Cos’è l’intelligence sulle minacce?

L’intelligence sulle minacce combina dati provenienti da varie fonti interne ed esterne per comprendere i rischi informatici esistenti ed emergenti per l’azienda e rafforzare le strategie difensive. Un programma di intelligence sulle minacce efficace integra informazioni provenienti da diverse fonti, seleziona e classifica le minacce in base al rischio per l’azienda e le reimmette nei sistemi interni e nei controlli di sicurezza. L’intelligence sulle minacce rappresenta un elemento fondamentale di un programma di cybersecurity maturo..

L'intelligence sulle minacce informatiche evidenzia le minacce attuali ed emergenti per un’organizzazione. Comprendendo le tattiche, le tecniche e le procedure degli avversari, le organizzazioni possono contrastare in modo più efficace le minacce prima, durante e dopo un evento di sicurezza.

I programmi di intelligence sulle minacce aiutano le organizzazioni a prendere decisioni più efficaci su come affrontare le vulnerabilità, condurre strategie di test, sviluppare piani di risposta agli incidenti e garantire la continuità aziendale in caso di evento. I team di intelligence sulle minacce lavorano in collaborazione con i team di rischio informatico e i team di sicurezza.

Un sistema di intelligence sulle minacce è un hub centrale che raccoglie, analizza e genera informazioni in risposta ai dati sulla cybersecurity. Questi sistemi aiutano a tracciare gli eventi di sicurezza e determinare quali attori delle minacce presenti e forniscono informazioni ai team di sicurezza su come rispondere. Spesso fanno riferimento all’intelligence sulle minacce informatiche (CTI), ossia un insieme di dati provenienti sia da fonte interne sia esterne che aiutano a fornire un contesto al sistema.

Un sistema di intelligence sulle minacce opera come parte integrante di una soluzione software di sicurezza olistica. Soluzioni come AWS Security Hub spesso integrano attività del ciclo di vita dell’intelligence sulle minacce per una gestione centralizzata.

Il ciclo di vita dell’intelligence sulle minacce è un processo continuo che richiede aggiornamenti e revisioni regolari.

Ecco le principali fasi del ciclo di vita dell’intelligence sulle minacce.

Definizione dell’ambiente

Prima di implementare un programma di intelligence sulle minacce, le organizzazioni devono chiarire quali sistemi, dati, reti, servizi, utenti e risorse aziendali saranno coinvolte. È consigliabile classificare gli asset in base alla criticità operativa e alla sensibilità dei dati. Comprendere l’ambito dell’ambiente organizzativo permette di individuare quali minacce sono rilevanti per l’azienda e quali risorse potrebbero essere obiettivi maggiormente esposti.

Raccolta di dati sulle minacce

Una volta definito l’ambito, il passaggio successivo nel ciclo di vita dell'intelligence sulle minacce informatiche consiste nel raccogliere informazioni da numerose fonti in un’unica “fonte di verità”. Il sistema di intelligence sulle minacce integra dati di sicurezza interni, report di sistema e fonti esterne, come feed di minacce open source e distribuiti dai fornitori in tempo reale, database di vulnerabilità e monitoraggio dei social media e del dark web.

Questa fase mira a raccogliere quanti più dati possibili sulle minacce per ottenere una gamma completa di informazioni. L’importazione dei dati in questa fase è altamente automatizzata, continua e senza filtri sul perimetro aziendale.

Elaborazione di dati

Dopo la raccolta, informazioni vengono filtrate, strutturate, standardizzate, arricchite e trasformate per renderle utilizzabili. I dati non strutturati vengono convertiti in formati leggibili dalle macchine, mentre quelli strutturati vengono puliti per migliorarne la qualità e arricchiti con metadati. I dati ridondanti e non pertinenti vengono rimossi. L’elaborazione dovrebbe essere il più possibile automatizzata.

Analisi

La fase di analisi trasforma i dati di intelligence sulle minacce in informazioni fruibili per l’azienda. I sistemi automatizzati identificano schemi e correlazioni in tutti i dati elaborati, individuando anomalie o discrepanze che i team di cybersecurity possono approfondire.

In questa fase, gli analisti possono applicare tecniche avanzate, come machine learning e modelli predittivi, per mappare indicatori di minaccia specifici. Questi processi, sia manuali che automatici, hanno lo scopo di fornire ai team di sicurezza informazioni pertinenti e utili che informano le strategie di difesa informatica.

Creazione di report

La reportistica fornisce i risultati dell’analisi dell’intelligence sulle minacce ai decisori aziendali e ai team coinvolti. I report vengono adattati al pubblico e possono assumere la forma di dashboard sintetiche, documenti testuali, presentazioni o altri strumenti di comunicazione.

Spesso la generazione dei report è automatizzata, con sistemi di intelligence sulle minacce che produce e distribuisce i risultati al personale interessato. In caso di minacce gravi, potrebbero essere necessari report manuali.

I team possono anche segnalare minacce nuove e sconosciute alla comunità più ampia, in modo che altre organizzazioni possano integrare queste informazioni all’interno dei propri sistemi.

Monitoraggio e regolazione

I sistemi di intelligence sulle minacce monitorano i potenziali problemi di sicurezza, tracciano gli IOC e aiutano a supportare i team di sicurezza. Un sistema di intelligence sulle minacce è un software chiave all’interno di un centro operativo di sicurezza (SOC) con personale attivo 24 ore su 24, 7 giorni su 7.

Durante l’analisi, i team possono tracciare gli indicatori di compromissione (IOC) relativi a potenziali eventi di sicurezza per sviluppare piani e playbook di risposta agli incidenti, implementare controlli di sicurezza nuovi o modificati, apportare modifiche all’architettura del sistema e aggiornare i rischi per l’azienda. Questo approccio consente di mantenere intatta la postura di sicurezza dell’azienda.

È essenziale imparare da eventi imprevisti e dalle nuove informazioni per migliorare continuamente le prestazioni precedenti. I team di sicurezza possono esaminare le prestazioni degli strumenti di sicurezza, commentare le risposte e segnalare eventuali discrepanze, contribuendo al costante perfezionamento dei software di intelligence sulle minacce.

Le caratteristiche di un programma di intelligence sulle minacce informatiche dipendono dalla complessità dell'ambiente aziendale, dalla natura dei dati sensibili e dagli obblighi normativi da rispettare. Di seguito sono riportate alcune delle caratteristiche più comuni dei programmi di intelligence sulle minacce.

Feed di dati

I feed di dati comprendono tutte le fonti di informazioni su cui le piattaforme di intelligence sulle minacce si basano per fornire le proprie informazioni. Questi servizi sono una componente fondamentale di un programma di intelligence sulle minacce.

Le fonti esterne di feed di dati includono l’intelligence open source in tempo reale (OSINT), i feed delle minacce pubbliche e le informazioni fornite dalle agenzie governative per la sicurezza informatica. Tra le fonti interne dei feed di dati rientrano i log del firewall, i comportamenti di accesso degli utenti, gli avvisi del sistema di rilevamento intrusioni (IDS), i log dei dispositivi endpoint e la telemetria dei servizi cloud.

Tecnologie

L’intelligence sulle minacce si avvale di diverse tecnologie che funzionano in sinergia per raccogliere dati, analizzare informazioni e fornire informazioni operative utili per i team di sicurezza. Alcuni software di intelligence sulle minacce, ad esempio, aiutano a raccogliere e organizzare i dati, oltre a condividere direttamente le analisi con i team di sicurezza quando è necessario intervenire.

Le tecnologie di analisi sono essenziali per individuare modelli e anomalie nei dati, così da segnalare potenziali eventi di sicurezza. Le capacità analitiche di intelligence sulle cyber minacce comprendono qualsiasi tecnologia utilizzata dai team per migliorare la chiarezza, la precisione e la profondità dei dati. Questi includono l’analisi di machine learning, gli algoritmi predittivi e l’analisi comportamentale.

I sistemi di informazioni di sicurezza e gestione degli eventi (SIEM) correlano i dati dei log interni con le informazioni sugli eventi, offrendo una visione in tempo reale di come le minacce emergenti potrebbero influire sull’azienda. Alcune aziende incorporano anche avvisi in-app nei loro prodotti, fornendo agli sviluppatori un contesto aggiuntivo sui potenziali bug durante lo sviluppo di determinate funzionalità.

Framework

I framework che includono l’intelligence sulle minacce offrono una struttura standardizzata che le organizzazioni devono seguire. Questi framework sono molto apprezzati e vengono aggiornati regolarmente per includere linee guida descrittive e prescrittive per le organizzazioni. I framework di sicurezza informatica che si concentrano sulla intelligence sulle minacce sono il framework MITRE ATT&CK e la Cyber Kill Chain. Entrambi questi framework includono modi per gestire tattiche, vettori standard e IOC.

Attività

I sistemi di intelligence sulle minacce informatiche intraprendono una serie di attività per generare informazioni e migliorare le proprie capacità. Ad esempio, questi sistemi possono condurre valutazioni dei rischi in tempo reale, correggere le vulnerabilità note con aggiornamenti, rispondere agli incidenti con feedback e offrire agli esperti di cybersecurity informazioni sugli eventi a cui dare priorità.

Esistono quattro tipi principali di intelligence sulle minacce informatiche che i professionisti della sicurezza utilizzeranno.

Intelligence sulle minacce strategiche

L’intelligence sulle minacce strategiche riguarda informazioni più ampie sul panorama delle minacce, che i sistemi raccolgono includendo dati geopolitici, economici e altre informazioni non strettamente tecniche utili a costruire un profilo contestuale di un potenziale evento di sicurezza. Questo tipo di intelligence strategica e non tecnica sulle minacce fornisce informazioni preziose per comprendere le vulnerabilità di sicurezza su larga scala e il loro sviluppo nel tempo.

Intelligence sulle minacce tattiche

L’intelligence sulle minacce tattiche riguarda la raccolta di informazioni relative a tattiche, tecniche e procedure dell’avversario (TTP), compresi i TTP provenienti da minacce persistenti avanzate (APT). Dati condivisi a livello industriale vengono spesso resi disponibili tramite feed di sicurezza pubblici. Queste informazioni consentono ai professionisti della sicurezza di comprendere i comportamenti tipici di determinati attacchi, i vettori utilizzati e la sequenza di azioni che si verificano durante un evento di sicurezza.

Intelligence sulle minacce tecniche

L’intelligence sulle minacce tecniche si riferisce a qualsiasi indicatore di compromissione rilevata automaticamente da una macchina. Questi indicatori (IOC), come la presenza di indirizzi IP malevoli, URL sospetti, risposte anomale dei firewall o variazioni improvvise dei valori operativi attesi di un sistema, vengono segnalati ai team di sicurezza per ulteriori indagini.

Intelligence sulle minacce operative

L’intelligence sulle minacce operative è una forma ibrida che combina informazioni tattiche e tecniche. Questa tipo di intelligence offre una visione più ampia, ad esempio su come determinati ransomware o malware stiano emergendo in modo crescente in specifiche aziende o aree geografiche. Grazie all’intelligence sulle minacce operative, le aziende possono adottare misure per mitigare i potenziali eventi di sicurezza prima che si verifichino.

AWS Cloud Security aiuta a proteggere l’ambiente cloud con integrazioni, automazione e visualizzazioni dedicate di intelligence sulle minacce. AWS Cloud Security contribuisce a identificare potenziali rischi, a proteggere l’infrastruttura adottando misure di protezione dei dati, a monitorare lo stato di sicurezza per eventuali imprevisti e persino a implementare rapide risposte agli incidenti.

AWS Security Hub dà priorità ai problemi di sicurezza critici e aiuta a rispondere su larga scala per proteggere l’ambiente. Fornisce intelligence sulle minacce, rileva le criticità correlando e arricchendo i segnali in approfondimenti concreti che consentono di adottare una risposta semplificata.

Inizia a usare l’intelligence sulle minacce su AWS creando un account gratuito oggi stesso.