La crescita dei vettori di minacce nel nostro mondo connesso rende impossibile alle organizzazioni difendersi contro ogni exploit. L’intelligence delle minacce può migliorare la sicurezza e la gestione dei rischi per costruire difese proattive, dare priorità agli avvisi di violazione e migliorare la risposta agli incidenti, contro aggressori sempre più sofisticati
Di Massimiliano Brugnoli, Business Development Manager di Orange Business Services
Le organizzazioni lavorano giorno e notte per valutare i rischi crescenti e il panorama delle minacce cambia così velocemente che è impossibile per le tecnologie di sicurezza tradizionali tenere il passo. Un’accurata intelligence delle minacce consente alle organizzazioni di individuare i rischi, ridurre gli incidenti di sicurezza e rispondere rapidamente in caso di attacco.
La definizione di “intelligence delle minacce” fornita dagli analisti di Gartner offre un’interpretazione molto chiara: è “conoscenza basata sulle evidenze – che include contesto, meccanismi, indicatori, implicazioni e consigli d’azione – a proposito di un rischio esistente o emergente all’IT o alle risorse informative. Può essere usata per prendere decisioni circa la risposta del soggetto a tale minaccia o pericolo”.
L’interesse per l’intelligence sulle minacce e le sue capacità è in crescita. Entro il 2020, il 15% delle grandi imprese utilizzerà servizi commerciali di intelligence sulle minacce per le proprie strategie di sicurezza, in aumento da meno dell’1% nel 2018, secondo Gartner.
L’intelligence rinforza la posizione di sicurezza
Nel 2018, il Centro per gli studi strategici e internazionali (CSIS) ha stimato il costo del cybercrime globale in $600 miliardi, e non ci sono segnali di un rallentamento. Il Centro attribuisce questa crescita all’adozione rapida di nuove tecnologie da parte dei criminali informatici, alla crescita del cybercrime-as-a-service, alla minor adozione di sicurezza informatica nei paesi a basso reddito e a un numero crescente di “centri di criminalità informatica” in località come il Brasile, l’India, Corea del Nord e Vietnam.
Inoltre, monetizzare è diventato più facile per i criminali informatici, grazie all’aumento del mercato nero nel dark e deep web e all’uso delle valute digitali. Allo stesso tempo, il crimine informatico funziona su vasta scala, e l’FBI che stima che siano più di 4.000 gli attacchi di ransomware che si verificano ogni giorno.
Fino a un decennio fa, gli aggiornamenti settimanali dell’antivirus erano considerati sufficienti. Ora, anche facendolo quotidianamente, possiamo essere sicuri che il 50% dell’antivirus non è aggiornato. Le minacce si evolvono alla velocità della luce. Ciò significa che le informazioni di cui disponiamo – per fare un esempio, che alcuni indirizzi IP, nomi di dominio o URL erano malevoli due giorni fa – potrebbero non essere più pertinenti, perché gli hacker informatici si sono trasferiti. È qui che entra in gioco l’intelligence delle minacce; consente di determinare quali minacce rappresentano il maggior rischio per l’infrastruttura dell’organizzazione, in modo da potersi proteggere.
Gli strumenti di intelligence delle minacce possono anche identificare se una violazione subita utilizzando indicatori di compromissione (indicators of compromise o IOC) che determinano se alcuni sistemi sono stati compromessi. Quanto più a lungo il malware rimane all’interno di un sistema, senza essere individuato, tanto maggiore è il danno che può fare.
Passare l’intelligence al setaccio
Raccogliere intelligence è un compito enorme. Le informazioni provengono da una vasta gamma di fonti come feed di notizie, servizi a pagamento, forum e persino fonti umane sul dark web, in formati strutturati o meno. In qualità di operatore di telecomunicazioni di primo livello, Orange ha anche visibilità di prima mano dei primi segnali di attacco dal suo backbone Internet globale.
Uno dei punti di forza di Orange Cyberdefense è il modo in cui lavora con vendor, governi e altre reti per aggregare e condividere le informazioni sulle minacce. Orange Cyberdefense scambia dati con Europol, l’agenzia di polizia dell’Unione europea. Ha anche annunciato di recente la sua collaborazione con Cert NZ, un’unità di sicurezza informatica del governo neozelandese che fornisce consulenza a imprese, organizzazioni e individui colpiti da incidenti di sicurezza informatica.
Orange Cyberdefense è tra i membri fondatori di Phishing Initiative, che rifornisce di intelligence i propri database e quelli dei partner in settori come i servizi finanziari, ad esempio, per migliorare l’intelligence sugli attacchi di phishing, che sono in aumento. Orange Cyberdefense, attraverso la sua filiale Cybercrime, partecipa attivamente alla verifica e alla chiusura di siti di phishing fraudolenti. Più sono le informazioni di cui si dispone, più è facile essere preparati. Ma non è un compito facile aggregare informazioni da così tante fonti, e facilmente si generano troppi falsi positivi fuorvianti. Ciò significa che i file o le impostazioni, ad esempio, sono contrassegnati come dannosi quando non lo sono.
È quindi essenziale che l’intelligence delle minacce sia aggregata, verificata e correlata con le informazioni provenienti da altre fonti per l’analisi. Oltre ad avere fiducia nei dati, la fiducia nelle fonti è fondamentale. A Orange Cyberdefense, oltre all’aggregazione automatica, i nostri analisti CERT indagano ulteriormente per garantire l’integrità e l’efficacia delle informazioni sulle minacce. Gli esperti analizzano anche i modelli di comportamento di un malware per capire come si sta evolvendo. Tutto ciò è supportato dal motore di correlazione proprietario Orange Cyberdefense per la qualifica e la verifica delle minacce.
La qualità della sicurezza dipende dall’intelligence
Nell’attuale scenario di minacce dinamiche, un approccio basato sull’intelligence delle minacce può essere integrato con AI, analisi del comportamento dell’utente e dell’entità (“user and entity behavior analytics” o UEBA) e apprendimento automatico (machine learning, ML) per identificare anomalie che potrebbero indicare un attacco zero-day.
Migliore è l’intelligence delle minacce, più facile sarà anticiparle e prepararsi adeguatamente. Ma alla fine è impossibile raccogliere e analizzare ogni singolo bit di dati. Come con l’intelligence tradizionale, l’intelligence delle minacce è preziosa solo se può rispondere alle domande alle quali si desidera una risposta nel tempo che si ha a disposizione, motivo per cui una pianificazione rigorosa è essenziale per sfruttare appieno il suo potenziale.
