Negli ultimi anni si sta affermando sempre più una nuova branca della sicurezza informatica che viene chiamata cyber threat intelligence. Ma che cos’è la cyber threat intelligence? In che modo la cyber threat intelligence è di ausilio nelle attività di cyber security?
La cyber threat intelligence rappresenta un servizio di supporto alla sicurezza informatica che comprende l’insieme delle teorie, procedure e strumenti per la raccolta e la condivisione di informazioni sulle minacce informatiche finalizzate alla creazione di strategie, tattiche di intervento e sistemi di monitoraggio.
La cyber threat intelligence utilizza termini tipici dello spionaggio quali ad esempio avversari, attacchi, tattiche.
Sebbene la definizione e il vocabolario possa far pensare a qualcosa di particolare complesso, in realtà soluzioni di cyber intelligence possono – anzi, devono – essere applicate anche a contesti molto piccoli come PMI e singoli cittadini.
La raccolta di informazioni nella cyber threat intelligence
Una della principali attività della cyber threat intelligence è rappresentata dalla raccolta e analisi di dati e informazioni, che tipicamente può avvenire a livello di OSINT ma anche a livello di CLOSINT.
- OSINT, acronimo di Open Source Intelligence, fa riferimento al processo di raccolta d’informazioni da fonti aperte e di pubblico dominio, previo vaglio di attendibilità e affidabilità;
- CLOSINT, acronimo di Close Source Intelligence, fa riferimento al processo di raccolta di informazioni da fonti chiuse, non accessibili al pubblico.
I dati di interesse della threat intelligence
La Threat Intelligence si propone di ricercare, individuare e selezionare principalmente dati relativi a target, asset, indirizzi IP, email, dati di persone.
Il fine ultimo risiende nell’utilizzo di informazioni accurate e rilevanti che, previo esame e contestualizzazione, possa essere utilizzata in maniera tempestiva (talvolta anche predittiva) per determinare l’eventuale esposizione ai rischi della sicurezza dell’ente monitorato.
Una delle principali fonti di dati di interesse sono i data breach, nei quali è possibile ricercare dati di interesse e in particolare password e hash di password.
Infatti, la pessima abitudine degli utenti di “riciclare” su più servizi espone loro a rischi di compromissioni. Pertanto, chiunque abbia accesso a data leak può agevolmente violare sistemi che si pensa essere protetti.
Altra ricchissima fonte di informazioni sono i social network, nei quali sono disponibili numerose informazioni per attacci basati su tecniche di social engineering.
Il processo di cyber threat intelligence
Quando si attiva un processo di cyber threat intelligece, a prescindere dalla dimensione e dalla complessità dell’ente, è possibile individuare quattro aree principali:
- raccolta delle informazioni e categorizzazione per pertinenza e urgenza
- definizione delle potenziali minacce e degli obiettivi strategici
- tecniche di attacco, definizione dei punti deboli e delle contromisure
- definizione di eventi sentinella e monitoraggio
