Cos’è la Cyber Threat Intelligence?
Nel paradigma della sicurezza informatica, la Cyber Threat Intelligence riveste ormai un ruolo di primo piano.
Strumenti di rilevamento in chiave reattiva dei malware, firewall e analisi attraverso l’intelligenza artificiale non bastano: per garantire la sicurezza delle aziende è necessaria un’intensiva attività di Cyber Threat Intelligence che consenta di prevenire gli attacchi da parte dei criminali informatici.
In buona sostanza, la Cyber Threat Intelligence si occupa della raccolta e dell’analisi di informazioni al fine di identificare e caratterizzare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici.
Cyber Threat Intelligence: un mondo in continua evoluzione
Quella tra esperti di cybersecurity e pirati informatici è una partita a scacchi che si gioca giorno per giorno, in cui la comparsa di nuovi malware e minacce segue un ritmo frenetico.
La Cyber Threat Intelligence (CTI) rappresenta lo strumento che consente di adottare strumenti di difesa specifici per i possibili attacchi e individuare eventuali nuove vulnerabilità all’interno della rete aziendale.
Il tutto attraverso un’attività che ricorda molto da vicino quella che, nel mondo “reale”, viene definita controspionaggio. Come qualsiasi comunità, anche quella dei cyber criminali ha su Internet i suoi riferimenti, luoghi di incontro e canali di comunicazione.
Il monitoraggio di questo sottobosco diffuso sul Web, composto da forum specializzati, canali di chat e marketplace più o meno clandestini, offre agli esperti di cybersecurity un vantaggio strategico che consente di migliorare l’efficacia degli strumenti di protezione.
Quando la partita si gioca sulle vulnerabilità
Le dinamiche della cybersecurity sono estremamente complesse e variegate, ma seguono delle logiche che gli esperti conoscono bene.
In particolare, uno degli elementi più utili per le attività di Cyber Threat Intelligence è considerare che i cyber criminali agiscono prevalentemente in maniera opportunistica, sfruttando le tecniche e gli strumenti di hacking più efficaci in un determinato momento.
Sotto questo profilo, nel mondo della cybersecurity si verifica una sorta di cortocircuito: spesso è infatti la stessa attività dei ricercatori, impegnati a scovare e correggere le vulnerabilità di dispositivi, sistemi operativi e software, a fornire lo spunto che consente ai pirati informatici di sferrare i loro attacchi.
È piuttosto raro, infatti, che gli hacker siano in grado di sviluppare in autonomia malware che sfruttano falle di sicurezza sconosciute. Più spesso (quasi sempre) utilizzano vulnerabilità conosciute, che sono state individuate dalle stesse società di sicurezza o da ricercatori specializzati nel bug bounty in chiave preventiva.
Lo schema della CTI
Lo schema, di solito, è sintetizzabile in tre passaggi. Il primo è rappresentato dall’individuazione della vulnerabilità e la comunicazione (in via riservata) dei dettagli tecnici allo sviluppatore del software o produttore del dispositivo.
Le informazioni specifiche sulla vulnerabilità, in questa fase, non sono accessibili a nessun altro soggetto, ma vengono rilasciate pubblicamente solo in seguito, quando è disponibile l’aggiornamento che consente di correggere la vulnerabilità stessa.
È questo il momento critico, in cui i pirati informatici possono adoperare le informazioni per sviluppare gli exploit che sfruttano la vulnerabilità creando in questo modo nuovi malware o nuove versioni di quelli esistenti.
La scommessa dei cyber criminali, in pratica, è quella di riuscire a colpire le loro vittime prima che abbiano aggiornato i sistemi. È una dinamica che gli esperti di sicurezza conoscono bene e che si ripete invariabilmente da anni.
Il ruolo dei team di Cyber Threat Intelligence, in questa ottica, è quella di monitorare tutto ciò che accade e individuare tempestivamente le nuove tendenze del cyber crimine. In questo modo gli esperti sono in grado di predisporre le misure di protezione più adeguate a far fronte ai possibili nuovi attacchi.
Quando la minaccia diventa reale
La semplice pubblicazione dei dettagli di una vulnerabilità, nella maggior parte dei casi, non comporta automaticamente che i pirati siano in grado di sfruttarla per i loro scopi nell’immediato.
Lo sviluppo di un exploit, infatti, richiede un certo tempo e l’impiego di risorse per testarlo. In altre parole, la scoperta di una nuova vulnerabilità non rappresenta necessariamente un pericolo imminente, ma una sorta di “campanello di allarme” che deve portare ad alzare il livello di attenzione.
Ciò che fa scattare l’emergenza è, invece, la pubblicazione di un Proof of Concept (PoC), cioè del codice che è in grado di sfruttare la falla di sicurezza per compromettere il dispositivo o il software in questione. Nel momento in cui il PoC comincia a circolare nel Web, i pirati informatici hanno gioco facile a utilizzarlo per allestire i loro attacchi.
Ancora una volta, il tempestivo rilevamento della presenza di un PoC sui market clandestini o nei forum dedicati all’hacking può rappresentare un grande fattore di vantaggio per prevenire un attacco.
Cyber Threat Intelligence e Dark Web
Per raccogliere questo tipo di informazioni è indispensabile conoscere gli ambienti in cui si muovono i pirati informatici.
L’obiettivo principale, sotto questo profilo, è il Dark Web: quella parte di Internet che non può essere raggiunta con i normali browser e che richiede, per accedervi, l’utilizzo di strumenti particolari come Tor e credenziali di accesso che vengono concesse solo a chi viene ritenuto “affidabile”.
Da questo punto di vista, il lavoro di chi si occupa di Cyber Threat Intelligence è simile a quello di un agente segreto che lavora sotto copertura e che deve infiltrarsi negli ambienti in cui vengono scambiati e distribuiti i nuovi malware, gli strumenti di hacking e tutti quei “servizi” che consentono ai pirati informatici di portare avanti la loro attività.
Senza contare la crescita esponenziale del fenomeno del “malware as a service”, una formula per cui i pirati “noleggiano” i loro strumenti ad altri cyber criminali.
Tutelare la brand reputation con la CTI
Gli effetti dannosi per l’attività di un’azienda non derivano solo da attacchi diretti ai sistemi IT. Spesso l’attività dei criminali informatici può essere deleteria anche quando è rivolta ai clienti finali, gli utenti o i partner dell’azienda stessa.
Anche in questo caso, gli ambienti frequentati dal cyber crimine consentono di ottenere informazioni e indizi su eventuali attività intraprese ai danni di soggetti collegati alle aziende.
La Cyber Threat Intelligence, di conseguenza, può consentire di avviare campagne di informazione per mettere in guardia gli utenti rispetto alle minacce informatiche che li potrebbero interessare o bloccare le attività illegali che mettono a repentaglio, anche se indirettamente, la reputazione dell’azienda.
Insomma, un’attività a 360 gradi che, nel panorama attuale, rappresenta un tassello fondamentale della cybersecurity e può realmente fare la differenza nel contrasto delle minacce informatiche.