Cos'è la threat intelligence? Definizione e spiegazione

La Threat intelligence è il processo di identificazione e analisi delle cyberminacce Il termine "threat intelligence" si riferisce sia ai dati raccolti su una potenziale minaccia sia ai processi di aggregazione, interpretazione e analisi di quei dati per una migliore comprensione delle minacce. La Threat intelligence prevede ordinare i dati, esaminarli in maniera contestuale per individuare i problemi e mettere in campo soluzioni specifiche al problema trovato.

Grazie alla digital technology, oggi il mondo è più interconnesso che mai. Questa maggiore connessione ha però portato anche a un maggior rischio di cyber attacchi come violazioni della sicurezza, furto di dati e malware. La threat intelligence è un aspetto chiave della cybersecurity. Continua a leggere per scoprire cos'è la threat intelligence, perchè è fondamentale e come metterla in pratica.

Cos'è la threat intelligence?

La definizione di threat intelligence viene spesso semplificata o confusa con altri termini relativi alla cybersecurity. Nella maggior parte dei casi le persone confondono "threat data" e "threat intelligence", ma sono due cose diverse:

• Threat data è un elenco di possibili minacce.
• Threat intelligence è una visione d'insieme: si interrogano i dati e il contesto più ampio per costruirne un racconto che sia in grado di supportare i processi decisionali.

In sostanza, la threat intelligence consente alle organizzazioni di prendere decisioni sulla sicurezza in maniera più veloce e consapevole. Spinge a comportamenti di contrasto ai cyber attacchi più proattivi che reattivi.

Perchè è importante la threat intelligence?

La threat intelligence è un tassello fondamentale per qualsiasi ecosistema di cybersecurity. Un programma di cyber threat intelligence, anche detto CTI, è in grado di:

• Prevenire la perdita di dati: con un programma di CTI ben strutturato le organizzazioni possono individuare le minacce informatiche e impedire alle violazioni di dati di rilasciare informazioni sensibili.
• Fornire indicazioni sulle misure di sicurezza: attraverso l'identificazione e l'analisi delle minacce, la CTI individua i modelli usati dagli hacker e supporta le organizzazioni nell'introduzione di misure di sicurezza in grado di proteggere da futuri attacchi.
• Informare gli altri: gli hacker diventano ogni giorno più furbi. Per fronteggiarli, gli esperti di cybersecurity condividono le tattiche apprese all'interno della comunità IT così da creare una base di conoscenza collettiva per combattere i cybercrimini.

Tipi di threat intelligence

La threat intelligence viene in genere suddivisa in tre categorie: strategica, tattica e operativa. Esaminiamoli singolarmente:

La threat intelligence strategica:

È un'analisi di alto livello ideata generalmente per un pubblico non tecnico, come il consiglio di amministrazione di un'azienda o di un'organizzazione. Copre quegli argomenti di sicurezza informatica che possono avere un impatto più ampio sulle decisioni aziendali e guarda alle tendenze generali oltre che alle possibili cause. La threat intelligence strategica è spesso basata su open sources, le risorse a cui può accedere chiunque, come le inchieste dei media, i white paper e le ricerce.

Threat intelligence tattica:

Si focalizza sul futuro immediato ed è ideata per un pubblico tecnicamente più esperto. Identifica semplici indicatori di compromissione (IOC) per consentire ai team IT di rintracciare ed eliminiare specifiche minacce all'interno del network. Gli IOC includono elementi come indirizzi IP pericolosi, domini dannosi, traffico sospetto, red flag di log-in o un aumento di richieste di file/download. L'intelligence tattica è il tipo di intelligence più semplice da generare ed è generalmente automatizzata. In genere ha un ciclo di vita piuttosto breve poichè molti IOC diventano obsoleti in fretta.

La threat intelligence operativa:

Dietro a ogni attacco informatico ci sono un "chi", un "perchè" e un "come". La threat intelligence operativa è ideata per rispondere a queste domande e attraverso lo studio di cyberattacchi passati traccia conclusioni circa scopo, tempistica e complessità. La threat intelligence operativa richiede maggiori risorse rispetto a quella tattica e ha una durata di vita più lunga. Questo perchè per gli aggressori informatici non possono cambiare tattiche, tecniche e procedure (conosciute come TTP) con la stessa facilità con cui cambiano i loro strumenti, come ad esempio uno specifico tipo di malware.

Ciclo di vita della cyber threat intelligence

In relazione alla threat intelligence gli esperti di sicurezza informatica usano il concetto di ciclo di vita. Un tipico esempio di ciclo di vita della cyberminaccia prevede i seguenti stadi: direzione, raccolta, trattamento, analisi, diffusione e feedback.

Fase 1: Direzione

Questa fase si focalizza su fissare obiettivi per il programma di threat intelligence. Questo include:

• Comprendere quali aspetti dell'organizzazione hanno bisogno di essere protetti e possibilmente darne un ordine di priorità.
• Individuare di quale tipo di threat intelligence l'organizzazione ha bisogno per proteggere i proprio asset e rispondere alle minacce.
• Comprendere l'impatto di un'eventuale violazione di dati sull'organizzazione.

Fase 2: Raccolta

Questa fase riguarda l'aggregazione di dati a supporto degli obiettivi e degli scopi fissati nella Fase 1. Quantità e qualità dei dati sono entrambe cruciali per evitare di non cogliere eventi minacciosi seri o di essere fuorviati da falsi positivi. In questa fase, le organizzazioni hanno bisogno di identificare le proprie fonti di dati, il che comprende:

• Metadati da reti interne e da dispositivi di sicurezza
• Minacce ai data feed da organizzazioni di sicurezza informatica credibili
• Colloqui con stakeholder aggiornati
• Nuovi siti e blog open source

Fase 3: Trattamento

Tutti i dati raccolti hanno bisogno di essere convertiti in un formato che l'organizzazione possa utilizzare. Diversi metodi di raccolta dei dati richiedono differenti strumenti di trattamento. Per esempio, i dati provenienti da colloqui con persone possono aver bisogno di essere verificati e incrociati con altri dati.

Fase 4: Analisi

Una volta che i dati sono stati processati in un formato utilizzabile, è necessario analizzarli. L'analisi è il processo che trasforma le informazioni in intelligence, capace di guidare le decisioni aziendali. Queste decisioni possono riguardare l'aumento degli investimenti in risorse per la sicurezza, l'eventualità di un'indagine più approfondita circa una specifica minaccia o una serie di minacce, le azioni da intraprendere per bloccare una minaccia immediata, gli strumenti di threat intelligence necessari e così via.

Fase 5: Diffusione

Portate a termini le operazioni di analisi, le raccomandazioni e le conclusioni chiave devono essere diffuse fra i principali stakeholder all'interno dell'azienda. Dentro l'azienda team diversi avranno esigenze diverse. Per una distribuzione efficace, è importante comprendere di che tipo di intelligence abbiano bisogno i diversi pubblici, in quale formato e con quale frequenza.

Fase 6: Feedback

I feedback degli s atakeholder aiuteranno a migliorare il programma di threat intelligence e faranno in modo che questo rifletta le richieste e gli obiettivi di ciascun gruppo.

Il termine "ciclo di vita" sottolinea come la threat intelligence non sia un processo lineare e univoco. Al contrario si tratta di un processo circolare e ripetitivo che le organizzazioni utilizzano per un miglioramento costante.

Chi beneficia della threat intelligence?

Chiunque sia interessato alla sicurezza beneficia della threat intelligence. In particolare se stai portando avanti un'azienda, i vantaggi comprendono:

Riduzione dei rischi

Gli hackers sono sempre in cerca di nuove strade per penetrare le reti delle aziende. La cyber threat intelligence consente ai mercati di identificare sul nascere le nuove vulnerabilità, riducendo il rischio di perdita dei dati e l'interruzione delle operazioni quotidiane.

Evitare violazioni di dati

Un sistema esauriente di cyber threat intelligence aiuta a evitare violazioni di dati. Lo fa monitorando domini o indirizzi IP sospetti e cercando di comunicare con i sistemi aziendali. Un buon sistema CTI bloccherà dal network gli indirizzi IP sospetti che altrimenti potrebbero rubare i tuoi dati. Senza un sistema CTI, gli hacker potrebbero inondare la rete di falso traffico per portare a termine un attacco DDos, ovvero di negazione del servizio.

Riduzione dei costi

Le violazioni di dati sono costose. Nel 2021 il costo medio globale delle violazioni di dati è stato di 4.24 milioni di dollari (sebbene cambi da settore a settore, in testa quello dell'assistenza sanitaria). Questi costi comprendono voci come spese legali e sanzioni, oltre ai costi di ripristino post incidente. Riducendo il rischio di violazione di dati la cyber threat intelligence può aiutare a risparmiare denaro.

In sostanza, le ricerche di threat intelligence aiutano un' azienda a comprendere i rischi informatici e a capire quali passi compiere per mitigare quei rischi.

Cosa cercare in un programma di threat intelligence

La gestione delle minacce richiede una visione a 360 gradi dei propri asset. Occorre un programma che monitori le attività, riconosca i problemi e fornisca il tipo di dati necessari a prendere decisioni consapevoli al fine di proteggere l'azienda. Cosa cercare in un programma di threat intelligence:

Gestione personalizzata delle minacce

Quello che vuoi è una società capace di accedere al sistema, di riconoscerne le vulnerabilità, di suggerire misure di sicurezza e di offrire una supervisione continua, 7 giorni su 7 e 24 ore su 24. Molti sistemi di sicurezza informatica affermano di poterlo fare, ma devi cercare quello in grado di offrire una soluzione personalizzata ai tuoi bisogni specifici. La cybersecurity non è una soluzione universale, per cui non accontentarti di un'azienda che ti vende un programma qualsiasi.

Minacce ai data feeds

Ti serve un feed aggiornato dei siti inseriti in una lista di blocco oltre agli autori degli attacchi da tenere sotto controllo.

Accesso alle indagini

Ti serve una società che ti dia accesso alle proprie indagini più recenti per capire come gli hacker entrano in un sistema, cosa vogliono e come lo ottengono. Grazie a queste informazioni, le aziende possono prendere decisioni più consapevoli.

Soluzioni reali

Un programma di cyber threat intelligence dovrebbe aiutare la tua azienda a individuare attacchi e mitigare i rischi. Il programma deve essere completo, non vuoi certo un programma che si limita a individuare potenziali problemi senza offrire soluzioni.

In uno scenario di minacce in continua espansione, le cyberminacce possono avere conseguenze serie per un'azienda. Con una solida cyber threat intelligence, puoi mitigare i rischi di un danno finanziario e di reputazione. Per stare al passo dei cyberattacchi richiedi l'accesso demo al portale Kaspersky Threat Intelligencee inizia a esplorare i vantaggi che può portare alla tua azienda.

Prodotti consigliati:

• Kaspersky Enterprise Security Solutions and Services
• Kaspersky Threat Intelligence

Articoli successivi:

• Valutazione delle soluzioni di threat Intelligence: 4 fattori chiave da considerare
• Cos'è la cybersecurity?
• Cos'è il cybercrimine?
• Cos'è l'internet security?