Parlare di cyber threat intelligence significa parlare di dati. Dati che, nella fattispecie, raccontano in modo analitico le dinamiche di un grande numero di attacchi informatici: maggiore è il numero, migliore è il modello statistico con cui delineare le tendenze del cybercrime e, quindi, quelle dei prossimi attacchi.
In altre parole, la cyber threat intelligence è la disciplina con cui l’approccio alla sicurezza cyber passa da un modello preventivo a un modello predittivo. Ma com’è possibile prevedere i cyberattacchi? E poi, la cyber threat intelligence funziona davvero o richiede comunque la messa a terra di un incident response plan? Andiamo più nel dettaglio.
Come funziona la cyber threat intelligence
Come in tutte le discipline basate sui dati, la riuscita della cyber threat intelligence è data dalla materia prima a disposizione, per quantità e qualità. Se è semplice capire l’importanza della prima, più complesso è identificare la seconda in una nicchia così specifica come questo tipo di intelligence.
Vista la varietà di attacchi e compromissioni, i parametri da raccogliere sono così tanti che nel corso del tempo si è affermata l’attività di cyber threat hunting: la ricerca di minacce volta a raggranellare informazioni preziose da passare, poi, alla fase di analisi. In realtà, la forza della cyber threat intelligence sta nell’approccio organico ai dati relativi alla cybersecurity, forniti da 5 fonti diverse.
- OSINT (Open Source Intelligence). Fornisce informazioni legate alle fonti aperte, cioè consultabili senza bisogno di particolari permessi, come motori di ricerca e contenuti pubblici dei social.
- HUMINT (Human Intelligence). Si occupa della raccolta di dati relativi ai contatti interpersonali, ad esempio ottenuti tramite l’analisi di campagne di social engineering e interviste pubbliche.
- CCI (Cyber Counter-Intelligence). Si tratta di un’attività di recupero informazioni presenti nel cyberspazio e fa leva sullo studio degli strumenti utilizzati dagli hacker, come le tecniche di pivoting e sinkhole.
- Indicator of Compromise (IoC). Costituiscono la prova tangibile di un’eventuale data breach: sono tracce digitali che indicano quando è avvenuto un incidente, chi l’ha perpetrato e con quali strumenti – in piena ottica Digital Forensics. Per questo si tratta di parametri essenziali perché raccolti in sistemi compromessi in modo malevolo.
- Malware analysis. Offre un prospetto tecnico su comportamento e struttura dei malware: queste categorie alimentano i sistemi di cyber threat intelligence con dati chiave che, tramite algoritmi specifici e machine learning, vengono dapprima uniformati e poi correlati e analizzati. Individuando, alla fine, le tendenze di cyberattacchi e cybercriminali.
A cosa serve la cyber threat intelligence
L’obiettivo della cyber threat intelligence è chiaro: prevedere le mosse degli hacker analizzando le loro stesse mosse. Si tratta, in buona sostanza, di individuare pattern di attacco, strategie e abitudini che vengono reiterati al punto da aspettarsi un comportamento similare nel prossimo futuro.
In questo modo diventa possibile individuare, ad esempio, che negli ultimi tempi un gruppo di indirizzi IP di origine asiatica esegue scansioni delle porte aperte di sistemi europei, per poi veicolare intrusioni con una specifica vulnerabilità zero-day ed effettuare poi l’installazione di un certo malware. Sulla base di questa analisi, è quindi possibile prevedere attacchi simili su obiettivi simili, da lì alle settimane successive.
Più è efficace l’attività di cyber threat intelligence, infatti, maggiore la precisione con cui definire la strategia di difesa. Per esempio, nel caso trattato, prestando particolare attenzione a classi di indirizzi IP provenienti dall’Asia e accertandosi che i software del sistema siano aggiornati per non subire quella vulnerabilità zero-day. In questo modo si allocano meglio le risorse dedicate alla cybersecurity e si bloccano le principali minacce prima ancora che siano veicolate verso un obiettivo specifico.
