{"id":17333,"date":"2019-05-20T17:11:33","date_gmt":"2019-05-20T15:11:33","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17333"},"modified":"2019-11-22T10:52:42","modified_gmt":"2019-11-22T08:52:42","slug":"evaluating-threat-intelligence","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/evaluating-threat-intelligence\/17333\/","title":{"rendered":"Come valutare le risorse di threat intelligence"},"content":{"rendered":"<p>Le superfici di attacco si stanno espandendo e le minacce diventano sempre pi\u00f9 sofisticate; reagire semplicemente a un incidente ormai non \u00e8 pi\u00f9 sufficiente. Con ambienti sempre pi\u00f9 complessi, i cybercriminali hanno molte opportunit\u00e0 a disposizione. I diversi settori e le relative aziende hanno i propri dati unici da proteggere, impiegano il proprio set di applicazioni, le proprie tecnologie etc. Tutti questi fattori aggiungono un gran numero di variabili ai possibili metodi di esecuzione di un attacco, e ogni giorno ne emergono di nuovi.<\/p>\n<p>Negli ultimi anni, abbiamo osservato la presenza di una visione poco chiara sui tipi di minacce e gli autori. I metodi e gli strumenti che un tempo costituivano una minaccia solo per un numero limitato di aziende ora sono diffuse su pi\u00f9 vasta scala. Un esempio \u00e8 la vendita di codici da parte del gruppo Shadow Brokers, grazie al quale alcuni exploit avanzati sono arrivati nelle mani di gruppi criminali che altrimenti non avrebbero potuto avere accesso a un codice cos\u00ec sofisticato. Un altro esempio \u00e8 la presenza di campagne APT (Advanced Persistent Threat) che non solo si concentrano sul cyberspionaggio ma anche sul furto di denaro da dedicare al finanziamento di altre attivit\u00e0 che coinvolgono il gruppo APT. E l\u2019elenco potrebbe continuare a lungo.<\/p>\n<h3>\u00c8 necessario un nuovo atteggiamento<\/h3>\n<p>Le aziende diventano sempre pi\u00f9 vittime di attacchi mirati e avanzati, per questo bisogna adottare nuovi metodi di difesa che abbiano successo. Per la propria protezione, le aziende devono avere un atteggiamento proattivo e adattare continuamente i propri controlli di sicurezza al panorama delle minacce in costante evoluzione. L\u2019unico modo per essere sempre aggiornati su questi cambiamenti \u00e8 creando un programma di threat intelligence efficace.<\/p>\n<p>La threat intelligence \u00e8 diventata ormai una componente importante delle operazioni di sicurezza, definite dalle aziende di varie dimensioni di tutti le regioni e i settori. In formato leggibile sia per l\u2019uomo, sia per la macchina, la threat intelligence aiuta i team di sicurezza offrendo informazioni importanti durante tutto il ciclo di gestione dell\u2019incidente per poi prendere decisioni strategiche.<\/p>\n<p>Tuttavia, per via della domanda crescente di threat intelligence esterna, sono nati tantissimi vendor, ognuno dei quali offre i servizi pi\u00f9 diversi. Un mercato esteso e competitivo con opzioni numerose e complesse pu\u00f2 far s\u00ec che scegliere la soluzione giusta per la vostra azienda diventi complicato e anche estremamente frustrante.<\/p>\n<div id=\"attachment_17335\" style=\"width: 1642px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-17335\" class=\"wp-image-17335 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2019\/05\/20170748\/threat-intelligence-scheme.png\" alt=\"\" width=\"1632\" height=\"882\"><p id=\"caption-attachment-17335\" class=\"wp-caption-text\">Operazioni di sicurezza condotte dalla threat intelligence<\/p><\/div>\n<p>La threat intelligence che non si adatta perfettamente alle caratteristiche specifiche della vostra azienda pu\u00f2 persino aggravare il problema. In molte compagnie di oggi, gli analisti di sicurezza impiegano pi\u00f9 della met\u00e0 del loro tempo a filtrare i falsi positivi invece di andare alla ricerca delle minacce vere e proprie e di reagire a tali minacce, il che porta a un incremento importante dei tempi di identificazione delle minacce. Dati irrilevanti e non accurati delle operazioni di sicurezza far\u00e0 crescere il numero di falsi allarmi con un impatto estremamente negativo sulle capacit\u00e0 di risposta e sulla sicurezza generale dell\u2019azienda.<\/p>\n<h3>Dove trovare le migliori informazioni<\/h3>\n<p>Come si possono valutare le numerose fonti di threat intelligence a disposizione per identificare quelle pi\u00f9 utili per la vostra azienda e far s\u00ec che siano efficaci dal punto di vista operativo? Come sopravvivere all\u2019enorme quantit\u00e0 di marketing inutile, nel quale tutti i vendor affermano di offrire la miglior soluzione possibile?<\/p>\n<p>Queste domande, seppur legittime, non dovrebbero essere le prime da porsi. Attirate da messaggi e promesse di impatto, molte aziende credono che un vendor esterno possa consegnare loro una specie di superpotere di visione a raggi X, ignorando completamente il fatto che le informazioni pi\u00f9 importanti si trovano all\u2019interno della propria rete aziendale.<\/p>\n<p>Dati di identificazione di intrusioni e sistemi di prevenzione, firewall, registri delle applicazioni e di altri sistemi di sicurezza, tutto ci\u00f2 pu\u00f2 aiutare (e molto) a comprendere cosa sta accadendo all\u2019interno della rete aziendale. Si possono identificare dei modelli di attivit\u00e0 dannosa specifica per l\u2019azienda e si pu\u00f2 distinguere tra un utente normale e il comportamento della rete, registrare l\u2019attivit\u00e0 di accesso ai dati, identificare una potenziale falla da risolvere nei dati e tanto altro. Avere una visione generica di tutto ci\u00f2 permette alle aziende di gestire meglio la threat intelligence esterna, sostenuta da quanto osservato internamente. Diversamente, risulta difficoltoso impiegare risorse esterne. Di fatto, alcuni vendor possono avere una visibilit\u00e0 pi\u00f9 ampia delle cyberminacce grazie alla loro presenza globale e alla possibilit\u00e0 di raccogliere, gestire e collegare dati da varie parti del mondo, ma tutto ci\u00f2 \u00e8 possibile solo avendo a disposizione il contesto interno adeguato.<\/p>\n<div id=\"attachment_17336\" style=\"width: 1627px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-17336\" class=\"wp-image-17336 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2019\/05\/20170858\/threat-intelligence-scheme-2.png\" alt=\"\" width=\"1617\" height=\"946\"><p id=\"caption-attachment-17336\" class=\"wp-caption-text\">Threat intelligence esterna in azione.<\/p><\/div>\n<h3>Pensare come un cybercriminale<\/h3>\n<p>Per creare un programma di threat intelligence efficace, le aziende (compresi i centri di operazioni di sicurezza ben consolidati) devono pensare come si comporterebbe un cybercriminale e proteggere gli obiettivi pi\u00f9 probabili. Capire il valore vero di un programma di threat intelligence implica essere coscienti di quali sono gli asset pi\u00f9 importanti e quali dati e processi aziendali sono fondamentali per raggiungere gli obiettivi dell\u2019azienda. Identificare i \u201cgioielli della corona\u201d consente alle aziende di stabilire dei punti di raccolta dati attorno a essi, per poi mappare i dati raccolti con l\u2019aiuto delle informazioni esterne sulle minacce. Se consideriamo le risorse limitate a disposizione dei dipartimenti di sicurezza, creare il profilo di un\u2019intera azienda \u00e8 un compito davvero arduo. La soluzione \u00e8 adottare un metodo basato sui rischi, concentrandosi prima di tutto sugli obiettivi pi\u00f9 vulnerabili.<\/p>\n<p>Dopo aver definito e rese operative le risorse interne di threat intelligence, l\u2019azienda pu\u00f2 pensare di aggiungere informazioni esterne ai workflow esistenti.<\/p>\n<h3>Questione di fiducia<\/h3>\n<p>Le risorse esterne di threat intelligence variano in quanto a grado di fiducia:<\/p>\n<ul>\n<li>Le risorse \u201caperte\u201d sono gratuite ma spesso manca il contesto e rilevano un numero significativo di falsi positivi;<\/li>\n<li>Per iniziare con il piede giusto, si pu\u00f2 accedere a community di condivisione di informazioni specifiche del settore, come il Financial Services Information Sharing and Analysis Center (FS-ISAC), che offrono dati estremamente importanti (anche se spesso bisogna compilare un formulario di richiesta e registrarsi per avere accesso);<\/li>\n<li>Le risorse di threat intelligence commerciali sono molto pi\u00f9 affidabili, anche se ottenere l\u2019accesso pu\u00f2 implicare un costo economico importante.<\/li>\n<\/ul>\n<p>Il principio guida per la scelta di risorse esterne di threat intelligence dovrebbe far prevalere la qualit\u00e0 sulla quantit\u00e0. Alcune aziende potrebbero pensare che quante pi\u00f9 risorse di threat intelligence integrate, migliore sar\u00e0 la visibilit\u00e0 ottenuta. Pu\u00f2 essere vero in alcuni casi (ad esempio, se si hanno a disposizione fonti estremamente affidabili, anche commerciali, in grado di offrire una threat intelligence su misura del profilo delle minacce che colpisce l\u2019azienda nello specifico). Il rischio, altrimenti, \u00e8 quello di caricare in modo eccessivo le operazioni di sicurezza con informazioni non rilevanti.<\/p>\n<p>La sovrapposizione di informazioni offerte da vendor specializzati in threat intelligence pu\u00f2 essere minima. Le fonti di threat intelligence e i metodi di raccolta delle informazioni che utilizzano possono essere diversi e gli insight proposti sono unici sotto certi aspetti. Ad esempio, un vendor che ha una maggiore presenza in una determinata regione, potr\u00e0 apportare maggiori informazioni dettagliate sulle minacce provenienti da quella regione, mentre altri vendor potrebbero avere maggiori dati su delle tipologie specifiche di minacce. Avere accesso a entrambe le fonti pu\u00f2 avere i suoi vantaggi perch\u00e9, se usate insieme, possono aiutare a creare un quado pi\u00f9 ampio e a condurre una campagna di threat hunting e di risposta agli incidenti pi\u00f9 efficace. Tuttavia, va tenuto in considerazione che queste tipologie di fonti affidabili richiedono una valutazione previa per capire se le informazioni offerte sono adeguate alle necessit\u00e0 specifiche della vostra azienda e all\u2019uso che ne farete (operazioni di sicurezza, risposta agli incidenti, gestione dei rischi e delle vulnerabilit\u00e0, red teaming etc.).<\/p>\n<h3>Aspetti da considerare quando si valuta un\u2019offerta commerciale di threat intelligence<\/h3>\n<p>Non esistono criteri comuni e definiti che aiutino a vagliare le differenti offerte di threat intelligence; tuttavia, s\u00ec che esistono alcuni aspetti da considerare in ogni caso:<\/p>\n<ul>\n<li>Cercate informazioni con un raggio d\u2019azione globale. Gli attacchi non rispettano le frontiere (un attacco che colpisce un\u2019azienda in America Latina pu\u00f2 partire dall\u2019Europa e viceversa). Il vendor in esame offre informazioni di tipo globale e confronta attivit\u00e0 apparentemente non in relazione in una campagna a pi\u00f9 ampio spettro? Informazioni di questo tipo vi aiuteranno a prendere le dovute decisioni;<\/li>\n<li>Se state cercando un contenuto pi\u00f9 strategico per un piano a pi\u00f9 lungo termine, dovreste essere certi di ottenere:<\/li>\n<li>Una visione di un certo livello delle tendenze di attacco;<\/li>\n<li>Tecniche e metodi adottati dai cybercriminali;<\/li>\n<li>Motivazioni;<\/li>\n<li>Attribuzioni, etc.,<\/li>\n<\/ul>\n<p>Inoltre, dovreste cercare un fornitore di threat intelligence che abbia una buona base di esperienza nella scoperta e analisi di minacce complesse nella vostra regione o nel vostro settore. \u00c8 anche importante che sia in grado di adattare le proprie capacit\u00e0 di ricerca alle necessit\u00e0 e specificit\u00e0 della vostra azienda;<\/p>\n<ul>\n<li>I dati si trasformano in informazioni rilevanti grazie al contesto. Gli indicatori delle minacce senza il contesto non servono a nulla, dovreste andare alla ricerca di un vendor che vi aiuti a rispondere a questa domanda: \u201cperch\u00e9 questo dato \u00e8 importante per me?\u201d. Il contesto di relazione (ad esempio, i domini associati agli indirizzi IP identificati e gli URL da cui sono stati scaricati certi file) apporta un valore aggiunto, rendendo le indagini pi\u00f9 efficaci e comprendendo meglio l\u2019incidente mediante la scoperta di indicatori di compromissione della rete di recente acquisizione;<\/li>\n<li>Si d\u00e0 per scontato che la vostra azienda disponga gi\u00e0 di sistemi di controllo della sicurezza e che abbia definito i relativi processi; per questo \u00e8 importante applicare la threat intelligence agli strumenti gi\u00e0 conosciuti e in uso. \u00c8 importante, quindi, andare alla ricerca di metodi di invio, meccanismi di integrazione e formati che facilitino l\u2019integrazione agevolata della threat intelligence alle vostre operazioni di sicurezza gi\u00e0 esistenti.<\/li>\n<\/ul>\n<p>Noi di Kaspersky Lab, da oltre vent\u2019anni ci concentriamo sul lavoro di ricerca delle minacce. Avendo a disposizione petabyte di dati importanti sulle minacce da analizzare, le nostre tecnologie avanzate di apprendimento automatico e un pool di esperti a livello globale, lavoriamo per offrirvi la threat intelligence pi\u00f9 aggiornata proveniente da tutto il mondo, aiutandovi a difendervi anche da cyberattacchi mai visti prima. Per maggiori informazioni, potete visitare la pagina dedicata a <a href=\"https:\/\/www.kaspersky.com\/enterprise-security\/security-operations-center-soc\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky for Security Operations Center<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Per garantire la loro protezione, le aziende devono assumere un atteggiamento proattivo e adattarsi al panorama delle minacce in costante mutamento. <\/p>\n","protected":false},"author":2510,"featured_media":17334,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[3128,2274],"class_list":{"0":"post-17333","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-siem","11":"tag-threat-intelligence"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/evaluating-threat-intelligence\/17333\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/evaluating-threat-intelligence\/15773\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/evaluating-threat-intelligence\/13301\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/evaluating-threat-intelligence\/17684\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/evaluating-threat-intelligence\/15829\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/evaluating-threat-intelligence\/14572\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/evaluating-threat-intelligence\/18466\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/evaluating-threat-intelligence\/28505\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/evaluating-threat-intelligence\/5984\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/evaluating-threat-intelligence\/26952\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/evaluating-threat-intelligence\/11750\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/evaluating-threat-intelligence\/11863\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/evaluating-threat-intelligence\/19273\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/evaluating-threat-intelligence\/23252\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/evaluating-threat-intelligence\/22401\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/evaluating-threat-intelligence\/22609\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/evaluating-threat-intelligence\/22559\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/threat-intelligence\/","name":"threat intelligence"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17333","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2510"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=17333"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17333\/revisions"}],"predecessor-version":[{"id":18448,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/17333\/revisions\/18448"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/17334"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=17333"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=17333"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=17333"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}