Home
topics
Threat Intelligence
La threat intelligence, chiamata anche "cyberthreat intelligence" (CTI) o "threat intel", è costituita da informazioni dettagliate e fruibili sulle minacce con lo scopo di prevenire e combattere le minacce alla sicurezza informatica rivolte a un'organizzazione.
La threat intelligence aiuta i team di sicurezza a essere più proattivi, consentendo loro di intraprendere azioni efficaci e basate sui dati per prevenire gli attacchi informatici prima che si verifichino. Può anche aiutare un'organizzazione a rilevare e rispondere più rapidamente agli attacchi in corso.
Gli analisti della sicurezza creano la threat intelligence raccogliendo informazioni grezze sulle minacce e informazioni relative alla sicurezza da più fonti, quindi correlando e analizzando i dati per scoprire tendenze, modelli e relazioni che forniscono una comprensione approfondita delle minacce effettive o potenziali. Le informazioni che ne risultano sono
- Specifiche per l'organizzazione, incentrate non sulle generalità (ad esempio, elenchi di ceppi di malware comuni) ma su vulnerabilità specifiche nella superficie di attacco dell'organizzazione, sugli attacchi che abilitano e sulle risorse che espongono.
- Dettagliate e contestuali, coprono non solo le minacce che colpiscono l'azienda, ma anche gli attori delle minacce che potrebbero eseguire gli attacchi, le tattiche, le tecniche e le procedure (TTP) utilizzate da tali attori di minaccia e gli indicatori di compromissione (IoC) che potrebbero segnalare uno specifico attacco informatico.
- Attuabile, in quanto fornisce informazioni che i team di sicurezza possono utilizzare per affrontare le vulnerabilità, assegnare priorità e porre rimedio alle minacce e persino valutare gli strumenti di cybersecurity nuovi o esistenti.
Secondo il rapporto Cost of a Data Breach 2022 di IBM, la violazione media dei dati costa alle vittime 4,35 milioni di dollari: i costi di rilevamento ed escalation rappresentano la parte più significativa di quel prezzo, 1,44 milioni di dollari. LA threat intelligence può fornire ai team di sicurezza le informazioni di cui hanno bisogno per rilevare gli attacchi prima, riducendo i costi di rilevamento e limitando l'impatto delle violazioni riuscite.
Ottieni insight e consigli di ricerca essenziali per prepararti a rispondere alle minacce informatiche con maggiore velocità ed efficacia.
Il ciclo di vita della threat intelligence è il processo iterativo e continuo mediante il quale i team di sicurezza producono, diffondono e migliorano continuamente la loro threat intelligence. Sebbene i dettagli possano variare da organizzazione a organizzazione, la maggior parte segue una versione dello stesso processo in sei fasi.
Fase 1: Pianificazione
Gli analisti della sicurezza collaborano con gli stakeholder dell'organizzazione (leader esecutivi, capi dipartimento, membri del team IT e di sicurezza e altri soggetti coinvolti nel processo decisionale in materia di sicurezza informatica) per definire i requisiti di intelligence. Questi includono in genere domande sulla sicurezza informatica a cui le parti interessate vogliono o devono avere risposta. Ad esempio, il CISO potrebbe voler sapere se è probabile che un nuovo ceppo di ransomware colpisca l'organizzazione.
Fase 2: Raccolta dei dati delle minacce
Il team di sicurezza raccoglie tutti i dati grezzi sulle minacce che possono contenere o contribuire alle risposte che gli stakeholder stanno cercando. Continuando l'esempio precedente, se un team di sicurezza sta indagando su un nuovo ceppo di ransomware, potrebbe raccogliere informazioni sulla banda di ransomware che ha sferrato gli attacchi, sui tipi di organizzazioni che hanno preso di mira in passato e sui vettori di attacco che hanno sfruttato per infettare le vittime precedenti.
Questi dati sulle minacce possono provenire da varie fonti, tra cui:
Feed di threat intelligence: flussi di informazioni sulle minacce in tempo reale. Il nome a volte è fuorviante: mentre alcuni feed includono informazioni sulle minacce elaborate o analizzate, altri sono costituiti da dati grezzi sulle minacce (questi ultimi vengono talvolta chiamati "feed di dati sulle minacce").
I team di sicurezza in genere si iscrivono a più feed open source e commerciali. Ad esempio, feed diversi potrebbero
- tracciare gli IoC di attacchi comuni,
- aggregare le notizie sulla cybersecurity,
- fornire analisi dettagliate dei ceppi di malware,
- e setacciare i social media e il dark web per trovare conversazioni sulle minacce informatiche emergenti.
Tutti questi feed possono contribuire a una comprensione più profonda delle minacce.
Comunità per la condivisione di informazioni: forum, associazioni professionali e altre community in cui analisti di tutto il mondo condividono esperienze in prima persona, insight e dati sulle proprie minacce.
Negli Stati Uniti, molti settori delle infrastrutture critiche, come l'assistenza sanitaria, i servizi finanziari e le industrie petrolifere e del gas, gestiscono centri di condivisione e analisi delle informazioni (ISAC, Information Sharing and Analysis Center) specifici del settore. Questi ISAC si coordinano l'uno con l'altro tramite il National Council of ISACs (NSI) (link esterno a ibm.com).
A livello internazionale, la piattaforma di intelligence open source MISP Threat Sharing (link esterno a ibm.com) supporta diverse comunità di condivisione delle informazioni organizzate in luoghi, settori e argomenti diversi. Il MISP ha ricevuto sostegno finanziario sia dalla NATO che dall'Unione Europea.
Registri di sicurezza interni: dati di sicurezza interni provenienti da sistemi di sicurezza e conformità come
- SIEM (security information and response)
- SOAR (security orchestration, automation and response)
- EDR (rilevamento e risposta degli endpoint)
- XDR (rilevamento e risposta estesi)
- Sistemi Attack Surface Management (ASM)
Questi dati forniscono un registro delle minacce e degli attacchi informatici che l'organizzazione ha affrontato e possono aiutare a scoprire prove precedentemente non riconosciute di minacce interne o esterne.
Le informazioni provenienti da queste fonti disparate sono in genere aggregate in una dashboard centralizzata, come un SIEM o una piattaforma di threat intelligence, in modo da facilitarne la gestione.
Passaggio 3: Elaborazione
In questa fase, gli analisti della sicurezza aggregano, standardizzano e correlano i dati non elaborati raccolti per semplificare l'analisi. Ciò potrebbe includere il filtraggio dei falsi positivi o l'applicazione di un framework di threat intelligence, come MITRE ATT&CK, ai dati relativi a un precedente incidente di sicurezza.
Molti strumenti di threat intelligence automatizzano questa elaborazione, utilizzando l'intelligenza artificiale (AI) e l'apprendimento automatico per correlare le informazioni sulle minacce provenienti da più fonti e identificare le tendenze o i modelli iniziali nei dati.
Fase 4: Analisi
L'analisi è il punto in cui i dati grezzi sulle minacce diventano vera e propria threat intelligence. In questa fase, gli analisti della sicurezza testano e verificano le tendenze, i modelli e altri insight che possono utilizzare per rispondere ai requisiti di sicurezza degli stakeholder e formulare raccomandazioni.
Per esempio, gli analisti della sicurezza potrebbero scoprire che la banda collegata a un nuovo ceppo di ransomware ha preso di mira altre aziende del settore dell'organizzazione. Il team identificherà quindi le vulnerabilità specifiche dell'infrastruttura IT dell'organizzazione che la banda potrebbe sfruttare, nonché i controlli di sicurezza o le patch che potrebbero mitigare o eliminare tali vulnerabilità.
Fase 5: Disseminazione
Il team di sicurezza condivide i propri insight e raccomandazioni con gli stakeholder appropriati. È possibile intraprendere azioni sulla base di queste raccomandazioni, ad esempio stabilire nuove regole di rilevamento SIEM per indirizzare gli IoC appena identificati o aggiornare le blacklist del firewall per bloccare il traffico proveniente da indirizzi IP sospetti appena identificati.
Molti strumenti di threat intelligence integrano e condividono dati con strumenti di sicurezza come SOAR o XDR per generare automaticamente avvisi per attacchi attivi, assegnare punteggi di rischio per la priorità delle minacce o attivare altre azioni.
Fase 6: Feedback
In questa fase, gli stakeholder e gli analisti riflettono sul ciclo di threat intelligence più recente per determinare se i requisiti sono stati soddisfatti. Qualsiasi nuova domanda che si presenti o nuove lacune di intelligence identificate serviranno a informare il prossimo ciclo di vita.
Il ciclo di vita della threat intelligence produce diversi tipi di intelligence a seconda degli stakeholder interessati, dei requisiti stabiliti e degli obiettivi generali di una determinata istanza del ciclo di vita. Esistono tre grandi categorie di threat intelligence:
La tactical threat intelligence viene utilizzata dal centro operativo di sicurezza (SOC) per rilevare e rispondere ai cyberattacchi in corso. In genere si concentra su IoC comuni, ad esempio indirizzi IP associati ai server di comando e controllo, hash dei file relativi agli attacchi malware e ransomware noti od oggetti di e-mail associati agli attacchi di phishing.
Oltre ad aiutare i team di risposta agli incidenti a filtrare i falsi positivi e intercettare attacchi autentici, la tactical threat intelligence viene utilizzata anche dai team di rilevamento delle minacce per rilevare minacce avanzate persistenti (APT) e dai attacchi attivi ma nascosti.
L'operational threat intelligence aiuta le organizzazioni ad anticipare e prevenire gli attacchi futuri. A volte viene chiamata £‘technical threat intelligence" perché descrive in dettaglio i TTP e i comportamenti degli attori delle minacce noti, ad esempio i vettori di attacco che utilizzano, le vulnerabilità che sfruttano e gli asset che prendono di mira.
I CISO, i CIO e altri responsabili delle decisioni sulla sicurezza delle informazioni utilizzano l'operational threat intelligence per identificare gli attori delle minacce che potrebbero attaccare le loro organizzazioni e rispondere con controlli di sicurezza e altre azioni volte specificamente a contrastare i loro attacchi.
La strategic threat intelligence è un'intelligence di alto livello sul panorama globale delle minacce e sul ruolo di un'organizzazione all'interno di esso. La strategic threat intelligence offre ai decisori esterni all'IT, come amministratori delegati e altri dirigenti, una comprensione delle minacce informatiche che le loro organizzazioni devono affrontare.
La strategic threat intelligence di solito si concentra su questioni come situazioni geopolitiche, tendenze delle minacce informatiche in un particolare settore o come o perché alcune delle risorse strategiche dell'organizzazione possono essere prese di mira. Gli stakeholder utilizzano la strategic threat intelligence per allineare le strategie di gestione del rischio e gli investimenti organizzativi più ampi al panorama delle minacce informatiche.
Affidati a un team di analisti di intelligence esperti per capire come sta cambiando il panorama delle minacce e conoscere le tecniche più recenti utilizzate dai soggetti che le attuano.
Utilizza le soluzioni di rilevamento e risposta alle minacce di IBM per rafforzare la tua sicurezza e accelerare il rilevamento delle minacce.
Soluzioni trasformative basate su AI che ottimizzano il tempo degli analisti accelerando il rilevamento delle minacce, accelerando le risposte e proteggendo l'identità e i set di dati degli utenti.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi.
La gestione delle minacce è un processo utilizzato dai professionisti della cybersecurity per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere a incidenti di sicurezza.
L'individuazione delle minacce è un approccio proattivo all'identificazione di minacce sconosciute o non sottoposte a correzione in corso all'interno della rete di un'organizzazione.