threat intelligence
Per molte aziende, “threat intelligence” sono solo indicatori di dati di compromissione e informazioni su specifici strumenti dei criminali informatici. In realtà, la threat intelligence implica una conoscenza molto più profonda sugli attori delle minacce, compreso il monitoraggio della loro attività sulla rete. A volte queste informazioni consentono non solo di avere un’idea dei metodi e delle tattiche criminali, ma anche di prevenire un crimine informatico. Un esempio vivido è il recente caso della banca centrale di un paese latinoamericano.
Cos’è successo
Studiando l’attività dei criminali informatici, i nostri esperti hanno appreso che un gruppo è riuscito ad accedere alla rete bancaria. Gli investigatori hanno immediatamente avvisato la vittima, contattato l’Interpol e condotto insieme un’indagine approfondita sull’incidente. Come risultato, sono riusciti a eliminare le vulnerabilità dell’infrastruttura aziendale e a prevenire perdite finanziarie reali. Purtroppo, non possiamo condividere i dettagli dell’incidente e descrivere come gli hacker sono penetrati nella rete della banca.
Come i nostri esperti sono riusciti a rilevare l’attività degli intrusi
Non tutti i criminali informatici sono responsabili di un ciclo completo di attacco, dallo studio iniziale dell’obiettivo alla mossa finale (che di solito è l’esfiltrazione di dati o denaro, o l’infezione da ransomware). Ci sono gruppi specializzati esclusivamente nell’accesso all’infrastruttura delle aziende: dopo essere penetrati con successo nella rete, cercano di vendere l’accesso a chi può organizzare un attacco sul dark web o sui forum di hacker. Inoltre, ci sono i cosiddetti Initial Access Brokers che comprano l’accesso e poi lo rivendono ad altri criminali informatici.
Studiando le attività di criminali completamente diversi, i nostri ricercatori hanno scoperto che qualcuno sta cercando partner per attaccare la banca al fine di eseguire qualche tipo di frode informatica. Hanno condiviso alcune informazioni come prova di accesso all’infrastruttura della banca, e questo ha aiutato i nostri esperti a identificare la vittima e prevenire il crimine.
Come può aiutare la threat intelligence un’azienda in particolare?
In questo caso i nostri esperti non stavano cercando segni di un attacco a una particolare banca. Questa banca non era nemmeno nostra cliente. Tuttavia, i nostri strumenti possono permettervi di tracciare le minacce per un’organizzazione specifica. Il nostro portfolio Threat Intelligence comprende un servizio di Digital Footprint Intelligence che consente di creare un “ritratto digitale” dinamico di un’organizzazione, e quindi di rintracciare i sintomi pericolosi attraverso le fonti aperte sul dark web e sul deep web. A volte questo permette di prevenire incidenti informatici piuttosto gravi.
Inoltre, per proteggersi da attacchi sofisticati, si consiglia di utilizzare servizi come Managed Detection and Response. Permette al vostro team di cybersecurity di impiegare l’aiuto di esperti esterni per rilevare e fermare attacchi complessi all’infrastruttura aziendale in una fase iniziale.
