Gli elementi fondamentali della Cyber Threat Intelligence

La cyber security è ormai un elemento critico per tutte le aziende a livello globale. Hacker e cybercriminali attaccano i sistemi informativi di aziende, persone e enti governativi sia per motivi economici, sia per ideali e cause geopolitiche. Gli attacchi spesso si concludono nella perdita di dati sensibili, proprietà intellettuali e interruzioni di sistemi critici.

Nonostante l’avanzamento significativo nel panorama delle minacce cyber, le difese delle aziende non si sono evolute di conseguenza. In Italia, in particolare, il 35% delle PMI non dispone di alcuna risorsa dedicata alla cyber security (Fonte). Questa situazione crea uno scenario pericolosamente asimmetrico, in cui le aziende si trovano a fronteggiare avversari agili e aggressivi, capaci di superare anche le difese più sofisticate.

Per rendere più stabile la propria postura di sicurezza, aziende e organizzazioni possono integrare la Threat Intelligence nelle operazioni di cyber sicurezza contro gli attori ostili. La Cyber Threat Intelligence (CTI), se integrata in modo efficace, trasforma l’approccio alla sicurezza informatica da una prospettiva reattiva a una proattiva, preventiva e dinamica.

Definizione e caratteristiche della Cyber Threat Intelligence

La Cyber Threat Intelligence è il processo di acquisizione, elaborazione, analisi e condivisione delle informazioni che identificano, tracciano e prevedono minacce, rischi e opportunità di migliorare il processo decisionale per quanto riguarda le operazioni di sicurezza.
Secondo il più recente rapporto del Clusit (ottobre 2023), l’85% delle organizzazioni ha riferito di “produrre” o “consumare” forme di intelligence. Sebbene quindi la CTI sia diventata una componente essenziale di una strategia di sicurezza matura e sana, il suo pieno valore non è ancora stato compreso fino in fondo. La CTI può derivare da diverse fonti, tra cui: log di sistema e telemetria di rete, feed di minacce esterne, fonti OSINT, forum sul deep e dark web, esempi di malware e scambio di informazioni con partner fidati e esperti del settore.

Questi dati diventano davvero utili quando sono realmente utilizzabili e “azionabili” dai team di sicurezza, ovvero quando i professionisti di cyber security possono effettivamente implementare tecniche e prendere decisioni sulla base dei dati raccolti. Secondo l’ENISA, la CTI può essere definita azionabile se presenta cinque caratteristiche fondamentali: rilevanza, attualità, accuratezza, completezza e capacità di essere assimilata nel contesto di riferimento. Altri aggiungono a queste caratteristiche: livello di rischio, l’implementazione, l’attendibilità della fonte, la pertinenza al settore di riferimento, contesto sufficiente e una chiara guida per affrontare la minaccia.

In questo contesto, una definizione più dettagliata di Cyber Threat Intelligence potrebbe essere quella della Bank of England:

Un output contestualizzato di un processo strategicamente guidato finalizzato alla raccolta e all’analisi di informazioni riguardanti identità, obiettivi, motivazioni, strumenti e tattiche di entità malevole che mirano a danneggiare o minare le operazioni di un’organizzazione bersaglio, i sistemi IT o le informazioni in transito

Questa definizione sottolinea l’inclusione di dati convalidati che offrono contesto, modalità operative, indicatori ed eventuali, suggerimenti.
In altre parole, la Cyber Threat Intelligence permette ai professionisti della cyber security di difendersi in modo proattivo dagli attacchi, individuare e diagnosticare reattivamente una violazione e dare priorità agli incidenti in base all’esposizione al rischio.

Per fare questo, ad un livello più operativo e immediato (anche detto tattico), la CTI si occupa di supportare le operazioni difensive raccogliendo, analizzando e sfruttando gli indicatori di compromissione e di attacco e le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce.

> Scopri anche il corso “Security Operations & Threat Intelligence”

Elementi Fondamentali di Cyber Threat Intelligence

Indicatori di compromissione e indicatori di attacco

Gli indicatori di compromissione (IoC) e gli Indicatori di Attacco (IoA) forniscono ai team di cyber security informazioni cruciali sul contesto per rilevare e reagire agli attacchi. Queste informazioni costituiscono una parte di Threat Intelligence definita tattica, che può far luce sull’attaccante, le sue attività e gli strumenti impiegati nella violazione di dati e sistemi.

Un indicatore di compromissione è la prova su un computer che indica una possibile compromissione nella sicurezza della rete. Gli analisti tipicamente raccolgono questa informazione dopo segnalazioni di incidenti sospetti o attraverso monitoraggi regolari, o ancora in seguito a attività anomale nella rete. Questi dati sono raccolti per sviluppare sistemi “più intelligenti”, che in futuro potrebbero riconoscere e isolare file sospetti in modo autonomo. I sistemi che rilevano gli IoC sono reattivi, in quanto esaminano gli eventi dopo che sono successi. Sono indicatori di compromissione, ad esempio: nomi dei file, connessioni di rete al server di comando e controllo, indirizzi IP e chiavi di registro.

Un indicatore di attacco, invece, è proattivo e basato sul comportamento e rileva che cosa sta cercando di ottenere l’attaccate. Un sistema basato su indicatori di attacco lavora in tempo reale e rileva gli attacchi nel momento in cui si verificano, indipendentemente dall’exploit o dal malware utilizzato. Questi sistemi sono in grado di rilevare le operazioni tecniche e si assicurano di avere una visibilità in real time di tutto l’ambiente informatico.
Esempi di Indicatori di Attacco includono comunicazioni da server pubblici verso host interni, connessioni attraverso porte non standard e traffico SMTP eccessivo.

Tattiche, Tecniche e Procedure degli attori delle minacce

Le tattiche, tecniche e procedure (TTP) descrivono il comportamento dell’attore delle minacce e costituiscono un elemento importante della Threat Intelligence tattica e operativa. Le tattiche sono una visione del comportamento ad alto livello, le tecniche sono descrizioni dettagliate nel contesto della tattica e le procedure sono dettagli ancora più specifici nel contesto di una tecnica. Insieme, le TTP dovrebbero descrivere la tendenza di un attaccante ad utilizzare una specifica variante di malware, l’ordine delle operazioni, strumenti di attacco e meccanismi di distribuzione (ad esempio phishing) o operazioni tecniche.

Più nello specifico, le tattiche delineano il comportamento dell’attaccante durante le varie fasi dell’attacco: riconoscere pattern comuni può consentire la previsione dei passaggi successivi attraverso la raccolta di dati sull’ingresso iniziale, nodi compromessi o credenziali colpite. Le tecniche comprendono tutto quello che può fare l’attore della minaccia per causare problemi e interruzioni, ad esempio infiltrarsi in una rete o stabilire i centri di comando e controllo. In particolare le tecniche si concentrano sulla metodologia della campagna di attacco e delineano la sequenza di azioni. Le procedure, infine, dettagliano l’esecuzione delle tattiche, usando una serie di tecniche e azioni precise e studiate, spesso personalizzabili, ma frequentemente ripetute.

Le TTP indicano i tentativi non autorizzati di eseguire azioni bloccate, ad esempio cambiare la rete, accedere a risorse sensibili o inviare dati ad un server di comando e controllo esterno. Questi indicatori tipicamente fanno riferimento ad un framework consistente. Il security framework MITRE ATT&CK, ad esempio, è una collezione completa delle TTP che gli attori delle minacce utilizzano nel mondo reale. Anche Pulsedive offre una piattaforma gratuita di Threat Intelligence per i team di sicurezza in tutto il mondo.

Gli attacchi informatici sono cresciuti per frequenza e ricercatezza e presentano sfide significative per le aziende che devono difendere i propri dati e i propri sistemi attori malevoli capaci e competenti. Questi attori possono essere attaccanti individuali e autonomi, oppure gruppi ben riforniti e coordinati, parte di un gruppo criminale più ampio o parte di uno stato nazione. Gli attori delle minacce possono essere persistenti, motivati e agili e utilizzare una grande varietà di tattiche, tecniche e procedure per compromettere un sistema, interrompere servizi critici, commettere frodi finanziarie o rubare proprietà intellettuali e altre informazioni sensibili. La condivisione e l’utilizzo delle informazioni sono diventati essenziali per migliorare la sicurezza aziendale.

> Contattaci e scopri il nostro servizio Cyber Security as a Service 

Fonti:

Kotsias, J., Ahmad, A., & Scheepers, R. (2023). Adopting and integrating cyber-threat intelligence in a commercial organisation. European Journal of Information Systems32(1), 35-51.

Wagner, T. D., Mahbub, K., Palomar, E., & Abdallah, A. E. (2019). Cyber threat intelligence sharing: Survey and research directions. Computers & Security87, 101589.

Rapporto 2023 sulla Sicurezza ICT in Italia – aggiornamento ottobre 2023 (2023) Clusit.it. Disponibile su: https://clusit.it/rapporto-clusit/ (Ultimo accesso: 01 December 2023).