Il nostro Blog

Cyber threat intelligence: cos'è e quali vantaggi offre in ambito security

Nel panorama attuale della sicurezza informatica, l’attività degli esperti di sicurezza si è dovuta, giocoforza, evolvere in maniera radicale. La cyber threat intelligence è parte integrante di questa nuova dimensione e rappresenta un tassello fondamentale in qualsiasi servizio di cyber-security.

Quello a cui assistiamo, infatti, è una continua rincorsa tra cyber-criminali ed esperti di sicurezza, in cui l’attività e la conoscenza delle tecniche di attacco sviluppate dai pirati informatici può trasformarsi in un fattore di vantaggio estremamente importante.

La Cyber threat intelligence e il mondo sommerso del cyber-crimine

Anche se i sistemi antivirus e di protezione delle reti adottano ormai tecniche di rilevamento ed elaborazione basate su machine learning e intelligenza artificiale, la capacità di individuare tempestivamente le nuove tecniche di attacco rimane un’attività fondamentale per i team di esperti di sicurezza e le strategie per ottenere queste informazioni attraverso la cyber threat intelligence non differiscono poi molto da quelle utilizzate dagli investigatori delle forze di polizia che si occupano di crimini comuni.

Il mondo del cyber-crimine, infatti, è ormai strutturato attraverso vere e proprie filiere, in cui programmatori, hacker e organizzazioni criminali si scambiano strumenti e servizi per gestire le loro attività. Una sorta di “mercato nero” che tiene banco all’interno di forum più o meno raggiungibili (alcuni nascosti tra le pieghe del Dark Web) e di strumenti di condivisione che, molto spesso, utilizzano la formula del “malware as a service”, cioè forme di “noleggio” degli strumenti di hacking che vengono utilizzati per gli attacchi.

Identificare le nuove minacce

È proprio in questi settori, veri e propri “bassifondi del web”, che è possibile individuare con tempestività i nuovi malware, gli exploit e gli strumenti di attacco che sono destinati a emergere nel prossimo futuro. In molti casi, infatti, il monitoraggio dei forum dedicati all’hacking permette di intercettare parti di codice o strumenti ancora in corso di sviluppo, che in molti casi gli stessi autori promuovono attraverso inserzioni commerciali che ricordano classiche pubblicità. Non solo: prima di avviare campagne di attacco in grande in stile, molti pirati informatici eseguono test attraverso operazioni di dimensioni contenute per verificare l’efficacia del loro “arsenale”. Un’accurata attività di intelligence permette spesso di individuare questo tipo di attività e permettere di istruire i software di protezione per bloccare le nuove minacce.

La valutazione del rischio

Nel mondo della cyber-security, le tipologie di minacce si susseguono spesso perondate”. È successo negli ultimi anni sia con i ransomware, che hanno vissuto un periodo di diffusione straordinario tra il 2017 e il 2019, sia con i crypto-miner, il cui impiego ha vissuto un vero e proprio boom a partire dalla metà del 2018. Lo stesso vale per le tipologie di bersagli: a partire dal 2019, per esempio, molti pirati informatici si sono concentrati sui servizi cloud e, in particolare sui sistemi dei cosiddetti docker, i moduli che permettono di implementare rapidamente applicazioni virtualizzate in ambiente cloud. L’analisi e il monitoraggio delle tendenze in atto permettono di individuare i possibili rischi a livello di infrastruttura e aumentare i controlli laddove è necessario.

Prevenire gli attacchi mirati con operazioni di cyber threat intelligence 

Le azioni dei cyber-criminali più evoluti, sia che si tratti di hacker collegati a governi o servizi segreti, sia che si tratti di “comuni” pirati informatici, sono di solito precedute da un’attenta pianificazione e da una fase preparatoria, nel corso della quale vengono raccolte tutte le informazioni necessarie per mettere a segno l’attacco, per esempio cercando di ottenere dati su una specifica azienda o rastrellando le credenziali rubate e messe in vendita sul dark web da altri pirati informatici. Si tratta di un’attività che, ancora una volta, lascia degli indizi che possono essere colti attraverso operazioni di cyber threat intelligence e consentono di elevare notevolmente il livello di sicurezza, prevenendo un eventuale attacco. 

New call-to-action

 

Condividilo su: