Il ciclo di vita della threat intelligence è il processo iterativo e continuo mediante il quale i team di sicurezza producono, diffondono e migliorano continuamente la loro threat intelligence. Sebbene i dettagli possano variare da organizzazione a organizzazione, la maggior parte segue una versione dello stesso processo in sei fasi.
Fase 1: Pianificazione
Gli analisti della sicurezza collaborano con gli stakeholder dell'organizzazione (leader esecutivi, capi dipartimento, membri del team IT e di sicurezza e altri soggetti coinvolti nel processo decisionale in materia di sicurezza informatica) per definire i requisiti di intelligence. Questi includono in genere domande sulla sicurezza informatica a cui le parti interessate vogliono o devono avere risposta. Ad esempio, il CISO potrebbe voler sapere se è probabile che un nuovo ceppo di ransomware colpisca l'organizzazione.
Fase 2: Raccolta dei dati delle minacce
Il team di sicurezza raccoglie tutti i dati grezzi sulle minacce che possono contenere o contribuire alle risposte che gli stakeholder stanno cercando. Continuando l'esempio precedente, se un team di sicurezza sta indagando su un nuovo ceppo di ransomware, potrebbe raccogliere informazioni sulla banda di ransomware che ha sferrato gli attacchi, sui tipi di organizzazioni che hanno preso di mira in passato e sui vettori di attacco che hanno sfruttato per infettare le vittime precedenti.
Questi dati sulle minacce possono provenire da varie fonti, tra cui:
Feed di threat intelligence: flussi di informazioni sulle minacce in tempo reale. Il nome a volte è fuorviante: mentre alcuni feed includono informazioni sulle minacce elaborate o analizzate, altri sono costituiti da dati grezzi sulle minacce (questi ultimi vengono talvolta chiamati "feed di dati sulle minacce").
I team di sicurezza in genere si iscrivono a più feed open source e commerciali. Ad esempio, feed diversi potrebbero
- tracciare gli IoC di attacchi comuni,
- aggregare le notizie sulla cybersecurity,
- fornire analisi dettagliate dei ceppi di malware,
- e setacciare i social media e il dark web per trovare conversazioni sulle minacce informatiche emergenti.
Tutti questi feed possono contribuire a una comprensione più profonda delle minacce.
Comunità per la condivisione di informazioni: forum, associazioni professionali e altre community in cui analisti di tutto il mondo condividono esperienze in prima persona, insight e dati sulle proprie minacce.
Negli Stati Uniti, molti settori delle infrastrutture critiche, come l'assistenza sanitaria, i servizi finanziari e le industrie petrolifere e del gas, gestiscono centri di condivisione e analisi delle informazioni (ISAC, Information Sharing and Analysis Center) specifici del settore. Questi ISAC si coordinano l'uno con l'altro tramite il National Council of ISACs (NSI) (link esterno a ibm.com).
A livello internazionale, la piattaforma di intelligence open source MISP Threat Sharing (link esterno a ibm.com) supporta diverse comunità di condivisione delle informazioni organizzate in luoghi, settori e argomenti diversi. Il MISP ha ricevuto sostegno finanziario sia dalla NATO che dall'Unione Europea.
Registri di sicurezza interni: dati di sicurezza interni provenienti da sistemi di sicurezza e conformità come
- SIEM (security information and response)
- SOAR (security orchestration, automation and response)
- EDR (rilevamento e risposta degli endpoint)
- XDR (rilevamento e risposta estesi)
- Sistemi Attack Surface Management (ASM)
Questi dati forniscono un registro delle minacce e degli attacchi informatici che l'organizzazione ha affrontato e possono aiutare a scoprire prove precedentemente non riconosciute di minacce interne o esterne.
Le informazioni provenienti da queste fonti disparate sono in genere aggregate in una dashboard centralizzata, come un SIEM o una piattaforma di threat intelligence, in modo da facilitarne la gestione.
Passaggio 3: Elaborazione
In questa fase, gli analisti della sicurezza aggregano, standardizzano e correlano i dati non elaborati raccolti per semplificare l'analisi. Ciò potrebbe includere il filtraggio dei falsi positivi o l'applicazione di un framework di threat intelligence, come MITRE ATT&CK, ai dati relativi a un precedente incidente di sicurezza.
Molti strumenti di threat intelligence automatizzano questa elaborazione, utilizzando l'intelligenza artificiale (AI) e l'apprendimento automatico per correlare le informazioni sulle minacce provenienti da più fonti e identificare le tendenze o i modelli iniziali nei dati.
Fase 4: Analisi
L'analisi è il punto in cui i dati grezzi sulle minacce diventano vera e propria threat intelligence. In questa fase, gli analisti della sicurezza testano e verificano le tendenze, i modelli e altri insight che possono utilizzare per rispondere ai requisiti di sicurezza degli stakeholder e formulare raccomandazioni.
Per esempio, gli analisti della sicurezza potrebbero scoprire che la banda collegata a un nuovo ceppo di ransomware ha preso di mira altre aziende del settore dell'organizzazione. Il team identificherà quindi le vulnerabilità specifiche dell'infrastruttura IT dell'organizzazione che la banda potrebbe sfruttare, nonché i controlli di sicurezza o le patch che potrebbero mitigare o eliminare tali vulnerabilità.
Fase 5: Disseminazione
Il team di sicurezza condivide i propri insight e raccomandazioni con gli stakeholder appropriati. È possibile intraprendere azioni sulla base di queste raccomandazioni, ad esempio stabilire nuove regole di rilevamento SIEM per indirizzare gli IoC appena identificati o aggiornare le blacklist del firewall per bloccare il traffico proveniente da indirizzi IP sospetti appena identificati.
Molti strumenti di threat intelligence integrano e condividono dati con strumenti di sicurezza come SOAR o XDR per generare automaticamente avvisi per attacchi attivi, assegnare punteggi di rischio per la priorità delle minacce o attivare altre azioni.
Fase 6: Feedback
In questa fase, gli stakeholder e gli analisti riflettono sul ciclo di threat intelligence più recente per determinare se i requisiti sono stati soddisfatti. Qualsiasi nuova domanda che si presenti o nuove lacune di intelligence identificate serviranno a informare il prossimo ciclo di vita.