Che cos'è l'intelligence sulle minacce?

L'intelligence sulle minacce o intelligence sulle minacce informatiche è una disciplina che prevede la raccolta, l'analisi e la diffusione di informazioni sulle minacce attuali ed emergenti alla sicurezza digitale per singole persone e per organizzazioni. L'intelligence sulle minacce fornisce informazioni dettagliate sull'intero panorama delle minacce alla cybersecurity, inclusi molti tipi di ransomware, malware, attacchi di phishing, minacce persistenti avanzate (APT), attacchi DoS (Denial-of-Service), exploit e vulnerabilità del software, minacce interne, exploit zero-day, attacchi alla supply chain e botnet.

L'intelligence sulle minacce è una parte fondamentale delle iniziative volte a ridurre la superficie degli attacchi e a implementare sistemi di difesa della cybersecurity multilivello; inoltre, aiuta le organizzazioni a comprendere i rischi delle minacce e i team addetti alla sicurezza ad anticipare, identificare e mitigare gli attacchi informatici prima che si verifichino.

L'intelligence sulle minacce si basa su informazioni raccolte da varie fonti.

• L'intelligence open source (OSINT) è costituita da dati pubblicamente disponibili che possono essere utilizzati per identificare le minacce emergenti.
• Nei forum e nei siti sul dark web i criminali acquistano e vendono dati, codice e strumenti per sferrare attacchi informatici, oltre a discutere dei prossimi exploit. Monitorare questi siti può aiutare le organizzazioni a identificare le minacce che potrebbero affrontare in futuro.
• Anche i siti dei social media sul web sono una fonte proficua per monitorare l'attività dei criminali.,
• Gli indicatori di compromissione (IoC) sono elementi come URL dannosi, indirizzi IP e firme di malware che possono informare le soluzioni per la sicurezza su cosa cercare durante il monitoraggio del traffico e dell'attività.
• I rapporti e i registri degli incidenti forniscono informazioni su attacchi precedenti, potenziali vulnerabilità e possibili attività sospette.

Una volta completata la raccolta dei dati non elaborati per l'intelligence sulle minacce, le informazioni vengono analizzate dagli esperti di cybersecurity che sfruttano l'apprendimento automatico e l'automazione per assicurarsi che siano pertinenti e utilizzabili. Questo processo è fondamentale per identificare le effettive minacce e per eliminare i falsi positivi che possono distrarre i team addetti alla sicurezza e aumentare eccessivamente il numero di avvisi. Dopo aver analizzato il contesto delle minacce e la credibilità e l'affidabilità delle informazioni, l'intelligence sulle minacce è pronta per essere distribuita alle organizzazioni e ai team addetti alla sicurezza per consentire di migliorare i processi decisionali e le strategie di cybersecurity.

Gli attacchi informatici possono compromettere le operazioni di un'organizzazione, danneggiarne la reputazione, ostacolarne la produttività, compromettere la proprietà intellettuale critica e determinare la perdita di opportunità commerciali e di milioni di dollari. L'intelligence sulle minacce svolge un ruolo fondamentale nel contrastare le minacce informatiche.

• Approccio proattivo alla sicurezza: l'intelligence sulle minacce aiuta le organizzazioni a mantenere solidi programmi di gestione delle minacce e un approccio proattivo alla sicurezza. L'intelligence sulle minacce aiuta i team a migliorare la sicurezza del DNS, potenziare la protezione dai ransomware, prepararsi per affrontare le vulnerabilità e proteggere gli endpoint delle API. Con l'evolversi delle minacce informatiche, l'intelligence sulle minacce consente ai team addetti alla sicurezza e alle loro organizzazioni di anticipare i vettori di attacco emergenti piuttosto che rispondere semplicemente dopo che gli attacchi sono stati sferrati.
• Maggiore consapevolezza situazionale: gli strumenti basati sull'intelligence sulle minacce offrono ai team addetti alla sicurezza una maggiore comprensione dell'attuale panorama delle minacce informatiche, nonché delle tattiche, tecniche e procedure (TTP) utilizzate dai criminali.
• Migliore risposta agli incidenti: poiché è impossibile eliminare ogni attacco, le organizzazioni devono disporre di un piano di risposta agli incidenti di livello superiore che consenta di identificare rapidamente le minacce, accelerare la risoluzione, ridurre al minimo i danni che possono subire e riportare i dati e i sistemi online il più rapidamente possibile.
• Migliore gestione dei rischi: l'intelligence sulle minacce aiuta i responsabili di un'organizzazione a sviluppare strategie più intelligenti per la gestione dei rischi.
• Migliore conformità alle normative: i programmi basati sull'intelligence sulle minacce possono aiutare le organizzazioni a garantire la conformità ai quadri normativi che impongono determinati livelli di protezione e preparazione per la sicurezza.
• Programmi di sicurezza più intelligenti: i servizi basati sull'intelligence sulle minacce consentono alle organizzazioni di personalizzare le misure di sicurezza in base alle minacce che hanno maggiori probabilità di influire sugli ambienti IT. Una migliore intelligence aiuta a definire le priorità dei controlli di sicurezza, assiste nei piani di risposta agli incidenti e si focalizza sulle attività di ricerca delle minacce.
• Investimenti consapevoli: le parti interessate e i responsabili decisionali, come dirigenti, membri del consiglio di amministrazione, CISO e CIO, si affidano all'intelligence sulle minacce per effettuare investimenti consapevoli nelle soluzioni per la sicurezza.

La distribuzione dell'intelligence sulle minacce avviene tramite vari canali.

• Le piattaforme di intelligence sulle minacce aggregano e distribuiscono informazioni in tempo reale alle parti interessate e ai SOC (Security Operations Center). Una piattaforma di intelligence sulle minacce può gestire il ciclo di vita dell'intelligence e fornire un'unica panoramica su minacce, vulnerabilità e IoC, che sono importanti per l'organizzazione. Le piattaforme di intelligence delle minacce offrono, solitamente, strumenti che consentono di filtrare e assegnare priorità alle informazioni per garantire ai team addetti alla sicurezza di ricavare i dati più rilevanti. Le integrazioni con altri sistemi di sicurezza, come i sistemi di gestione delle informazioni e degli eventi di sicurezza o SIEM (Security Information and Event Management), risposta e rilevamento degli endpoint o EDR (Endpoint Detection and Response) e i firewall, garantiscono a tutti i membri dell'organizzazione di accedere ad informazioni sulle minacce puntuali e complete.
• Gli avvisi e-mail e i bollettini pubblicati dagli esperti di cybersecurity forniscono utili informazioni sulle più recenti informazioni sulle vulnerabilità critiche o sugli attacchi in corso.
• I feed di intelligence automatizzati sulle minacce possono fornire un input diretto agli strumenti e ai sistemi di sicurezza. I dati sulle minacce consentono di aggiornare in tempo reale i metodi di rilevamento e le risposte alle minacce emergenti.
• I portali e i dashboard sul web forniscono le interfacce necessarie per visualizzare le informazioni sulle minacce in tempo reale. I dashboard sono, in genere, personalizzabili per consentire ai team addetti alla sicurezza di concentrarsi sul tipo di intelligence più in linea con le esigenze dell'organizzazione.
• I rapporti e i white paper stilati dagli analisti della sicurezza forniscono informazioni approfondite che aiutano i team addetti alla sicurezza a comprendere le minacce complesse e a sviluppare strategie a lungo termine.

L'intelligence delle minacce rientra in quattro categorie principali:

• L'intelligence tattica sulle minacce si concentra sugli aspetti tecnici che indicono immediatamente una minaccia, ad esempio, le firme malware e gli indirizzi IP dannosi possono aiutare i team addetti alla sicurezza a configurare firewall, strumenti di protezione degli endpoint e altre soluzioni di sicurezza.
• L'intelligence operativa sulle minacce fornisce le informazioni necessarie per predisporre i piani di risposta agli incidenti individuando le specifiche di attacchi informatici e campagne dannose, oltre alle TTP utilizzate dai criminali.
• L'intelligence strategica sulle minacce descrive in dettaglio il panorama delle minacce informatiche, fornendo preziose informazioni per il processo decisionale e la gestione dei rischi a lungo termine.
• L'intelligence tecnica sulle minacce fornisce prove specifiche sugli attacchi in corso, inclusi contenuti di e-mail e campagne di phishing, indirizzi IP dei server C2 (Command and Control) o codice di malware noto che si trova sui supporti all'interno di un ambiente IT.

L'Akamai Security Intelligence Group è un team globale di ricercatori, tecnici, strateghi e analisti di dati di livello mondiale con un'ampia gamma di competenze e ambiti di sicurezza. Le nostre origini dati includono la vasta piattaforma Akamai Cloud, le open source, la collaborazione con terze parti e l'intelligence del dark web. Abbiamo anche sviluppato i nostri algoritmi e strumenti che ci aiutano a svolgere la nostra ricerca e a mantenere aggiornate le soluzioni per la sicurezza di Akamai.