulta ad esempio rilevante mantenere alta la soglia dell’attenzione nei confronti dei nuovi malware, degli attacchi zero day nei confronti dei software e delle cosiddette advanced persistent threat (APT) che possono rimanere nascoste nei server aziendali anche per molti mesi, esfiltrando silenziosamente una grande quantità di dati.
L’attività di intelligence risulta inoltre fondamentale nel contesto dell’incident response. La threat intelligence consente infatti ai SOC (Security Operation Center) e agli IRT (Incident Response Team) di cercare di prevenire o investigare sugli incidenti informatici una volta che si manifestano, anche ai fini di predisporre le notifiche e i report che alcune tipologie di aziende ormai sono soggette ad effettuare per legge, a seguito del recepimento della Normativa NIS comunitaria.
In questo caso la cyber threat intelligence deve entrare nel merito di una vera e propria attività di investigazione forense, con analisi approfondite sui dati raccolti dai log dei sistemi informatici connessi alla rete e della rete stessa, cercando di individuare l’attaccante, comprendere il suo comportamento, i suoi obiettivi fino a definire nel dettaglio l’indicatore di compromissione (IOC) e la magnitudo dell’attacco. Sulla base di queste informazioni, l’IRT può provvedere ad eradicare l’attacco, dopo averne definito in maniera puntuale la dinamica e gli effetti, anche ai fini di evitare che si ripeta, soprattutto nel caso in cui le vulnerabilità che l’hanno causato non siano state risolte con successo.
Perché è importante
La cyber threat intelligence è fondamentale per le sorti della cybersecurity aziendale, per una ragione estremamente semplice: se non conosci una minaccia e i rischi che rappresenta, diventa alquanto difficile prevenirla e difendersi da essa. Si tratta di un concetto che potrebbe apparire banale, probabilmente lo è a dirsi, ci certo non a farsi.
La realtà ci racconta di un mondo difficile, dove alla semplicità concettuale, come vedremo, corrisponde una complessità operativa non trascurabile ed una cultura del dato decisamente raffinata, sia nella selezione delle fonti che nelle capacità analitiche, dove nulla è concesso all’improvvisazione. Tentare una threat intelligence basandosi sul trending a sentimento equivale a gettare alle ortiche soldi e tempo che nessuno mai restituirà, rischiando di risultare più esposti ai rischi rispetto a quando non si faceva nulla, vivendo nella più beata ignoranza.
In un contesto aziendale, la threat intelligence deve essere strutturata in maniera importante, dedicando le risorse utili affinché la sua attività risulti concretamente in grado di garantire un adeguato supporto decisionale in fatto di sicurezza, creando un vero e proprio valore aggiunto per il business. La sicurezza oggi non è più considerabile quale una semplice voce di costo. È una risorsa fondamentale per la sopravvivenza del business stesso.
Dal punto di vista dell’informazione, l’importanza della cyber threat intelligence risiede nella sua capacità di raccogliere e analizzare in tempo reale i dati relativi alle minacce interne ed esterne, oltre ai processi, alle politiche ed alle risorse informatiche impiegate per svolgere queste attività, sempre più moderne e capaci di avvalersi di servizi in cloud dotati di avanzati strumenti di business intelligence. Si tratta di un contesto in cui la quantità dei dati e la qualità dell’analisi generano una sinergia fondamentale nell’ottica di estrarre il maggior valore informativo possibile dai dati raccolti.
Dal punto di vista delle persone invece la cyber threat intelligence è importante perché garantisce a tutti gli stakeholder, sulla base delle loro competenze specifiche, di comprendere il panorama delle minacce e dei criminali che le attuano in maniera persistente. Grazie al crescente grado di consapevolezza sull’argomento, sia i tecnici che i decisori non tecnici possono dare il giusto valore alle procedure di sicurezza ed assumere un atteggiamento strategicamente proattivo, che si traduce in una operatività concreta ed efficiente nel rilevare e prevenire gli attacchi informatici.
Dal punto di vista tecnologico, la threat intelligence consente di orientare la scelta degli strumenti più adatti per sia svolgere le attività di investigazione forense utili alla fase proattiva, che alla protezione dei sistemi e dei dati cui fa riferimento la fase reattiva. Ad oggi esistono molti vendor in grado di garantire strumenti in grado di automatizzare la maggior parte delle operazioni necessarie, in modo da informare in tempo reale i responsabili del monitoraggio.
Le tipologie di Cyber Threat Intelligence più diffuse
Abbiamo rilevato come la threat intelligence consista all’atto pratico in varie procedure di raccolta e analisi dei dati per informare in maniera dettagliata gli stakeholder della cybersecurity aziendale. Ma come avvengono questi processi? Quali sono le strategie da cui deriva l’operatività della cyber threat intelligence? Esistono fondamentalmente almeno quattro differenti approcci tipologici, aventi scopi differenti nell’informazione, sia per quanto riguarda l’oggetto d’indagine che per quanto riguarda il modo di comunicare il risultato delle analisi:
Cyber Threat Intelligence strategica
Ha l’obiettivo di individuare i potenziali attacchi informatici e le loro conseguenze per comunicarli ad un pubblico non tecnico, come nel caso dei decisori che non vantano competenze approfondite nell’ambito della cybersecurity, né si occupano concretamente di tali mansioni in azienda, ma risultano decisivi nel destinare i fondi necessari perché le attività di sicurezza siano svolte nel modo migliore.
L’approccio strategico deriva dalla volontà di far capire le dinamiche delle minacce e le possibili conseguenze nel caso in cui i rischi si concretizzassero. Il risultato di questa attività generalmente coincide nella produzione di report e insight facilitati dalla data visualization, presentati per descrivere nel dettaglio i rischi e le tendenze delle cyberminacce a livello globale, con un livello di attenzione specifico per le possibili ricadute nel contesto aziendale.
La panoramica che ne emerge è di alto livello, ma senza entrare nei tecnicismi deve rivelarsi in grado di far comprendere al meglio lo scenario, considerando ad esempio le minacce che potrebbero derivare da altri soggetti coinvolti in una supply chain, in grado di accedere ai sistemi dell’azienda, che potrebbe quindi rimanere coinvolta in maniera indiretta da una minaccia molto difficile da prevedere.
Cyber Threat Intelligence tattica
Il focus della componente tattica risiede nel rilevare i comportamenti, le tecniche e le procedure che i cybercriminali adottano per dare forma alle loro micidiali minacce. Il pubblico di riferimento in questo caso è composto da coloro che operano in prima linea sul fronte della sicurezza informatica, con specifiche competenze di tipo tecnico, per proteggere i sistemi e i dati dagli attacchi di natura informatica.
Si tratta quindi di un’attività di informazione basata sulla cultura e sull’attualità delle minacce informatiche, per rendere consapevoli gli operatori sul campo dei rischi e delle novità più rilevanti in ogni momento. Allo stesso modo, si informa in merito ai rimedi più efficaci che si potrebbero intraprendere per rendere inoffensive le minacce stesse. Si dà per scontato che chi accede a questo genere di informazioni disponga delle competenze adeguate ad agire di conseguenza nello svolgimento del proprio lavoro.
Cyber Threat Intelligence tecnica
L’approccio tecnico della threat intelligence si concentra soprattutto sui possibili indicatori di un attacco informatico, con particolare attenzione nei confronti di quelli che vengono definiti attacchi social engineering, che mirano a sfruttare l’ignoranza e la disattenzione dei dipendenti per ottenere informazioni riservate e dati sensibili, come le credenziali di accesso per i servizi finanziari, oltre a procedere con dei veri e propri furti di identità. Un classico esempio è costituito da tutta l’attività che ruota intorno al phising e a tutte le sue sottovarianti.
La threat intelligence tecnica costituisce un valido antidoto a questa pericolosissima minaccia in quanto mira ad informazione con costanza e precisione i dipendenti delle aziende sui possibili attacchi di cui potrebbero rimanere vittime. L’intelligence è dunque focalizzata a fornire informazioni utili ad implementare delle valide strategie operative, che potremmo volgarmente definite di contrattacco psicologico nei confronti dello human hacking. In questi frangenti, non c’è arma più potente di una corretta informazione a riguardo e il fermento che si genera è molto stimolante, in quanto star dietro al dinamismo degli attaccanti, costantemente capaci ad inventarne una nuova, non è per nulla semplice.
Cyber Threat Intelligence operativa
Un’ulteriore tipologia di threat intelligence deriva da un approccio spiccatamente operativo, capace di fare ampio ricorso alla scienza dei dati. In primo luogo, è fondamentale acquisire i dati da una grande varietà di fonti, sfruttando al meglio tutti i possibili canali di cui l’azienda dispone: social media, CRM, messaggistica istantanea, applicazioni di unified communication, oltre a tutti i log delle macchine, della rete e dei sistemi di sicurezza, secondo le prassi vigenti per quanto riguarda l’investigazione forense in ambito informatico, a cominciare dal celebre triage.
La threat intelligence operativa diventa in buona sostanza una disciplina di analisi dei dati, che sfrutta tecniche ormai diffuse come il data mining e il Machine Learning per effettuare analisi predittive, capaci di analizzare lo storico dei dati comportamentali acquisiti per sventare gli attacchi prima che si verifichino. Il valore aggiunto di questo approccio non risiede soltanto nel risultato, ossia evitare il possibile incidente, ma soprattutto nel produrre conoscenza utile sui fattori che consentono di categorizzare la tipologia del possibile attacco, oltre alle possibili tempistiche. Tali informazioni consentono di sviluppare una conoscenza dello scenario di sicurezza aziendale che sarebbe altrimenti molto difficile ottenere da una semplice analisi descrittiva, come quella operata nell’ormai tradizionale contesto della business intelligence.
I software di analisi dei dati garantiti dai sistemi di monitoraggio per la sicurezza informatica consentono di elaborare enormi flussi di dati, strutturati e non, superando agevolmente anche le barriere linguistiche. Tali strumenti sono il pane quotidiano dei SOC e degli IRT, che impostano le loro attività proprio sulla base della threat intelligence operativa. Un esempio concreto è dato dalla configurazione di controlli come le regole dei firewall e di rilevamento automatico degli eventi, che vengono calibrati proprio sulla base delle informazioni ricevute dall’analisi dei dati relativi alla sicurezza.
La cyber threat intelligence di tipo operativo genera inoltre un indubbio vantaggio in termini di efficienza, in quanto la maggior conoscenza che ne deriva consente di essere istintivamente molto più rapidi nell’individuare la minaccia nel caso in cui dovesse effettivamente verificarsi un incidente di sicurezza. Espresso in termini piuttosto gergali, ciò accade proprio perché uno sa già dove andare a cercare.
Il lifecycle della Cyber Threat Intelligence
A livello operativo, nel corso degli anni, sono stati definiti vari framework per offrire le linee guida utili ai SOC e agli IRT per svolgere le loro attività investigative sui sistemi di sicurezza aziendali. Uno di questi, forse il più celebre, è il framework MITRE ATT&CK, suggestivo acronimo di Adversarial Tactics, Tecniques and Common Knoweledge.
Il framework MITRE ATT&CK viene utilizzato anche dai vendor che implementano servizi e soluzioni per la threat intelligence. Diverse applicazioni utilizzate nell’ambito del penetration testing si basano ad esempio sull’applicazione di tale framework, ma perché abbiamo iniziato il discorso da questo punto di vista, anziché preoccuparsi in primo luogo delle tecnologie vere e proprie?
La ragione è molto semplice. Qualsiasi strumento risulterebbe una scatola vuota che non fosse foraggiato da una valenza metodologica nell’approccio alla threat intelligence. A prescindere dalla soluzione tecnologica che si intende adottare, l’importante è darsi innanzitutto un metodo.
I framework a disposizione sono ormai molti, più o meno semplici, ma accomunati dal guidare le aziende a dotarsi di un apparato investigativo consapevole e realmente utile nell’informazione e nel rilevamento delle minacce di sicurezza informatica.
Adottare una metodologia costituisce il primo passo per sviluppare una corretta attività di threat intelligence, che a livello operativo si rivela una disciplina che si basa in modo rigoroso sui dati, in tutte le fasi del data management finalizzato all’estrarre informazioni di valore per supportare le decisioni degli stakeholder della cybersecurity aziendale.
Generalizzando i contenuti di un framework, vediamo quali sono i cinque step tipo di un possibile lifecycle di threat intelligence.
1. Definizione degli obiettivi e pianificazione
Un’attività di threat intelligence per produrre risultati utili deve essere fondata su una lucida valutazione degli obiettivi che si intendono raggiungere in termini di valore aggiunto per le proprie strategie e soluzioni di sicurezza informatica. I team di sicurezza devono pertanto definire un quadro esigenziale pertinente con la situazione aziendale, basata su una valutazione dei rischi il più possibile oggettiva. I framework di threat intelligence indirizzano consapevolmente verso dei punti saldi che ruotano attorno all’impiego di strumenti capaci di analizzare i dati raccolti per fornire consigli e avvisi il più possibile aggiornati sulle minacce in funzione del loro livello di rischio.
Questo fattore, assolutamente decisivo per dare il via ad un’iniziativa di successo, presume una certa confidenza con la disciplina della valutazione dei rischi, a prescindere dal fatto che si agisca nello specifico in ambito informatico. È necessario saper individuare i fattori di rischio e classificarli in funzione delle conseguenze del loro possibile impatto e della probabilità che possano effettivamente verificarsi come incidenti.
Una volta definito l’assessment è importante pubblicare dei report e degli insight in grado di comunicare anche ai decisori non tecnici il panorama della situazione relativa alla cybersicurezza, in modo che il C-Level di turno possa avere una percezione il più possibile concreta dell’incidenza sul business di un fenomeno di cui sente parlare più sovente pur senza avere le competenze per entrare nel merito degli aspetti ingegneristici ed informatici della questione.
2. Raccolta dei dati
La raccolta dei dati costituisce un momento molto importante per il fatto che i dati stessi costituiscono la materia prima da cui estrarre valore informativo. Migliore è la qualità della materia prima a disposizione, maggiore sarà il potenziale qualitativo delle informazioni che saremo in grado di estrarre durante le successive fasi, a partire da quella analitica.
Occorre quindi avere confidenza con i log dei vari sistemi informatici presenti in azienda, dei sistemi di sicurezza e dei servizi in cloud, per saper configurare nello specifico la raccolta dei dati effettivamente utili all’attività di cyber threat intelligence che intendiamo effettuare. Ovviamente i dati interni vanno integrati con quelli in grado di offrire la fotografia delle minacce a livello globale. Tali informazioni sono disponibili attraverso vari canali, molti dei quali alla portata di tutti, a patto di sapere dove e come cercare: social media, forum frequentati da hacker, elenchi di IP malevoli, report pubblicati dai vendor di antivirus, ecc.
3. Elaborazione dei dati
Dopo aver raccolto i dati ritenuti più opportuni in funzione degli obiettivi di threat intelligence diventa essenziale elaborarli secondo le buone prassi della data preparation, per metterli a disposizione delle applicazioni di business intelligence e business analytics. Tale operazione viene ormai svolta quasi esclusivamente da software in grado di automatizzare le varie fasi dell’elaborazione dei dati, come la pulizia, l’aggiunta di metadati, la correlazione e ovviamente l’aggregazione di quanto raccolto dalle varie fonti.
4. Analisi dei dati
Secondo quanto avviene solitamente nelle attività data driven, l’analisi dei dati costituisce la fase in cui si estrae valore da dati di qualità, per trovare risposte dai dati elaborati alle domande che la threat intelligence si pone per svolgere la propria missione informativa.
Questa osservazione dobbiamo innanzitutto porcela pensando a quanto dicevamo qualche capoverso addietro, in merito all’importanza della selezione delle fonti, dal momento che le applicazioni di analisi dei dati ormai sfruttano quasi tutte tecniche di Machine Learning. La qualità dell’apprendimento automatico deriva ovviamente dalla capacità dei dati nel descrivere il contesto di riferimento nei processi di training dell’applicazione, senza rischiare di incorrere nei proverbiali bias.
Nel caso della threat intelligence tali rischi sono mitigati dal fatto che le fonti di dati a cui si fa riferimento sono spesso e volentieri rese disponibili da soggetti la cui credibilità nell’ambito della cybersecurity è molto elevata.
5. Pubblicazione report e insight
Dopo aver analizzato i dati relativi alle minacce informatiche a cui si fa riferimento, diventa essenziale trasmettere le informazioni ottenute agli stakeholder della cybersicurezza aziendale, in modo da parlare per ognuno la rispettiva lingua in termini di competenze tecniche e visione del business.
Rivolgendosi a audience differenti, è dunque necessario selezionare e organizzare le informazioni di conseguenza, con un approccio più divulgativo per il personale non tecnico e una prevalenza di dato puro per quanto concerne i tecnici specializzati, che sanno leggere ed interpretare tali informazioni e rendere immediatamente operative nel corso delle loro attività.
I software di business intelligence e business analytics utilizzati per le analisi descrittive e le analisi predittive dei dati integrano solitamente dei moduli di data visualization che sanno predisporre automaticamente gran parte dei report e degli insight utili alla divulgazione dei risultati.
Un aspetto essenziale della distribuzione dei risultati della threat intelligence è la nobiltà nel diffondere il più possibile i risultati del proprio lavoro verso la community che si occupa a vario titolo di cybersicurezza, in modo da innescare un’azione di intelligence su larga scala, in grado di generare vantaggi di cui tutti possono essere beneficiari sul fronte comune della lotta alla cybercriminalità.
Tali aspetti stanno finalmente entrando anche nelle logiche di strumenti come la normativa comunitaria NIS e soprattutto quanto dovremmo attenderci dalla prossima NIS 2, attualmente in fase di formazione presso la Commissione europea.
Le disposizioni di tali normative, che vengono a loro volta recepiti da appositi strumenti in ciascun paese dell’Unione europea, sono finalizzate ad agevolare la diffusione dei report di threat intelligence relativi agli incidenti informatici, con l’invio ad un’apposita unità di governance, che a sua volta si occupa di rendere disponibili a tutti le informazioni più utili per conoscere le minacce correntemente in circolazione nella rete. La threat intelligence su larga scala costituisce infatti una delle armi più potenti per disinnescare l’azione di gruppi cybercriminali sempre più forti ed evoluti, capaci di rendere sempre più sofisticati e distruttivi i propri attacchi.
