Come valutare le risorse di threat intelligence

20 Mag 2019

Le superfici di attacco si stanno espandendo e le minacce diventano sempre più sofisticate; reagire semplicemente a un incidente ormai non è più sufficiente. Con ambienti sempre più complessi, i cybercriminali hanno molte opportunità a disposizione. I diversi settori e le relative aziende hanno i propri dati unici da proteggere, impiegano il proprio set di applicazioni, le proprie tecnologie etc. Tutti questi fattori aggiungono un gran numero di variabili ai possibili metodi di esecuzione di un attacco, e ogni giorno ne emergono di nuovi.

Negli ultimi anni, abbiamo osservato la presenza di una visione poco chiara sui tipi di minacce e gli autori. I metodi e gli strumenti che un tempo costituivano una minaccia solo per un numero limitato di aziende ora sono diffuse su più vasta scala. Un esempio è la vendita di codici da parte del gruppo Shadow Brokers, grazie al quale alcuni exploit avanzati sono arrivati nelle mani di gruppi criminali che altrimenti non avrebbero potuto avere accesso a un codice così sofisticato. Un altro esempio è la presenza di campagne APT (Advanced Persistent Threat) che non solo si concentrano sul cyberspionaggio ma anche sul furto di denaro da dedicare al finanziamento di altre attività che coinvolgono il gruppo APT. E l’elenco potrebbe continuare a lungo.

È necessario un nuovo atteggiamento

Le aziende diventano sempre più vittime di attacchi mirati e avanzati, per questo bisogna adottare nuovi metodi di difesa che abbiano successo. Per la propria protezione, le aziende devono avere un atteggiamento proattivo e adattare continuamente i propri controlli di sicurezza al panorama delle minacce in costante evoluzione. L’unico modo per essere sempre aggiornati su questi cambiamenti è creando un programma di threat intelligence efficace.

La threat intelligence è diventata ormai una componente importante delle operazioni di sicurezza, definite dalle aziende di varie dimensioni di tutti le regioni e i settori. In formato leggibile sia per l’uomo, sia per la macchina, la threat intelligence aiuta i team di sicurezza offrendo informazioni importanti durante tutto il ciclo di gestione dell’incidente per poi prendere decisioni strategiche.

Tuttavia, per via della domanda crescente di threat intelligence esterna, sono nati tantissimi vendor, ognuno dei quali offre i servizi più diversi. Un mercato esteso e competitivo con opzioni numerose e complesse può far sì che scegliere la soluzione giusta per la vostra azienda diventi complicato e anche estremamente frustrante.

Operazioni di sicurezza condotte dalla threat intelligence

La threat intelligence che non si adatta perfettamente alle caratteristiche specifiche della vostra azienda può persino aggravare il problema. In molte compagnie di oggi, gli analisti di sicurezza impiegano più della metà del loro tempo a filtrare i falsi positivi invece di andare alla ricerca delle minacce vere e proprie e di reagire a tali minacce, il che porta a un incremento importante dei tempi di identificazione delle minacce. Dati irrilevanti e non accurati delle operazioni di sicurezza farà crescere il numero di falsi allarmi con un impatto estremamente negativo sulle capacità di risposta e sulla sicurezza generale dell’azienda.

Dove trovare le migliori informazioni

Come si possono valutare le numerose fonti di threat intelligence a disposizione per identificare quelle più utili per la vostra azienda e far sì che siano efficaci dal punto di vista operativo? Come sopravvivere all’enorme quantità di marketing inutile, nel quale tutti i vendor affermano di offrire la miglior soluzione possibile?

Queste domande, seppur legittime, non dovrebbero essere le prime da porsi. Attirate da messaggi e promesse di impatto, molte aziende credono che un vendor esterno possa consegnare loro una specie di superpotere di visione a raggi X, ignorando completamente il fatto che le informazioni più importanti si trovano all’interno della propria rete aziendale.

Dati di identificazione di intrusioni e sistemi di prevenzione, firewall, registri delle applicazioni e di altri sistemi di sicurezza, tutto ciò può aiutare (e molto) a comprendere cosa sta accadendo all’interno della rete aziendale. Si possono identificare dei modelli di attività dannosa specifica per l’azienda e si può distinguere tra un utente normale e il comportamento della rete, registrare l’attività di accesso ai dati, identificare una potenziale falla da risolvere nei dati e tanto altro. Avere una visione generica di tutto ciò permette alle aziende di gestire meglio la threat intelligence esterna, sostenuta da quanto osservato internamente. Diversamente, risulta difficoltoso impiegare risorse esterne. Di fatto, alcuni vendor possono avere una visibilità più ampia delle cyberminacce grazie alla loro presenza globale e alla possibilità di raccogliere, gestire e collegare dati da varie parti del mondo, ma tutto ciò è possibile solo avendo a disposizione il contesto interno adeguato.

Threat intelligence esterna in azione.

Pensare come un cybercriminale

Per creare un programma di threat intelligence efficace, le aziende (compresi i centri di operazioni di sicurezza ben consolidati) devono pensare come si comporterebbe un cybercriminale e proteggere gli obiettivi più probabili. Capire il valore vero di un programma di threat intelligence implica essere coscienti di quali sono gli asset più importanti e quali dati e processi aziendali sono fondamentali per raggiungere gli obiettivi dell’azienda. Identificare i “gioielli della corona” consente alle aziende di stabilire dei punti di raccolta dati attorno a essi, per poi mappare i dati raccolti con l’aiuto delle informazioni esterne sulle minacce. Se consideriamo le risorse limitate a disposizione dei dipartimenti di sicurezza, creare il profilo di un’intera azienda è un compito davvero arduo. La soluzione è adottare un metodo basato sui rischi, concentrandosi prima di tutto sugli obiettivi più vulnerabili.

Dopo aver definito e rese operative le risorse interne di threat intelligence, l’azienda può pensare di aggiungere informazioni esterne ai workflow esistenti.

Questione di fiducia

Le risorse esterne di threat intelligence variano in quanto a grado di fiducia:

  • Le risorse “aperte” sono gratuite ma spesso manca il contesto e rilevano un numero significativo di falsi positivi;
  • Per iniziare con il piede giusto, si può accedere a community di condivisione di informazioni specifiche del settore, come il Financial Services Information Sharing and Analysis Center (FS-ISAC), che offrono dati estremamente importanti (anche se spesso bisogna compilare un formulario di richiesta e registrarsi per avere accesso);
  • Le risorse di threat intelligence commerciali sono molto più affidabili, anche se ottenere l’accesso può implicare un costo economico importante.

Il principio guida per la scelta di risorse esterne di threat intelligence dovrebbe far prevalere la qualità sulla quantità. Alcune aziende potrebbero pensare che quante più risorse di threat intelligence integrate, migliore sarà la visibilità ottenuta. Può essere vero in alcuni casi (ad esempio, se si hanno a disposizione fonti estremamente affidabili, anche commerciali, in grado di offrire una threat intelligence su misura del profilo delle minacce che colpisce l’azienda nello specifico). Il rischio, altrimenti, è quello di caricare in modo eccessivo le operazioni di sicurezza con informazioni non rilevanti.

La sovrapposizione di informazioni offerte da vendor specializzati in threat intelligence può essere minima. Le fonti di threat intelligence e i metodi di raccolta delle informazioni che utilizzano possono essere diversi e gli insight proposti sono unici sotto certi aspetti. Ad esempio, un vendor che ha una maggiore presenza in una determinata regione, potrà apportare maggiori informazioni dettagliate sulle minacce provenienti da quella regione, mentre altri vendor potrebbero avere maggiori dati su delle tipologie specifiche di minacce. Avere accesso a entrambe le fonti può avere i suoi vantaggi perché, se usate insieme, possono aiutare a creare un quado più ampio e a condurre una campagna di threat hunting e di risposta agli incidenti più efficace. Tuttavia, va tenuto in considerazione che queste tipologie di fonti affidabili richiedono una valutazione previa per capire se le informazioni offerte sono adeguate alle necessità specifiche della vostra azienda e all’uso che ne farete (operazioni di sicurezza, risposta agli incidenti, gestione dei rischi e delle vulnerabilità, red teaming etc.).

Aspetti da considerare quando si valuta un’offerta commerciale di threat intelligence

Non esistono criteri comuni e definiti che aiutino a vagliare le differenti offerte di threat intelligence; tuttavia, sì che esistono alcuni aspetti da considerare in ogni caso:

  • Cercate informazioni con un raggio d’azione globale. Gli attacchi non rispettano le frontiere (un attacco che colpisce un’azienda in America Latina può partire dall’Europa e viceversa). Il vendor in esame offre informazioni di tipo globale e confronta attività apparentemente non in relazione in una campagna a più ampio spettro? Informazioni di questo tipo vi aiuteranno a prendere le dovute decisioni;
  • Se state cercando un contenuto più strategico per un piano a più lungo termine, dovreste essere certi di ottenere:
  • Una visione di un certo livello delle tendenze di attacco;
  • Tecniche e metodi adottati dai cybercriminali;
  • Motivazioni;
  • Attribuzioni, etc.,

Inoltre, dovreste cercare un fornitore di threat intelligence che abbia una buona base di esperienza nella scoperta e analisi di minacce complesse nella vostra regione o nel vostro settore. È anche importante che sia in grado di adattare le proprie capacità di ricerca alle necessità e specificità della vostra azienda;

  • I dati si trasformano in informazioni rilevanti grazie al contesto. Gli indicatori delle minacce senza il contesto non servono a nulla, dovreste andare alla ricerca di un vendor che vi aiuti a rispondere a questa domanda: “perché questo dato è importante per me?”. Il contesto di relazione (ad esempio, i domini associati agli indirizzi IP identificati e gli URL da cui sono stati scaricati certi file) apporta un valore aggiunto, rendendo le indagini più efficaci e comprendendo meglio l’incidente mediante la scoperta di indicatori di compromissione della rete di recente acquisizione;
  • Si dà per scontato che la vostra azienda disponga già di sistemi di controllo della sicurezza e che abbia definito i relativi processi; per questo è importante applicare la threat intelligence agli strumenti già conosciuti e in uso. È importante, quindi, andare alla ricerca di metodi di invio, meccanismi di integrazione e formati che facilitino l’integrazione agevolata della threat intelligence alle vostre operazioni di sicurezza già esistenti.

Noi di Kaspersky Lab, da oltre vent’anni ci concentriamo sul lavoro di ricerca delle minacce. Avendo a disposizione petabyte di dati importanti sulle minacce da analizzare, le nostre tecnologie avanzate di apprendimento automatico e un pool di esperti a livello globale, lavoriamo per offrirvi la threat intelligence più aggiornata proveniente da tutto il mondo, aiutandovi a difendervi anche da cyberattacchi mai visti prima. Per maggiori informazioni, potete visitare la pagina dedicata a Kaspersky for Security Operations Center.