Come aumentare la visibilità sugli attacchi in un contesto in continua trasformazione con soluzioni di sicurezza che si adattano automaticamente all’evoluzione delle minacce
È uno scenario in costante evoluzione quello che emerge dall’analisi degli attacchi che più recentemente hanno colpito le aziende e le organizzazioni del nostro Paese. In questo contesto, molte delle soluzioni di sicurezza usate finora potrebbero non fornire più un adeguato livello di protezione, in quando disegnate per una minaccia non più attuale. Emerge preponderante l’esigenza di soluzioni di sicurezza in grado di adattarsi automaticamente e rapidamente a una minaccia estremamente mutevole. C’è sul mercato una virtuosa convergenza verso l’adozione di feed di Threat Intelligence, ovvero flussi informativi che consentono l’aggiornamento e adattamento veloce alle minacce che si avvicendano.
La Threat Intelligence, o più semplicemente TI, è costituita da informazioni su minacce o attacchi, presenti o emergenti che ci permettono di prendere decisioni informate. Esiste già tantissima TI, ne siamo praticamente immersi. Ogni rapporto di sicurezza, bollettino, news contiene tanta TI. Purtroppo, molta la perdiamo subito dopo averla letta. Quella di maggior pregio è quella sulla quale possiamo prendere decisioni informate ed è questa che spesso viene chiamata “Actionable” Threat Intelligence. Spesso viene veicolata sotto forma di flussi informativi su protocolli standard e, una volta importata automaticamente nelle soluzioni di sicurezza, consente di aggiornarle e adattarle in tempo pressoché reale alle mutate minacce. Esistono diverse forme di Threat Intelligence, e una prima categorizzazione ci consente di individuare la TI strategica, operazionale e tattica.
La TI strategica fornisce una visione di assieme delle minacce o attacchi verso un particolare settore industriale o una nazione, permettendoci di adottare una strategia difensiva di alto livello. Gli attaccanti generalmente colpiscono obiettivi omogenei. Esistono dei report specifici per ciascun settore che, indicandoci cosa sta accadendo a organizzazioni che operano nello stesso settore e nella stessa area geografica, ci danno una previsione su cosa potrebbe accadere anche a noi. Proprio per questo, alcune soluzioni consentono di selezionare la industry e la location dell’organizzazione e sulla base di questo danno un rischio contestualizzato proprio a questi parametri. La TI operazionale si concentra sui TTP (Tactics, Techniques and Procedures) usati nelle minacce o attacchi, facendo leva sul modus operandi dei gruppi cybercriminali. La Threat Intelligence tattica invece usa indicatori di compromissione (IOC – Indicators of Compromise) nella forma di URL, hostname, certificati SSL, indirizzi IP per individuare negli eventi di sicurezza, segni di tentata o avvenuta compromissione. È quest’ultimo il campo in cui si è consumata la maggior parte di TI, prevalentemente nelle soluzioni SIEM e nei firewall.
Il panorama sta però cambiando in quanto sempre più soluzioni di sicurezza integrano la TI. Alcune soluzioni di SOAR (Security Orchestration, Automation and Response) e Incident Response usano la TI per arricchire gli incidenti di sicurezza e dare utili indicazioni all’operatore o prendere decisioni automatiche, anche ben dopo l’incidente. I DNS, DHCP o altri sistemi di rete, usano la TI per bloccare azioni dell’utente su traffico malevolo. Più recentemente anche alcune soluzioni di Identity e Access Governance usano feed specifici per analizzare le operazioni di accesso utente, bloccando login potenzialmente pericolosi. Gli attacchi cercano continuamente schemi in grado di evadere le strategie di difesa delle organizzazioni da attaccare. La prevenzione, individuazione e risposta agli attacchi, anche grazie alla Threat intelligence, è una delle strategie per dotare gli strumenti di difesa di pari flessibilità e rapidità d’azione.
Pier Luigi Rotondo Comitato Scientifico di CLUSIT
