By Leave a Comment on Che cos’è la Threat Intelligence?

Le tecnologie digitali sono oggi al centro di quasi tutti i settori. L’automazione e la maggiore connessione che consentono hanno rivoluzionato le istituzioni economiche e culturali del mondo – ma hanno anche portato rischi sotto forma di attacchi informatici. L’intelligence sulle minacce è la conoscenza che permette di prevenire o mitigare questi attacchi. Radicata nei dati, l’intelligence sulle minacce fornisce un contesto – come chi vi sta attaccando, quali sono le loro motivazioni e capacità, e quali indicatori di compromissione nei vostri sistemi cercare – che vi aiuta a prendere decisioni informate sulla vostra sicurezza.

“L’intelligence sulle minacce è una conoscenza basata sull’evidenza, che include contesto, meccanismi, indicatori, implicazioni e consigli orientati all’azione su una minaccia o un pericolo esistente o emergente per le risorse. Questa intelligence può essere usata per informare le decisioni riguardanti la risposta del soggetto a quella minaccia o pericolo.” – Gartner

Per informazioni più dettagliate, controlla le sezioni di questa panoramica intitolate “Il ciclo di vita della Threat Intelligence” e “I tipi di Threat Intelligence.”

Perché la Threat Intelligence è importante?

Oggi, il settore della cybersecurity deve affrontare numerose sfide – attori di minacce sempre più persistenti e subdoli, un flusso quotidiano di dati pieni di informazioni estranee e falsi allarmi attraverso sistemi di sicurezza multipli e non collegati, e una grave carenza di professionisti qualificati.

Alcune organizzazioni cercano di incorporare i feed di dati sulle minacce nella loro rete, ma non sanno cosa fare con tutti quei dati extra, aumentando il peso degli analisti che potrebbero non avere gli strumenti per decidere cosa dare priorità e cosa ignorare.

Una soluzione di cyber threat intelligence può affrontare ognuno di questi problemi. Le migliori soluzioni utilizzano l’apprendimento automatico per automatizzare la raccolta e l’elaborazione dei dati, si integrano con le vostre soluzioni esistenti, acquisiscono dati non strutturati da fonti diverse e poi uniscono i puntini fornendo il contesto sugli indicatori di compromissione (IoC) e le tattiche, tecniche e procedure (TTP) degli attori delle minacce.

L’intelligence sulle minacce è attivabile – è tempestiva, fornisce il contesto ed è in grado di essere compresa dalle persone incaricate di prendere decisioni.

Chi può beneficiare dell’intelligence sulle minacce?

Tutti! La cyber threat intelligence è ampiamente immaginata come il dominio di analisti d’élite. In realtà, aggiunge valore a tutte le funzioni di sicurezza delle organizzazioni di tutte le dimensioni.

Quando l’intelligence sulle minacce viene trattata come una funzione separata all’interno di un paradigma di sicurezza più ampio piuttosto che come un componente essenziale che aumenta ogni altra funzione, il risultato è che molte delle persone che beneficerebbero maggiormente dell’intelligence sulle minacce non hanno accesso ad essa quando ne hanno bisogno.

I team delle operazioni di sicurezza sono abitualmente incapaci di elaborare gli avvisi che ricevono – le informazioni sulle minacce si integrano con le soluzioni di sicurezza che già utilizzate, aiutandovi a dare automaticamente priorità e a filtrare gli avvisi e altre minacce. I team di gestione delle vulnerabilità possono assegnare con maggiore precisione la priorità alle vulnerabilità più importanti con l’accesso agli approfondimenti esterni e al contesto fornito dalle informazioni sulle minacce. E la prevenzione delle frodi, l’analisi dei rischi e altri processi di sicurezza di alto livello sono arricchiti dalla comprensione del panorama attuale delle minacce che le informazioni sulle minacce forniscono, compresi gli approfondimenti chiave sugli attori delle minacce, le loro tattiche, tecniche e procedure e altro dalle fonti di dati in tutto il web.

Guarda la nostra sezione sui casi d’uso qui sotto per uno sguardo più approfondito su come ogni ruolo nella sicurezza può beneficiare delle informazioni sulle minacce.

Il ciclo di vita delle informazioni sulle minacce

Come vengono prodotte le informazioni sulle minacce informatiche? I dati grezzi non sono la stessa cosa dell’intelligence – l’intelligence sulle minacce informatiche è il prodotto finito che viene fuori da un ciclo di sei parti di raccolta, elaborazione e analisi dei dati. Questo processo è un ciclo perché nuove domande e lacune nella conoscenza vengono identificate nel corso dello sviluppo dell’intelligence, portando alla definizione di nuovi requisiti di raccolta. Un programma di intelligence efficace è iterativo e diventa più raffinato nel tempo.

Per massimizzare il valore dell’intelligence sulle minacce che producete, è fondamentale che identifichiate i vostri casi d’uso e definiate i vostri obiettivi prima di fare qualsiasi altra cosa.

Pianificazione e direzione

Il primo passo per produrre informazioni sulle minacce utilizzabili è porre la domanda giusta.

Le domande che meglio guidano la creazione di informazioni sulle minacce utilizzabili si concentrano su un singolo fatto, evento o attività – di solito si dovrebbero evitare domande ampie e aperte.

Prioritizza i tuoi obiettivi di intelligence in base a fattori quali la loro stretta aderenza ai valori fondamentali della tua organizzazione, l’entità dell’impatto che la decisione risultante avrà e quanto la decisione sia sensibile al tempo.

Un importante fattore guida in questa fase è capire chi consumerà e beneficerà del prodotto finito – l’intelligence andrà a un team di analisti con competenze tecniche che hanno bisogno di un rapporto veloce su un nuovo exploit, o a un dirigente che sta cercando un’ampia panoramica delle tendenze per informare le sue decisioni di investimento in sicurezza per il prossimo trimestre?

Raccolta

Il passo successivo è raccogliere dati grezzi che soddisfino i requisiti stabiliti nella prima fase. È meglio raccogliere i dati da una vasta gamma di fonti – quelle interne come i log degli eventi di rete e le registrazioni delle risposte agli incidenti passati, e quelle esterne dal web aperto, il dark web e le fonti tecniche.

I dati sulle minacce sono di solito pensati come elenchi di IoC, come indirizzi IP dannosi, domini e hash dei file, ma possono anche includere informazioni sulle vulnerabilità, come le informazioni di identificazione personale dei clienti, codice grezzo da siti di pasta, e testo da fonti di notizie o social media.

Elaborazione

Una volta raccolti tutti i dati grezzi, è necessario ordinarli, organizzandoli con tag di metadati e filtrando le informazioni ridondanti o i falsi positivi e negativi.

Oggi, anche le piccole organizzazioni raccolgono dati dell’ordine di milioni di eventi di log e centinaia di migliaia di indicatori ogni giorno. Per gli analisti umani è troppo da elaborare in modo efficiente – la raccolta e l’elaborazione dei dati deve essere automatizzata per iniziare a dare un senso a tutto ciò.

Soluzioni come i SIEM sono un buon punto di partenza perché rendono relativamente facile strutturare i dati con regole di correlazione che possono essere impostate per alcuni casi d’uso diversi, ma possono accettare solo un numero limitato di tipi di dati.

Se state raccogliendo dati non strutturati da molte fonti diverse interne ed esterne, avrete bisogno di una soluzione più robusta. Recorded Future utilizza l’apprendimento automatico e l’elaborazione del linguaggio naturale per analizzare il testo di milioni di documenti non strutturati in sette lingue diverse e classificarli utilizzando ontologie ed eventi indipendenti dalla lingua, consentendo agli analisti di eseguire ricerche potenti e intuitive che vanno oltre le semplici parole chiave e le regole di correlazione.

Analisi

Il passo successivo è dare un senso ai dati elaborati. L’obiettivo dell’analisi è quello di cercare potenziali problemi di sicurezza e notificarli ai team pertinenti in un formato che soddisfi i requisiti di intelligence delineati nella fase di pianificazione e direzione.

L’intelligence sulle minacce può assumere molte forme a seconda degli obiettivi iniziali e del pubblico previsto, ma l’idea è quella di ottenere i dati in un formato che il pubblico possa comprendere. Questo può variare da semplici elenchi di minacce a rapporti revisionati da pari.

Disseminazione

Il prodotto finito viene poi distribuito ai destinatari. Affinché l’intelligence sulle minacce sia utilizzabile, deve arrivare alle persone giuste al momento giusto.

Ha anche bisogno di essere tracciata in modo che ci sia continuità tra un ciclo di intelligence e il successivo e che l’apprendimento non vada perso. Utilizzare sistemi di ticketing che si integrano con gli altri sistemi di sicurezza per tracciare ogni fase del ciclo di intelligence – ogni volta che si presenta una nuova richiesta di intelligence, i ticket possono essere inviati, scritti, rivisti e soddisfatti da più persone in diversi team, tutto in un unico posto.

Feedback

La fase finale è quando il ciclo di intelligence chiude il cerchio, rendendolo strettamente legato alla fase iniziale di pianificazione e direzione. Dopo aver ricevuto il prodotto di intelligence finito, chi ha fatto la richiesta iniziale lo rivede e determina se le sue domande hanno trovato risposta. Ciò guida gli obiettivi e le procedure del successivo ciclo di intelligence, rendendo ancora una volta essenziali la documentazione e la continuità.

I tipi di intelligence sulle minacce

Come dimostrato dal ciclo di vita dell’intelligence sulle minacce, il prodotto finale sarà diverso a seconda dei requisiti di intelligence iniziali, delle fonti di informazione e del pubblico a cui è destinato. Può essere utile suddividere l’intelligence sulle minacce in alcune categorie basate su questi criteri.

Le informazioni sulle minacce sono spesso suddivise in tre sottocategorie:

  • Strategica – Tendenze più ampie, tipicamente destinate a un pubblico non tecnico
  • Tattica – Schemi di tattiche, tecniche e procedure degli attori delle minacce per un pubblico più tecnico
  • Operativa – Dettagli tecnici su attacchi e campagne specifici

Strategic Threat Intelligence

Le informazioni strategiche sulle minacce forniscono una panoramica generale del panorama delle minacce di un’organizzazione. Ha lo scopo di informare le decisioni di alto livello prese dai dirigenti e da altri responsabili delle decisioni in un’organizzazione – in quanto tale, il contenuto è generalmente meno tecnico e viene presentato attraverso rapporti o briefing. Una buona intelligence strategica dovrebbe fornire informazioni su aree come i rischi associati a certe linee d’azione, i modelli generali nelle tattiche e negli obiettivi degli attori delle minacce, e gli eventi e le tendenze geopolitiche.

Fonti comuni di informazioni per l’intelligence strategica sulle minacce includono:

  • Documenti politici di stati-nazione o organizzazioni non governative
  • Notizie da media locali e nazionali, pubblicazioni di settore e tematiche specifiche o altri esperti in materia
  • White paper, rapporti di ricerca e altri contenuti prodotti da organizzazioni di sicurezza

La produzione di una forte intelligence strategica sulle minacce inizia con domande mirate e specifiche per definire i requisiti di intelligence. Ci vogliono anche analisti con competenze al di fuori delle tipiche competenze di sicurezza informatica – in particolare, una forte comprensione dei concetti sociopolitici e commerciali.

Anche se il prodotto finale non è tecnico, produrre un’intelligence strategica efficace richiede una ricerca profonda attraverso enormi volumi di dati, spesso in più lingue. Questo può rendere la raccolta iniziale e l’elaborazione dei dati troppo difficile da eseguire manualmente, anche per quei rari analisti che possiedono le giuste competenze linguistiche, il background tecnico e il mestiere. Una soluzione di threat intelligence che automatizza la raccolta e l’elaborazione dei dati aiuta a ridurre questo onere e permette agli analisti che non hanno molta esperienza di lavorare in modo più efficace.

Tactical Threat Intelligence

Tactical threat intelligence delinea le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce. Dovrebbe aiutare i difensori a capire, in termini specifici, come la loro organizzazione potrebbe essere attaccata e i modi migliori per difendersi o mitigare tali attacchi. Di solito include un contesto tecnico e viene utilizzato dal personale direttamente coinvolto nella difesa di un’organizzazione, come architetti di sistema, amministratori e personale di sicurezza.

I rapporti prodotti dai fornitori di sicurezza sono spesso il modo più semplice per ottenere informazioni tattiche sulle minacce. Cercate nei report informazioni sui vettori di attacco, gli strumenti e le infrastrutture che gli aggressori stanno utilizzando, comprese le specifiche su quali vulnerabilità vengono prese di mira e su quali exploit gli aggressori stanno sfruttando, così come le strategie e gli strumenti che possono essere utilizzati per evitare o ritardare il rilevamento.

Le informazioni sulle minacce tattiche dovrebbero essere utilizzate per informare i miglioramenti ai controlli e ai processi di sicurezza esistenti e accelerare la risposta agli incidenti. Poiché molte delle domande a cui risponde l’intelligence tattica sono uniche per la vostra organizzazione e hanno bisogno di una risposta in tempi brevi – per esempio, “Questa vulnerabilità critica sfruttata dagli attori delle minacce che prendono di mira il mio settore è presente nei miei sistemi? – Avere una soluzione di intelligence sulle minacce che integri i dati all’interno della propria rete è fondamentale.

Operational Threat Intelligence

L’intelligence operativa è la conoscenza di attacchi informatici, eventi o campagne. Fornisce approfondimenti specializzati che aiutano i team di risposta agli incidenti a comprendere la natura, l’intento e la tempistica di attacchi specifici.

Perché di solito include informazioni tecniche – informazioni come quale vettore di attacco viene utilizzato, quali vulnerabilità vengono sfruttate o quali domini di comando e controllo vengono impiegati – questo tipo di intelligence viene anche definito intelligence tecnica sulle minacce. Una fonte comune di informazioni tecniche sono i feed di dati sulle minacce, che di solito si concentrano su un singolo tipo di indicatore, come gli hash dei malware o i domini sospetti.

Ma se l’intelligence tecnica sulle minacce è strettamente pensata come derivante da informazioni tecniche come i feed di dati sulle minacce, allora l’intelligence tecnica e operativa sulle minacce non sono totalmente sinonimi – più come un diagramma di Venn con enormi sovrapposizioni. Altre fonti di informazioni su attacchi specifici possono provenire da fonti chiuse come l’intercettazione delle comunicazioni dei gruppi di minacce, sia attraverso l’infiltrazione o l’irruzione in quei canali di comunicazione.

Di conseguenza, ci sono alcune barriere alla raccolta di questo tipo di intelligence:

  • Accesso – I gruppi di minacce possono comunicare su canali privati e criptati, o richiedere qualche prova di identificazione. Ci sono anche barriere linguistiche con gruppi di minacce situati in paesi stranieri.
  • Rumore – Può essere difficile o impossibile raccogliere manualmente una buona intelligence da fonti ad alto volume come le chat room e i social media.
  • Offuscamento – Per evitare il rilevamento, i gruppi di minacce potrebbero impiegare tattiche di offuscamento come l’uso di nomi in codice.

Le soluzioni di intelligence sulle minacce che si basano su processi di apprendimento automatico per la raccolta di dati su larga scala possono superare molti di questi problemi quando si cerca di sviluppare un’efficace intelligence operativa sulle minacce. Una soluzione che utilizza l’elaborazione del linguaggio naturale, per esempio, sarà in grado di raccogliere informazioni da fonti in lingua straniera senza bisogno di competenze umane per decifrarle.

Machine Learning for Better Threat Intelligence

L’elaborazione dei dati avviene oggi su una scala che richiede l’automazione per essere completa. Combina punti di dati da molti tipi diversi di fonti – tra cui fonti aperte, dark web e tecniche – per formare il quadro più solido possibile.

Recorded Future usa le tecniche di apprendimento automatico in quattro modi per migliorare la raccolta e l’aggregazione dei dati – per strutturare i dati in categorie, per analizzare il testo in più lingue, per fornire punteggi di rischio e per generare modelli predittivi.

Per strutturare i dati in entità ed eventi

L’ontologia ha a che fare con come dividiamo i concetti e come li raggruppiamo. Nella scienza dei dati, le ontologie rappresentano categorie di entità basate sui loro nomi, proprietà e relazioni reciproche, rendendole più facili da ordinare in gerarchie di insiemi. Per esempio, Boston, Londra e Göteborg sono tutte entità distinte che rientrano anche nella più ampia entità “città”.

Se le entità rappresentano un modo per ordinare concetti fisicamente distinti, allora gli eventi ordinano i concetti nel tempo. Gli eventi futuri registrati sono indipendenti dalla lingua – qualcosa come “John ha visitato Parigi”, “John ha fatto un viaggio a Parigi”, “Джон прилетел в Париж” e “John a visité Paris” sono tutti riconosciuti come lo stesso evento.

Ontologie ed eventi permettono potenti ricerche sulle categorie, permettendo agli analisti di concentrarsi sul quadro generale piuttosto che dover ordinare manualmente i dati.

Strutturare il testo in più lingue attraverso l’elaborazione del linguaggio naturale

Con l’elaborazione del linguaggio naturale, le entità e gli eventi sono in grado di andare oltre le semplici parole chiave, trasformando il testo non strutturato da fonti in diverse lingue in un database strutturato.

Il machine learning che guida questo processo può separare la pubblicità dal contenuto primario, classificare il testo in categorie come prosa, log di dati o codice, e disambiguare tra entità con lo stesso nome (come “Apple” la società e “apple” il frutto) utilizzando indizi contestuali nel testo circostante.

In questo modo, il sistema può analizzare il testo da milioni di documenti ogni giorno in sette lingue diverse – un compito che richiederebbe un team impraticabilmente grande e qualificato di analisti umani. Risparmiare tempo in questo modo aiuta i team di sicurezza IT a lavorare in modo più efficiente del 32% con Recorded Future.

Per classificare eventi ed entità, aiutando gli analisti umani a dare priorità agli avvisi

Il machine learning e la metodologia statistica vengono utilizzati per ordinare ulteriormente entità ed eventi per importanza – ad esempio, assegnando punteggi di rischio alle entità dannose.

I punteggi di rischio sono calcolati attraverso due sistemi: uno guidato da regole basate sull’intuizione e l’esperienza umana, e l’altro guidato dall’apprendimento automatico addestrato su un set di dati già controllati.

I classificatori come i punteggi di rischio forniscono sia un giudizio (“questo evento è critico”) che il contesto che spiega il punteggio (“perché più fonti confermano che questo indirizzo IP è dannoso”).

Automatizzare il modo in cui i rischi vengono classificati fa risparmiare agli analisti il tempo di smistare i falsi positivi e decidere a cosa dare la priorità, aiutando lo staff della sicurezza IT che usa Recorded Future a spendere il 34% di tempo in meno nella compilazione dei report.

Per prevedere eventi e proprietà delle entità attraverso modelli predittivi

Il machine learning può anche generare modelli che prevedono il futuro, spesso molto più accuratamente di qualsiasi analista umano, attingendo ai profondi pool di dati precedentemente estratti e classificati.

Questa è un’applicazione particolarmente forte della “legge dei grandi numeri” del machine learning – man mano che continuiamo ad attingere a più fonti di dati, questi modelli predittivi diventeranno sempre più accurati.

Casi d’uso dell’intelligence sulle minacce

I diversi casi d’uso dell’intelligence sulle minacce la rendono una risorsa essenziale per i team interfunzionali di qualsiasi organizzazione. Anche se il suo valore è forse più immediato quando aiuta a prevenire un attacco, l’intelligence sulle minacce è anche una parte utile del triage, dell’analisi dei rischi, della gestione delle vulnerabilità e del processo decisionale ad ampio raggio.

Risposta agli incidenti

Gli analisti della sicurezza incaricati della risposta agli incidenti riportano alcuni dei più alti livelli di stress del settore, e non c’è da stupirsi del perché: il tasso di incidenti informatici è salito costantemente negli ultimi due decenni e un’alta percentuale di avvisi quotidiani si rivela un falso positivo. Quando hanno a che fare con incidenti reali, gli analisti devono spesso passare del tempo a smistare faticosamente i dati manualmente per valutare il problema.

L’intelligence sulle minacce riduce la pressione in più modi:

  • Identificando ed eliminando automaticamente i falsi positivi
  • Arricchendo gli avvisi con il contesto in tempo reale, come i punteggi di rischio personalizzati
  • Confrontando le informazioni da fonti interne ed esterne

Gli utenti di Recorded Future identificano i rischi 10 volte più velocemente di quanto facessero prima di integrare le informazioni sulle minacce nelle loro soluzioni di sicurezza, dando loro in media giorni in più per rispondere alle minacce in un settore dove anche i secondi possono essere importanti.

Security Operations

La maggior parte dei team dei centri operativi di sicurezza (SOC) deve gestire enormi volumi di avvisi generati dalle reti che monitorano. Il trattamento di questi allarmi richiede troppo tempo e molti non vengono mai esaminati. La “stanchezza da allerta” porta gli analisti a prendere le allerte meno seriamente di quanto dovrebbero. La Threat Intelligence risolve molti di questi problemi – aiutando a raccogliere informazioni sulle minacce in modo più rapido e preciso, filtrando i falsi allarmi, accelerando il triage e semplificando l’analisi degli incidenti. Grazie ad essa, gli analisti possono smettere di perdere tempo nel perseguire gli avvisi basati su:

  • Azioni che hanno maggiori probabilità di essere innocue piuttosto che dannose
  • Attacchi che non sono rilevanti per quell’azienda
  • Attacchi per i quali sono già in atto difese e controlli

Oltre ad accelerare il triage, la threat intelligence può aiutare i team SOC a semplificare l’analisi e il contenimento degli incidenti. Gli utenti di Recorded Future risolvono le minacce il 63% più velocemente, riducendo di oltre la metà le ore critiche che dedicano alla bonifica.

Gestione delle vulnerabilità

Gestione efficace delle vulnerabilità significa passare dall’approccio “metti sempre le patch a tutto” – un approccio che nessuno può realisticamente raggiungere – alla priorità delle vulnerabilità in base al rischio effettivo.

Anche se il numero di vulnerabilità e minacce è aumentato ogni anno, la ricerca mostra che la maggior parte delle minacce prende di mira la stessa, piccola parte delle vulnerabilità. Gli attori delle minacce sono anche più veloci – ora ci vogliono solo quindici giorni in media tra l’annuncio di una nuova vulnerabilità e la comparsa di un exploit che la prende di mira.

Questo ha due implicazioni:

  • Hai due settimane per applicare una patch o rimediare ai tuoi sistemi contro un nuovo exploit. Se non è possibile applicare la patch in questo lasso di tempo, avere un piano per mitigare il danno.
  • Se una nuova vulnerabilità non viene sfruttata entro due settimane o tre mesi, è improbabile che lo sia mai – la patch può avere una priorità inferiore.

La threat intelligence vi aiuta a identificare le vulnerabilità che rappresentano un rischio effettivo per la vostra organizzazione, andando oltre il punteggio CVE combinando i dati di scansione delle vulnerabilità interne, i dati esterni e il contesto aggiuntivo sulle TTP degli attori delle minacce. Con Recorded Future, gli utenti identificano il 22% in più di minacce reali prima che abbiano un impatto serio.

Analisi del rischio

La modellazione del rischio può essere un modo utile per le organizzazioni per impostare le priorità di investimento. Ma molti modelli di rischio soffrono di risultati vaghi e non quantificati, compilati frettolosamente, basati su informazioni parziali, basati su presupposti infondati o su cui è difficile agire.

Le informazioni sulle minacce forniscono un contesto che aiuta i modelli di rischio a fare misure di rischio definite e ad essere più trasparenti sui loro presupposti, variabili e risultati. Può aiutare a rispondere a domande come:

  • Quali attori di minacce stanno usando questo attacco e prendono di mira il nostro settore?
  • Quante volte questo attacco specifico è stato osservato di recente da imprese come la nostra?
  • La tendenza è in aumento o in diminuzione?
  • Quali vulnerabilità sfrutta questo attacco, e queste vulnerabilità sono presenti nella nostra azienda?
  • Quale tipo di danno, tecnico e finanziario, ha causato questo attacco in aziende come la nostra?

Fare le domande giuste con le informazioni sulle minacce di Recorded Future è uno dei modi in cui gli utenti vedono una riduzione dell’86% dei tempi di inattività non pianificati – una differenza enorme quando anche un minuto di inattività può costare ad alcune organizzazioni fino a 9.000 dollari di perdita di produttività e altri danni.

Prevenzione delle frodi

Per mantenere sicura la vostra organizzazione, non è sufficiente rilevare e rispondere solo alle minacce che già sfruttano i vostri sistemi. Dovete anche prevenire gli usi fraudolenti dei vostri dati o del vostro marchio.

Le informazioni sulle minacce raccolte dalle comunità criminali sotterranee forniscono una finestra sulle motivazioni, i metodi e le tattiche degli attori delle minacce, specialmente quando queste informazioni sono correlate a quelle provenienti dal web di superficie, compresi i feed tecnici e gli indicatori.

Utilizzate le informazioni sulle minacce per prevenire:

  • Frodi nei pagamenti – Il monitoraggio di fonti come le comunità criminali, i siti di incollaggio e altri forum alla ricerca di numeri di carte di pagamento rilevanti, numeri di identificazione bancaria o riferimenti specifici a istituzioni finanziarie può fornire avvisi tempestivi di attacchi imminenti che potrebbero interessare la vostra organizzazione.
  • Dati compromessi – I criminali informatici caricano regolarmente cache di nomi utente e password su siti di incollaggio e sul dark web o li rendono disponibili per la vendita su mercati clandestini. Monitora queste fonti con le informazioni sulle minacce per fare attenzione alle credenziali trapelate, ai dati aziendali o al codice proprietario.
  • Typosquatting – Ricevi avvisi in tempo reale sui domini di phishing e typosquatting appena registrati per evitare che i criminali informatici impersonino il tuo marchio e frodino gli utenti ignari.

Evitando più violazioni con le informazioni sulle minacce, gli utenti di Recorded Future sono in grado di risparmiare oltre 1 milione di dollari per ogni potenziale violazione attraverso multe dannose, sanzioni e la perdita di fiducia dei consumatori.

Security Leadership

I responsabili della sicurezza devono gestire il rischio bilanciando le limitate risorse disponibili con la necessità di proteggere le loro organizzazioni da minacce in continua evoluzione. Le informazioni sulle minacce possono aiutare a mappare il panorama delle minacce, a calcolare il rischio e a fornire al personale della sicurezza le informazioni e il contesto per prendere decisioni migliori e più rapide.

Oggi i leader della sicurezza devono:

  • Valutare i rischi aziendali e tecnici, comprese le minacce emergenti e le “incognite note” che potrebbero avere un impatto sul business
  • Identificare le giuste strategie e tecnologie per mitigare i rischi
  • Comunicare la natura dei rischi al top management e giustificare gli investimenti in misure difensive

La threat intelligence può essere una risorsa critica per tutte queste attività, fornendo informazioni sulle tendenze generali, come:

  • Quali tipi di attacchi stanno diventando più (o meno) frequenti
  • Quali tipi di attacchi sono più costosi per le vittime
  • Quali nuovi tipi di attori di minacce si stanno facendo avanti, e le risorse e le imprese che stanno prendendo di mira
  • Le pratiche e le tecnologie di sicurezza che si sono dimostrate più (o meno) efficaci nel fermare o mitigare questi attacchi

Può anche permettere ai gruppi di sicurezza di valutare se è probabile che una minaccia emergente colpisca la loro specifica impresa in base a fattori quali:

  • Settore – La minaccia colpisce altre aziende nella nostra verticale?
  • Tecnologia – La minaccia comporta la compromissione di software, hardware o altre tecnologie utilizzate nella nostra azienda?
  • Geografia – La minaccia prende di mira le strutture nelle regioni in cui abbiamo operazioni?
  • Metodo di attacco – I metodi utilizzati nell’attacco, inclusi l’ingegneria sociale e i metodi tecnici, sono stati usati con successo contro la nostra azienda o contro altre simili?

Con questi tipi di intelligence, raccolti da un’ampia serie di fonti di dati esterne, i responsabili della sicurezza ottengono una visione olistica del panorama dei rischi informatici e dei maggiori rischi per la loro azienda.

Queste sono le quattro aree chiave in cui le informazioni sulle minacce aiutano i leader della sicurezza a prendere decisioni:

  • Mitigazione – Le informazioni sulle minacce aiutano i leader della sicurezza a dare priorità alle vulnerabilità e ai punti deboli che gli attori delle minacce sono più propensi a prendere di mira, fornendo un contesto sulle TTP che gli attori delle minacce utilizzano, e quindi i punti deboli che tendono a sfruttare.
  • Comunicazione – I CISO sono spesso sfidati dalla necessità di descrivere le minacce e giustificare le contromisure in termini che motivino i business leader non tecnici, come il costo, l’impatto sui clienti, le nuove tecnologie. L’intelligence sulle minacce fornisce potenti munizioni per queste discussioni, come l’impatto di attacchi simili su aziende delle stesse dimensioni in altri settori o le tendenze e l’intelligence dal dark web che indicano che l’impresa è probabile che venga presa di mira.
  • Supporto ai leader – Le informazioni sulle minacce possono fornire ai leader della sicurezza un quadro in tempo reale delle ultime minacce, tendenze ed eventi, aiutando i leader della sicurezza a rispondere a una minaccia o a comunicare il potenziale impatto di un nuovo tipo di minaccia ai leader aziendali e ai membri del consiglio di amministrazione in modo tempestivo ed efficiente.
  • Il gap di competenze nella sicurezza – I CISO devono assicurarsi che l’organizzazione IT abbia le risorse umane per svolgere la sua missione. Ma la carenza di competenze nella cybersecurity significa che il personale di sicurezza esistente spesso deve far fronte a carichi di lavoro ingestibili. L’intelligence sulle minacce automatizza alcuni dei compiti più laboriosi, raccogliendo rapidamente i dati e correlando il contesto da più fonti di intelligence, dando priorità ai rischi e riducendo gli avvisi non necessari. Una potente intelligence sulle minacce aiuta anche il personale junior a “aggiornarsi” rapidamente e ad avere prestazioni superiori al proprio livello di esperienza.

Riduzione del rischio di terze parti

Inumerevoli organizzazioni stanno trasformando il loro modo di fare business attraverso processi digitali. Stanno spostando i dati dalle reti interne al cloud e raccogliendo più informazioni che mai.

Rendere i dati più facili da raccogliere, archiviare e analizzare sta certamente cambiando molti settori per il meglio, ma questo libero flusso di informazioni ha un prezzo. Significa che per valutare il rischio della nostra organizzazione, dobbiamo anche considerare la sicurezza dei nostri partner, fornitori e altre terze parti.

Purtroppo, molte delle più comuni pratiche di gestione del rischio di terze parti impiegate oggi sono in ritardo rispetto ai requisiti di sicurezza. Le valutazioni statiche del rischio, come gli audit finanziari e le verifiche dei certificati di sicurezza, sono ancora importanti, ma spesso mancano di contesto e non sono sempre tempestive. C’è bisogno di una soluzione che offra un contesto in tempo reale sul panorama reale delle minacce.

Le informazioni sulle minacce sono un modo per fare proprio questo. Può fornire trasparenza negli ambienti delle minacce delle terze parti con cui lavorate, fornendo avvisi in tempo reale sulle minacce e sui cambiamenti dei loro rischi e dandovi il contesto di cui avete bisogno per valutare le vostre relazioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.