Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LA GUIDA COMPLETA

Cyber Threat Intelligence, cos’è e come aiuta la sicurezza aziendale

La progettazione di soluzioni di sicurezza aziendale, la loro governance, gestione e compliance traggono notevoli benefici da un’attività sempre più strutturata di studio delle possibili minacce cyber. Questa è la cyber threat intelligence. Ecco come procedere

12 Lug 2018
C

Alessio Caforio

Cyber Security/System Engineer, Infosec Manager - NATO Communications and Information Agency, Vitrociset Spa


In analogia alla maggior parte dei processi aziendali ICT, la Cyber Security dipende sempre più dalla quantità e qualità delle informazioni raccolte e processate. Il trend attuale consiste nello spostare il focus da logiche di gestione complesse, a logiche più semplici, ma guidate da migliori informazioni. A questo scopo è fondamentale quella che viene ormai indicata come cyber intelligence.

La progettazione di soluzioni di sicurezza aziendale, la loro governance, gestione e compliance traggono notevoli benefici da un’attività sempre più strutturata di acquisizione e studio di informazioni sulle possibili minacce cyber. Le attività di intelligence devono quindi proseguire per tutto il ciclo di vita dei sistemi informativi aziendali, in quanto driver essenziali per la loro corretta evoluzione.

Cos’è la Cyber Threat Intelligence

Esistono numerose definizioni del termine Intelligence e tutte sono accomunate dall’importanza che hanno le informazioni. Conoscere le intenzioni e i mezzi del nemico è un grande vantaggio e consente di guidare in modo ottimale il processo decisionale:

  • Presidenza del Consiglio dei Ministri: “Il prodotto dell’elaborazione di una o più notizie di interesse per la Sicurezza Nazionale”.
  • NATO: “Il prodotto risultante dalla raccolta e dell’analisi delle informazioni sull’ambiente, le capacità e le intenzioni degli attori, finalizzato all’identificazione delle minacce e a supportare il processo decisionale”
  • FBI: “Rappresenta l’insieme di informazioni utili al processo decisionale. In qualità di membro della Comunità di Intelligence degli Stati Uniti, l’FBI raccoglie, usa e condivide tali informazioni in qualsiasi attività svolga”.

L’Intelligence è inoltre classificabile a seconda degli ambiti in cui avviene la raccolta delle informazioni, ad esempio: SIGINT – le fonti sono i sistemi elettronici, OSINT – le fonti sono pubbliche, HUMINT – le fonti sono persone, ecc.

La Cyber Threat Intelligence rappresenta la capacità di Intelligence sviluppata in ambito Cyber Security. Include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici.

Ma in cosa consiste il valore/vantaggio ottenibile in ambito Cyber Security?

Senz’altro è possibile affermare che si tratta di un fattore abilitante per l’implementazione di efficaci misure di difesa e prevenzione, e che non riguarda esclusivamente ambiti militari. Anzi, notevoli vantaggi sono ottenibili in aziende pubbliche e private che perseguono e proteggono i propri obiettivi di business attraverso le nuove tecnologie dell’informazione.

Security Governance, Risk Management e Compliance

Efficaci processi di governance, management e compliance di sicurezza IT devono basarsi su preziose informazioni di contesto sulle minacce, al fine di guidare, progettare, verificare e monitorare adeguate contromisure.

Le fasi decisionali di tali processi sono incentrate sui risultati dell’analisi del rischio di sicurezza.

  • Analisi del Rischio di Sicurezza L’analisi del rischio di sicurezza consente di determinare il rischio di sicurezza e si basa sull’analisi delle minacce e dei fattori che determinano il loro verificarsi. È un processo continuo ed integrato con i processi di business di un’azienda perché continua è l’evoluzione degli assetti aziendali (informazioni, servizi, personale, ambienti, apparecchiature, canali di comunicazione, ecc.) e delle minacce che insistono su di essi. Le minacce cambiano rapidamente e sono sempre più sofisticate e mirate all’obiettivo. Devono, quindi, essere caratterizzate quanto più precisamente possibile per calcolare valori di rischio più realistici e precisi.
  • Standard, leggi e regolamenti Di seguito si riportano alcuni esempi di standard, leggi e regolamenti in ambito sicurezza IT, la cui applicazione trae beneficio dall’analisi delle minacce Cyber:
  1. GDPR L’art. 35, comma 7 del GDPR definisce e richiede il Data Protection Impact Assessment (DPIA). Il DPIA è un processo finalizzato alla “valutazione dei rischi per i diritti e le libertà degli interessati”. Pertanto, risulta di particolare importanza la determinazione di profili di minaccia: attori, intenti, motivazioni, tecniche, ecc.
  2. Direttiva Europea NIS La direttiva NIS, con la sua recente attuazione nazionale, è destinata “sia agli operatori di servizi essenziali che ai fornitori di servizi digitali in modo da coprire tutti i relativi rischi e incidenti”, e si traduce in uno sforzo comune degli stati membri dell’Unione Europea, al fine di garantire un alto e comune livello di sicurezza dei sistemi informativi e delle reti. Essa definisce la necessità di misure di sicurezza adeguate e di una cooperazione sempre più stretta per lo scambio di informazioni tra cui: caratterizzazione di minacce e incidenti, e pratiche di gestione degli stessi.
  3. ISO/IEC 27001 È ormai lo standard più diffuso per la gestione della sicurezza delle informazioni all’interno di un’azienda pubblica o privata. Richiede l’implementazione di contromisure organizzative e tecniche che devono essere riviste e migliorate ciclicamente considerando gli aspetti dinamici che caratterizzano la vita di un’azienda e le sempre maggiori minacce che insistono sui suoi sistemi informativi. La clausola 6.1.2 richiede espressamente la valutazione del rischio di sicurezza.
  4. Common Criteria – ISO/IEC 15408 Lo standard è diffuso in numerosi schemi di certificazione di prodotti/sistemi IT e offre gli strumenti per specificare, per un determinato contesto operativo, le possibili minacce, le funzioni di sicurezza che le contrastano e le garanzie che queste siano correttamente implementate. Lo standard richiede che si definisca il Problema della Sicurezza descrivendo le minacce in termini di agenti di minaccia, azioni degli agenti beni soggetti a tali azioni.
  5. COBIT È un framework finalizzato alla governance dell’Information Technology per supportare i processi di business aziendali. Nella sua applicazione Cyber Security diventa fondamentale l’analisi del rischio di sicurezza, la definizione e categorizzazione delle fonti di informazione e la raccolta delle stesse: attacchi, brecce, incidenti e statistiche sugli stessi.

Analisi delle minacce

L’Analisi delle Minacce fa parte delle attività di Cyber Threat Intelligence ed è finalizzata a rendere fruibili le informazioni raccolte.

Risultano essenziali figure professionali in grado di seguire complessi processi di analisi e riportare, nei modi più appropriati, a tutti gli stakeholder le informazioni necessarie per effettuare le decisioni.

Aspetti normativi, economici, obiettivi di business devono essere correlati con reali minacce cyber per avere evidenza di come siano salvaguardati e in che misura.

La Threat Intelligence deve essere un vero e proprio processo aziendale ben integrato con tutti gli altri processi IT.

I piani di lavoro sono almeno tre, in analogia a quanto stabilisce la classica dottrina militare:

  1. Strategico
  2. Tattico
  3. Operativo

Nella figura seguente si riportano i principali concetti utili a definire ogni livello.

  • Intelligence a livello strategico Analisi di questo tipo considerano fattori di alto livello che hanno conseguenze negative per il raggiungimento degli obiettivi di business di un’azienda. Attraverso una profonda comprensione dell’azienda del suo business, delle basi su cui esso poggia, si caratterizzano gli Obiettivi Strategici. Essi sono fondamentali per individuare gli interessi avversi, definire le potenziali minacce e tracciare un profilo degli attori che possono agire contro l’azienda: Profilo di Minaccia. Esistono innumerevoli fonti di informazioni pubbliche che aggregano e presentano dati sulle minacce per tipologia di attività/settore dell’azienda (ad esempio i numerosi rapporti annuali di aziende che operano nel settore). Tali fonti si possono integrare con informazioni disponibili da attività di tracciamento e analisi presso l’azienda stessa. Utilizzando tali informazioni è possibile costruire dei Profili di Minaccia. Di seguito si riporta, in sintesi, un esempio concreto, anche se semplificato, per chiarire i concetti finora esposti. Consideriamo le ASL (Azienda Sanitaria Locale), enti della Pubblica Amministrazione che mantengono i dati dei propri pazienti al fine di garantire i servizi sanitari essenziali come la prevenzione, la diagnosi e la cura delle patologie. In tabella si descrive il profilo di un agente di minaccia che può essere interessato ai beni della tipologia di azienda presa in esame.

  • Intelligence a livello tattico Dopo aver definito gli attori di minaccia è possibile analizzare le tecniche di attacco in maggior dettaglio. Motivazioni, intenti, risorse sono analizzati rispetto alla Superficie di Attacco intesa come l’insieme di caratteristiche implementative dei processi di business in termini di: tecnologie, servizi, procedure, politiche ecc. È dunque possibile completare lo scenario di minaccia specificando le Tecniche, gli Strumenti e le Procedure che risultano tipici in base alle informazioni di Intelligence acquisite da fonti pubbliche e da fonti private; e, infine, identificare le contromisure più appropriate.

  • Intelligence a livello operativo L’Intelligence a livello operativo si basa sulla definizione di indicatori di minaccia che riassumano la situazione (situation awareness), fornendo un quadro più realistico possibile della capacità di sicurezza dell’azienda. A tale scopo, si sfruttano i dati acquisiti dalla normale operatività dei sistemi informativi aziendali: dati generati dai componenti che implementano funzioni di tracciamento, quali Sistemi Operativi, dispositivi di rete, RDBMS, Intrusion Detection System, antivirus, firewall, ecc. I moderni sistemi SIEM (Security Information and Event Management) raccolgono tali dati e risultano particolarmente utili a studiare e mantenere uno storico degli incidenti di sicurezza verificatisi in azienda. Si possono così valutare le performance delle capacità di sicurezza in esercizio, al fine di favorire un processo di continuo miglioramento delle stesse. I SIEM consentono di effettuare operazioni di correlazione tra eventi che presi singolarmente non hanno alcun significato, ma che, considerati insieme ad altri, consentono di identificare pattern di attacco più sofisticati e coordinati. L’implementazione di algoritmi di Machine Learning consente di migliorare la precisione dei rilevamenti con l’aumentare della quantità di informazioni acquisite. L’operatore di sicurezza con tali strumenti è in grado di effettuare analisi approfondite per ricostruire la sequenza delle azioni di attacco (ad esempio attraverso il modello Attack Tree), e le fasi di attacco (ad esempio attraverso il modello Kill Chain). Servizi di Incident Management con funzionalità di Digital Forensics consentono di migliorare la capacità di Intelligence, perché prevedono la raccolta e l’analisi dettagliata delle tracce lasciate dagli attaccanti durante gli attacchi o i tentativi di attacco.

Calcolo e gestione del rischio

Risulta chiaro come attraverso lo studio di tecniche, strumenti e procedure utilizzati dagli attaccanti e considerando le Superfici di Attacco è possibile individuare contromisure tecniche ed organizzative efficaci che riducano la possibilità che le minacce identificate si verifichino.

Al fine di determinare se una particolare contromisura è necessaria o meno, occorre calcolare il rischio di sicurezza dovuto alla minaccia. La formula che segue è uno dei possibili strumenti disponibili in letteratura:

[Valore di rischio] = [Valore dei beni da proteggere] * [Danno dovuto alla minaccia] * [Probabilità che la minaccia si verifichi]

Le contromisure sono scelte considerando l’efficacia nel ridurre sia la probabilità che la minaccia si verifichi sia il danno che ne deriva, abbassando così il rischio ad un livello accettato. In base ai criteri di valutazione del rischio adottati, si definisce la strategia ottimale di gestione dello stesso.

La Threat Intelligence, consente di indentificare i punti di attacco, la probabilità che un attacco sia portato a termine e quindi consente di identificare ed implementare le contromisure più adeguate.

Tuttavia, l’efficacia e la maturità delle contromisure deve essere verificata e monitorata attraverso un processo continuo e iterativo di governance della sicurezza (cfr. ISO/IEC 27001) che, se basato sull’analisi di informazioni ottenute dal campo, risulta ottimizzato.

Need-to-share: le aziende devono collaborare

Nel processo finora descritto le Informazioni risultano essere fondamentali, sia che siano acquisite internamente, attraverso le capacità Cyber Security della propria azienda, sia che siano acquisite esternamente, attraverso la cooperazione con CERT (Computer Emergency Response Team) e altre organizzazioni analoghe che studiano le minacce cyber.

Un ulteriore miglioramento della capacità di difesa e prevenzione consiste nella definizione di rapporti di fiducia e collaborazione tra aziende private che operano nello stesso settore al fine di condividere conoscenza su minacce specifiche del contesto strategico.

Articolo 1 di 4