{"id":23244,"date":"2020-11-24T13:46:01","date_gmt":"2020-11-24T11:46:01","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23244"},"modified":"2021-04-28T16:44:03","modified_gmt":"2021-04-28T14:44:03","slug":"cos-e-la-threat-intelligence-e-come-scoprire-se-e-arrivato-il-momento-di-integrarla-in-azienda","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cos-e-la-threat-intelligence-e-come-scoprire-se-e-arrivato-il-momento-di-integrarla-in-azienda\/23244\/","title":{"rendered":"Threat Intelligence: scopri se \u00e8 arrivato il momento di integrarla in azienda"},"content":{"rendered":"

Aziende, vendor e analisti sono attualmente impegnati in un accurato processo di studio e verifica volto a definire cos\u2019\u00e8 effettivamente la Threat Intelligence<\/strong><\/a> e ci\u00f2 che invece non lo \u00e8. Si tratta di un processo assolutamente necessario, perch\u00e9 solo comprendendo ci\u00f2 che NON \u00e8 Threat Intelligence, si potr\u00e0 registrare un\u2019evoluzione del settore in termini di sviluppo di prodotti e servizi che serviranno da base per una Cybersecurity proattiva.<\/p>\n

Originariamente, sono state considerate in qualit\u00e0 di precursori della \u201cThreat Intelligence<\/strong>\u201d le liste bloccati di IP e URL; in seguito, per integrare le informazioni contenute in tali elenchi, sono stati sviluppati prodotti di sicurezza come i firewall next generation (NGFW) e specifici prodotti per la gestione degli eventi (SIEM). Tuttavia, con il trascorrere del tempo, la quantit\u00e0 di dati riconducibili alla Threat Intelligence \u00e8 cresciuta in modo esponenziale; \u00e8 quindi divenuto particolarmente difficile stabilire cosa fosse davvero rilevante e cosa no. Inoltre, i controlli di sicurezza allora esistenti non erano stati affatto progettati per elaborare un numero cos\u00ec elevato di Indicatori di Compromissione.<\/p>\n

L\u2019importanza dell\u2019analisi dei dati<\/strong><\/h3>\n

Vi sono attualmente numerosi provider di threat feed<\/strong> e servizi di intelligence sulle minacce intenti a processare e fornire grandi quantit\u00e0 di dati essenzialmente non elaborati (ovvero indicatori privi di contesto), proposti sul mercato come \u201cThreat Intelligence\u201d. Alimentare le proprie attivit\u00e0 di sicurezza con una simile \u201cintelligence\u201d causa inevitabilmente un numero eccessivo di falsi avvisi di sicurezza quotidiani, che si riflette in un sovraccarico di lavoro per i team responsabili della sicurezza IT, creando notevoli difficolt\u00e0 nella gestione di tali notifiche. Situazioni del genere provocano un forte impatto negativo, sia in termini di effettiva capacit\u00e0 di risposta agli incidenti, sia a livello di sicurezza complessiva dell\u2019azienda. Secondo una ricerca condotta da Cisco nel 2018, il 44% degli avvisi di sicurezza quotidiani non viene sottoposto ad alcuna investigation<\/strong>: i dati rimangono semplicemente inutilizzati. Selezionare e classificare un\u2019enorme quantit\u00e0 di dati (privi di effettivo contesto) provenienti dalle fonti di intelligence sulle minacce non significa affatto produrre e fornire una vera Threat Intelligence.<\/p>\n

Ci\u00f2 ha generato la consapevolezza che non esiste, di fatto, una soluzione di Threat Intelligence pronta all\u2019uso per garantire la protezione dell\u2019azienda. \u00c8 opinione comune, al giorno d\u2019oggi, che montagne di dati non elaborati e privi di qualsiasi struttura non debbano essere definite \u201cutili\u201d, e men che meno classificate come \u201cintelligence\u201d. E soprattutto, i dati, per quanto rilevanti, continuano a rivelarsi inutili se non risultano finalizzati all\u2019azione e contestualizzati.<\/p>\n

L\u2019attenzione \u00e8 ora interamente rivolta alla qualit\u00e0 delle fonti di dati<\/strong>. La sola identificazione di ci\u00f2 che in passato rappresentava una minaccia appartiene ormai a un\u2019epoca remota. I dati devono necessariamente fornire non solo gli insight, ma anche precise linee guida per le conseguenti decisioni e azioni. E se la qualit\u00e0 dei dati risulta limitata dalla carenza di valide fonti, ad esempio in caso di visibilit\u00e0 insufficiente riguardo alle minacce che si celano nella Darknet, o di assenza di una vision globale e multilingue, \u00e8 impossibile trasformare gli stessi in un\u2019efficace Threat Intelligence. Una vera intelligence deve essere in grado di prevedere il modo in cui l\u2019azienda dovr\u00e0 necessariamente prepararsi per combattere le future minacce.<\/p>\n

Ogni organizzazione \u00e8 diversa e necessit\u00e0 di soluzioni mirate<\/h3>\n

Inoltre, una valida soluzione di Threat Intelligence deve sapersi adattare perfettamente alle specifiche esigenze di ogni singola organizzazione in termini di sicurezza IT. Deve guidare l\u2019azienda nell\u2019impostare, in relazione agli asset di natura critica, gli indispensabili punti di raccolta interna dei dati, in modo da abbinare questi ultimi con la Threat Intelligence esterna, al fine di identificare in modo efficiente le potenziali minacce. Senza tale approccio mirato, non si potranno stabilire le necessarie priorit\u00e0 in termini di informazioni occorrenti per difendere le risorse chiave. \u201cLe minacce sono effettivamente tali solo nello specifico contesto di rischio dell\u2019azienda\u201d, afferma Helen Patton, Chief Information Security Officer (CISO) presso la Ohio State University.
\n
\n\"\"<\/span>SCARICA L\u2019INFOGRAFICA COMPLETA IN ALTA DEFINIZIONE QUI<\/a><\/p>\n

Fondamentale l\u2019integrazione con i processi aziendali
\n<\/strong><\/h3>\n

In ultima analisi, se l\u2019intelligence non \u00e8 \u201cfinalizzata all\u2019azione\u201d non si rivela utile. Per esserlo, deve riuscire a integrare perfettamente pi\u00f9 fonti di Threat Intelligence nelle attivit\u00e0 di sicurezza svolte dall\u2019organizzazione, attraverso un unico entry point. Se la Threat Intelligence di tipo machine-readable e human-readable non pu\u00f2 essere utilizzata in modo rapido e agevole assieme ai sistemi gi\u00e0 implementati in azienda, se i relativi formati e metodi di fornitura non supportano una facile integrazione con le attivit\u00e0 di sicurezza gi\u00e0 esistenti, ci\u00f2 significa che i dati prodotti non potranno essere convertiti in una efficace soluzione di Threat Intelligence.<\/p>\n

In conclusione, se risulta impossibile elaborare, integrare e convertire i dati in intelligence finalizzata ad un\u2019azione immediata, allo scopo di garantire esclusivi insight sulle minacce emergenti, consentire ai security team di assegnare le giuste priorit\u00e0 agli avvisi di sicurezza, ottimizzare le risorse e accelerare i processi decisionali, un simile accumulo di dati non potr\u00e0 mai superare il test di \u201cThreat Intelligence\u201d in base ai requisiti necessari nel 2020.<\/p>\n

Come decidere se la propria azienda \u00e8 \u201cpronta\u201d per la Threat Intelligence?<\/h3>\n

Di seguito sono riportate alcune domande, estremamente utili per determinarlo. Se la maggior parte delle risposte \u00e8 S\u00cc, allora \u00e8 gi\u00e0 tempo di pensare a integrare la Threat Intelligence in azienda.<\/p>\n

    \n
  1. L\u2019azienda ha bisogno di prendere decisioni informate pi\u00f9 rapide e pi\u00f9 efficaci in materia di sicurezza IT, basate su prove concrete, anzich\u00e9 starsene a inseguire delle ombre?<\/li>\n
  2. Gli esperti del security team aziendale si trovano in difficolt\u00e0 nella gestione degli avvisi di sicurezza e nell\u2019assegnazione delle relative priorit\u00e0? Forse un considerevole numero di avvisi non viene esaminato semplicemente perch\u00e9 il team in questione \u00e8 gi\u00e0 sovraccarico di lavoro?<\/li>\n
  3. L\u2019azienda deve comprendere meglio quali sono le vulnerabilit\u00e0 maggiormente soggette allo sfruttamento da parte di cybercriminali? Non sa esattamente in che modo assegnare le priorit\u00e0 a livello di patching?<\/li>\n
  4. L\u2019azienda ha forse bisogno di informazioni in tempo reale pi\u00f9 accurate riguardo agli URL e agli indirizzi IP malevoli che minacciano il proprio ambiente digitale?<\/li>\n
  5. L\u2019azienda deve individuare eventuali dati carpiti da qualche malintenzionato, che potrebbero arrecare danni all\u2019immagine o al brand dell\u2019impresa?<\/li>\n
  6. All\u2019azienda occorre forse un quadro ben pi\u00f9 chiaro riguardo a chi possa effettivamente essere l\u2019avversario, in merito alle tipologie di attacco pi\u00f9 probabili e alle misure proattive da adottare per rafforzare le difese informatiche?<\/li>\n
  7. L\u2019azienda corre il rischio di non riuscire a rilevare le minacce attive in agguato all\u2019interno dell\u2019infrastruttura IT, oppure i cyberattacchi nel momento stesso in cui si verificano (e individua l\u2019assalto solo in seguito, o addirittura mai!), mentre aumentano i costi generati dall\u2019attacco e si amplifica la portata delle conseguenze negative prodotte dallo stesso?<\/li>\n
  8. L\u2019azienda si trova in difficolt\u00e0 nello stabilire le priorit\u00e0 in relazione agli incidenti occorsi e rischia di perseguire una strategia di sicurezza per nulla adeguata alle attuali minacce attive?<\/li>\n<\/ol>\n

    Per un test dimostrativo riguardo ai vantaggi prodotti dall\u2019implementazione di un servizio di Threat Intelligence all\u2019interno della propria azienda, \u00e8 possibile accedere gratuitamente al Threat Intelligence Portal (TIP) di Kaspersky<\/a><\/strong>, che mette a disposizione decine di tecnologie di analisi avanzata, combinate tra loro, relativamente a file, hash, indirizzi IP e URL sospetti, consentendo ben 4.000 lookup al giorno per ogni singola azienda.<\/p>\n

    Inoltre, compilando il form sottostante potrete ricevere il nostro whitepaper che spiega come migliorare l\u2019approccio alla sicurezza grazie all\u2019impiego di una Threat Intelligence tattica e strategica.<\/p>\n

    <\/form>