Identificare le risorse critiche, individuare gli stakeholder e catturare i requisiti. Come impostare la strategia di Cyber Threat Intelligence per migliorare la resilienza delle organizzazioni contro le minacce emergenti
Un’efficace strategia di difesa a garanzia della continuità del business non può più limitarsi all’implementazione di soluzioni di sicurezza nel perimetro aziendale. Avere capacità di identificare e reagire agli incidenti di sicurezza è un ottimo punto di partenza, ma se vogliamo proteggere al meglio i nostri asset diventa importante anticipare le mosse degli avversari e avere informazioni sulla nostra reale esposizione al rischio. Per questo occorre estendere l’azione di contrasto al cybercrime al di fuori dei confini aziendali e ricercare informazioni sugli agenti di minaccia per la nostra organizzazione.
La Cyber Threat Intelligence (CTI) in questo aiuta le aziende ad acquisire conoscenze preziose sulle minacce più incombenti, a costruire meccanismi di difesa efficaci e a mitigare i rischi che potrebbero danneggiare i profitti e la reputazione, anche attraverso la visibilità sulle minacce che hanno colpito, vogliono colpire o stanno per colpire i nostri asset aziendali. Questo approccio “tattico” della CTI è utile per bloccare gli indicatori di compromissione, basandosi sulla ricerca, individuazione e selezione di informazioni disponibili e riferibili all’organizzazione (domini, asset digitali, IP, email, botnet, etc.), ricercandoli nelle cosiddette “underground communities”, su Dark Web e marketplace TOR based, canali IRC, e così via. Sebbene queste applicazioni tattiche siano ancora rilevanti, ormai è aumentata la sofisticazione tecnica e abilità degli attaccanti e per contrastarli la CTI necessita di un approccio più strategico, concentrandosi sulle minacce più rilevanti per la propria geografia, settore e modello di minaccia.
Le priorità da affrontare per impostare la strategia di CTI sono tre: identificare le risorse critiche, individuare gli stakeholder e catturare i requisiti. Per prima cosa, è essenziale identificare le risorse critiche dell’azienda attraverso la modellazione delle minacce. La modellazione delle minacce è una modalità per considerare le risorse critiche e le probabili minacce per l’organizzazione. La misura delle criticità di un’azienda potrebbe non corrispondere col punto di vista dell’attaccante, il che significa che può essere difficile capire cosa costituisce una “risorsa critica”.
Le aziende potrebbero, per esempio, non considerare i propri account sui social media una risorsa critica per l’azienda, ma gli aggressori li prendono regolarmente di mira per schemi di ingegneria sociale, phishing e altro ancora. Individuare gli stakeholder nella strategia di CTI è fondamentale per proteggersi da attacchi che potrebbero provenire proprio attraverso questi ultimi. I clienti, in particolare, sono spesso trascurati in quanto stakeholder di CTI, nonostante le aziende prosperino sulle relazioni con i clienti. Comprendere e mitigare le minacce che riguardano i clienti è fondamentale per rafforzare la reputazione e la fiducia.
Catturare i requisiti: in questa fase, la specificità è la chiave. Per esempio, se il tuo requisito è individuare le minacce di ransomware, alcune domande da porsi possono essere: Quali varianti di ransomware sono targhettizzate per il mio settore di business? Quali di queste hanno maggiori probabilità di avere un impatto nel nostro settore? Quali sono i principali exploit utilizzati? Quali tattiche utilizzano per l’accesso iniziale? Quali di queste interessano le organizzazioni nella mia area geografica?
Impostata per bene la strategia di CTI, altrettanto importante è la comunicazione dei risultati per l’efficacia della stessa, che dovrà essere appropriata e differenziata in funzione dell’interlocutore (es. clienti/fornitori). Le risultanze di una corretta CTI aiutano inoltre l’azienda a comprendere cosa non sta funzionando (policy, comportamenti, strumenti, etc.) e intervenire prontamente per apportare le appropriate azioni correttive. Il team che si occupa della CTI può essere sia interno che esterno all’organizzazione. Come per ogni altro aspetto nella cyber security, la competenza e l’esperienza giocano un ruolo fondamentale.
Lino Fornaro membro del Direttivo CLUSIT
