La threat intelligence, chiamata anche cyberthreat intelligence (CTI) o threat intel, consiste in informazioni dettagliate e fruibili sulle minacce alla cybersecurity. La threat intelligence aiuta i team che si occupano di sicurezza ad adottare un approccio più proattivo nella rilevazione, mitigazione e prevenzione di attacchi informatici.
La threat intelligence non si limita a semplici informazioni non elaborate sulle minacce, bensì consiste in informazioni sulle minacce che sono state correlate e analizzate per offrire ai professionisti della sicurezza una conoscenza approfondita delle potenziali minacce che le loro organizzazioni affrontano, nonché il modo con cui fermarle.
Più specificamente, la threat intelligence presenta tre caratteristiche chiave che la distinguono dalle informazioni non elaborate sulle minacce, ovvero:
Specifica dell'organizzazione: la threat intelligence va oltre le informazioni generali su minacce e attacchi ipotetici. Si concentra invece sulla particolare situazione dell'organizzazione: vulnerabilità specifiche nella superficie di attacco, attacchi consentiti da queste vulnerabilità e gli asset che espongono.
Dettagliata e contestuale: la threat intelligence non riguarda solo le potenziali minacce a un'organizzazione. Riguarda anche gli attori delle minacce che si trovano dietro gli attacchi, le tattiche, le tecniche e le procedure (TTP) che utilizzano e gli indicatori di compromissione (IoC) che potrebbero segnalare un attacco informatico riuscito.
Attuabile: la threat intelligence fornisce ai team responsabili della sicurezza insight che possono utilizzare per affrontare le vulnerabilità, assegnare priorità alle minacce, rimediare ai rischi e migliorare il livello di sicurezza complessiva.
Secondo il report Cost of a Data Breach di IBM, il costo medio di una violazione dei dati costa all'organizzazione vittima 4,44 milioni di dollari. I costi di rilevamento ed escalation rappresentano la parte più significativa di tale prezzo, pari a 1,47 milioni di dollari.
I programmi di threat intelligence offrono ai professionisti della sicurezza informazioni che possono aiutare a rilevare gli attacchi prima e a bloccare completamente alcuni attacchi. Queste risposte più rapide ed efficaci possono ridurre i costi di rilevamento e limitare significativamente l'impatto delle violazioni andate a buon fine.
Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.
Il ciclo di vita della threat intelligence è il processo iterativo e continuo mediante il quale i team responsabili dell sicurezza producono e condividono la threat intelligence. Sebbene i dettagli possano variare da un'organizzazione all'altra, la maggior parte dei team di threat intelligence segue una versione dello stesso processo in sei fasi.
Gli analisti della sicurezza collaborano con gli stakeholder dell'organizzazione per definire i requisiti di intelligence. Gli stakeholder possono includere leader esecutivi, capi di dipartimento, membri del team IT e della sicurezza e chiunque altro sia coinvolto nel processo decisionale in materia di cybersecurity.
I requisiti di intelligence sono, fondamentalmente, le domande a cui la threat intelligence deve rispondere per stakeholder. Ad esempio, il Chief Information Security Officer (CISO) potrebbe voler sapere se una nuova versione di ransomware di cui si sta sempre più parlando è probabile che influenzi l'organizzazione.
Il team responsabile della sicurezza raccoglie dati non elaborati relativi alle minacce per soddisfare i requisiti di intelligence e rispondere alle domande degli stakeholder.
Ad esempio, se un team sta indagando su un nuovo tipo di ransomware, potrebbe raccogliere informazioni sulla ransomware gang che c'è dietro agli attacchi. Il team esaminerà anche i tipi di organizzazioni prese di mira in passato e i vettori utilizzati per infettare le vittime precedenti.
Questi dati sulle minacce possono provenire da varie fonti. Alcune delle fonti più comuni includono:
I feed di threat intelligence sono flussi di informazioni sulle minacce in tempo reale. Il nome a volte è fuorviante: mentre alcuni feed includono threat intelligence elaborate o analizzate, altri sono costituiti da dati non elaborati sulle minacce (questi ultimi vengono talvolta chiamati feed di dati sulle minacce).
I team responsabili della sicurezza generalmente si abbonano a più feed open source e commerciali offerti da vari servizi di threat intelligence. Feed diversi possono riguardare aspetti differenti.
Ad esempio, un'organizzazione potrebbe avere feed separati per ciascuno di questi scopi:
Tracciamento degli IoC di attacchi comuni
Aggregazione di notizie sulla cybersecurity
Fornitura di analisi dettagliate di nuove varianti di malware
Ricerche sui social e nel dark web per trovare conversazioni sulle minacce informatiche emergenti
Le community per la condivisione di informazioni sono i forum, le associazioni professionali e altre comunità in cui gli analisti condividono esperienze in prima persona, insight, dati sulle minacce e altre informazioni.
Negli Stati Uniti, molti settori delle infrastrutture d'importanza critica come l'assistenza sanitaria, i servizi finanziari e il settore del petrolio e del metano, gestiscono centri di condivisione e analisi delle informazioni (ISAC, Information Sharing and Analysis Center) specifici del settore. Questi ISAC si coordinano l'uno con l'altro attraverso il National Council of ISACs (NSI).
A livello internazionale, la piattaforma di intelligence open source MISP Threat Sharing supporta diverse comunità di condivisione delle informazioni organizzate in luoghi, settori e argomenti diversi. Il MISP ha ricevuto finanziamenti sia dalla NATO, sia dall'Unione Europea.
I dati provenienti da soluzioni di sicurezza interne e dai sistemi di rilevamento delle minacce possono offrire preziosi insight sulle minacce informatiche effettive e potenziali. Le fonti comuni di log della sicurezza interni includono:
Piattaforme di Security orchestration, automation and response (SOAR)
Strumenti di rilevamento e risposta degli endpoint (EDR)
Piattaforme di rilevamento e risposta estese (XDR)
Soluzioni di gestione della superficie di attacco (ASM)
I log della sicurezza interni forniscono un registro delle minacce e degli attacchi informatici che l'organizzazione ha affrontato e possono aiutare a scoprire prove precedentemente non riconosciute di minacce interne o esterne.
Le informazioni provenienti da queste fonti eterogenee sono in genere aggregate in una dashboard centralizzata, come un SIEM o una piattaforma di threat intelligence dedicata, per una gestione più semplice e un'elaborazione automatica.
In questa fase, gli analisti della sicurezza aggregano, standardizzano e correlano i dati non elaborati raccolti per semplificare l'analisi. L'elaborazione potrebbe includere l'applicazione di MITRE ATT&CK o di un altro framework di threat intelligence per contestualizzare i dati, filtrare i falsi positivi e raggruppare incidenti simili.
Molti strumenti di threat intelligence automatizzano questa elaborazione utilizzando l'intelligenza artificiale (AI) e l'apprendimento automatico per correlare le informazioni sulle minacce provenienti da più fonti e individuare le tendenze o i modelli iniziali nei dati. Alcune piattaforme di threat intelligence ora incorporano modelli di AI generativa che possono aiutare a interpretare i dati sulle minacce e generare azioni in base alla loro analisi.
L'analisi è il punto in cui i dati non elaborati sulle minacce diventano una vera e propria threat intelligence. In questa fase, gli analisti della sicurezza estraggono gli insight di cui hanno bisogno per soddisfare i requisiti di intelligence e pianificare i prossimi passi.
Ad esempio, gli analisti responsabili della sicurezza potrebbero scoprire che i criminali collegati a un nuovo tipo di ransomware hanno preso di mira altre aziende del settore in cui opera la loro organizzazione e che, quindi, questo nuovo tipo di ransomware potrebbe rappresentare un problema anche per la loro organizzazione.
In possesso di queste informazioni, il team può individuare le vulnerabilità nell'infrastruttura IT dell'organizzazione che i criminali potrebbero sfruttare e i controlli di sicurezza che si possono utilizzare per mitigare tali vulnerabilità.
Il team responsabile della sicurezza condivide insight e raccomandazioni con gli stakeholder coinvolti. È possibile intraprendere azioni sulla base di queste raccomandazioni, ad esempio stabilire nuove regole di rilevamento SIEM per occuparsi degli indicatori di minaccia appena identificati o aggiornare i firewall per bloccare gli indirizzi IP e i nomi di dominio sospetti.
Numerosi strumenti di threat intelligence integrano e condividono dati con strumenti di sicurezza come SOAR, XDR e sistemi di gestione delle vulnerabilità. Questi strumenti possono utilizzare la threat intelligence per generare automaticamente avvisi per attacchi attivi, assegnare punteggi di rischio per la definizione della priorità delle minacce e attivare altre azioni di risposta.
In questa fase, gli stakeholder e gli analisti riflettono sul ciclo di threat intelligence più recente per determinare se i requisiti sono stati soddisfatti. Qualsiasi nuova domanda che si presenti o nuove lacune di intelligence identificate serviranno a informare il prossimo ciclo di vita.
I team responsabili della sicurezza producono e utilizzano diversi tipi di threat intelligence, a seconda dei loro obiettivi. I tipi di threat intelligence includono:
La tactical threat intelligence aiuta i Security Operations Center (SOC) a prevedere gli attacchi futuri e a rilevare meglio gli attacchi in corso.
Questa threat intelligence di solito identifica IoC comuni, come ad esempio indirizzi IP associati a server di comando e controllo, hash di file di attacchi malware noti oppure oggetti di e-mail di attacchi di phishing.
Oltre ad aiutare i team di risposta agli incidenti a intercettare gli attacchi, la tactical threat intelligence viene utilizzata anche dai team di rilevamento delle minacce per tracciare le minacce persistenti avanzate (APT) e altri criminali attivi ma nascosti.
La threat intelligence operativa è più ampia e tecnica rispetto a quella tattica. Si concentra sulla comprensione dei TTP e dei comportamenti degli attori delle minacce: i vettori di attacco che utilizzano, le vulnerabilità che sfruttano, gli asset che prendono di mira e altre caratteristiche distintive.
I responsabili delle decisioni in materia di sicurezza informatica utilizzano la threat intelligence operativa per identificare gli attori delle minacce che probabilmente attaccheranno la loro organizzazione e determinare i controlli di sicurezza e le strategie di mitigazione che possono contrastare gli attacchi efficacemente.
La strategic threat intelligence è un'intelligence di alto livello nel panorama globale delle minacce e sul ruolo di un'organizzazione all'interno di esse. La strategic threat intelligence offre ai responsabili delle decisioni esterni all'IT, come i CEO e altri dirigenti, una conoscenza delle minacce informatiche che le loro organizzazioni si trovano ad affrontare.
La strategic threat intelligence si concentra solitamente su questioni come situazioni geopolitiche, tendenze delle minacce informatiche in un particolare settore o come e perché gli asset strategici dell'organizzazione potrebbero essere presi di mira. Gli stakeholder utilizzano la strategic threat intelligence per allineare le strategie di gestione del rischio più ampie e gli investimenti organizzativi con il panorama delle minacce informatiche.
Rafforza la sicurezza e la conformità con i servizi di gestione delle identità e degli accessi (IAM) IBM, semplificando l'identità negli ambienti hybrid cloud.
Ottimizza il tuo programma di sicurezza con i servizi di risposta alle minacce globali e indipendenti dal fornitore di IBM.
Sviluppa una base di identità sicura con IBM Verify per semplificare l'accesso, migliorare l'autenticazione e scalare con sicurezza.