Per il grande pubblico rimane un oggetto misterioso, ma la cyber threat intelligence è una delle attività che, negli ultimi anni, ha vissuto una delle più interessanti evoluzioni a livello di gestione della sicurezza informatica. L’evoluzione delle minacce e l’adozione di strategie sempre più sofisticate da parte dei pirati informatici, infatti, hanno richiesto un crescente impegno nell’adeguare gli strumenti di protezione. Il ruolo della cyber threat intelligence, in questa sorta di “partita a scacchi” tra cyber criminali e responsabili della security, rappresenta un’arma formidabile di cui le società di sicurezza non possono più fare a meno.
L’importanza dell’intelligence
Nell’ottica di una gestione della cyber security ispirata alla filosofia di detection and response, uno dei fattori fondamentali è quello di acquisire la capacità di individuare tempestivamente gli attacchi in corso. Se sotto il profilo della raccolta di informazioni questa attività viene affidata ai sistemi SIEM (Security Information and Event Management), l’analisi degli eventi e l’individuazione di eventuali indicatori di compromissione (IoC) richiedono informazioni di intelligence che permettano di interpretare i dati. In realtà, ormai tutti gli strumenti di cyber security integrano elementi di cyber threat intelligence. L’utilizzo dei dati di intelligence permette infatti di lavorare in chiave preventiva, migliorando notevolmente l’efficacia dei sistemi di protezione. In altre parole, l’uso delle informazioni raccolte a livello di cyber threat intelligence offre un approccio diverso da quello utilizzato normalmente per l’individuazione dei malware. Dagli elenchi di indirizzi IP utilizzati per campagne di attacchi informatici alla definizione dei pattern di attacco, le informazioni raccolte dagli esperti di intelligence consentono di bloccare sul nascere eventuali azioni dannose senza che sia necessario entrare in contatto con il malware.
Cyber Threat Intelligence, la crescita della condivisione
Come accade sempre più spesso, anche nel settore della cyber threat intelligence si è assistito a un fenomeno di specializzazione. Le informazioni, raccolte attraverso molteplici tecniche e attività come il monitoraggio del dark web, sono gestite da provider che le raccolgono, organizzano ed erogano attraverso la rete di operatori di cyber security. La stessa fase di raccolta ed elaborazione, però, si sta spostando rapidamente verso logiche collaborative e di condivisione. La tendenza in questo momento è quella di moltiplicare le piattaforme che consentono di condividere le informazioni di intelligence. Progetti come MISP (Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing) puntano esattamente a migliorare questo aspetto, creando degli standard aperti per la condivisione delle informazioni e consentire in questo modo di aumentare l’efficacia delle attività di intelligence a livello globale. È un percorso che nei prossimi anni è destinato a crescere ulteriormente. Le formule utilizzate in questo settore sono ancora tutte da esplorare. Se il citato caso di MISP punta alla massima apertura, nel settore esistono anche piattaforme ibride, in cui la gestione delle informazioni a livello di database e piattaforma è affidata a singoli operatori. Modelli di questo tipo utilizzano piattaforme di intelligence spesso messe a disposizione di tutti i soggetti che operano in uno specifico settore, per esempio quello finanziario, in modo che possano avvalersi di questo servizio.
Attività mirate
Se la raccolta di informazioni sulle attività dei pirati informatici consente di creare una sorta di rete per la condivisione di informazioni utili, una tendenza in crescita è quella di utilizzare le tecniche di intelligence per compiti più specifici, come il monitoraggio di attività da parte dei cyber criminali indirizzate specificatamente a un’azienda o a un marchio. Una strategia che viene già adottata ampiamente nel settore della moda, in cui la cyber threat intelligence è utilizzata per individuare fenomeni di contraffazione sul web. Più in generale, però, uno dei settori che vedrà una crescita notevole nel prossimo anno sarà quello della protezione della brand reputation. Il controllo delle attività fraudolente che coinvolgono, in un modo o nell’altro, il nome dell’azienda è infatti una delle applicazioni più efficaci a livello di intelligence.
