LA GUIDA PRATICA

Cyber Threat Intelligence, cos’è e come funziona il monitoraggio real-time delle minacce

Nel mondo della sicurezza informatica, la Cyber Threat Intelligence riveste ormai un ruolo di primo piano. Ecco perché è fondamentale monitorare Internet e il Dark Web per poter contrastare in maniera efficace l’attività dei pirati informatici

01 Set 2020
S
Marco Schiaffino

Giornalista


Strumenti di rilevamento dei malware, firewall e analisi attraverso l’intelligenza artificiale non bastano: per garantire la sicurezza delle aziende è necessaria un’intensiva attività di Cyber Threat Intelligence che consenta di prevenire gli attacchi da parte dei criminali informatici.

Ma perché si tratta di un settore così importante e come si declina l’attività di intelligence degli esperti di sicurezza?

Cyber Threat Intelligence: un mondo in continua evoluzione

Quella tra esperti di cyber security e pirati informatici è una partita a scacchi che si gioca giorno per giorno, in cui la comparsa di nuovi malware e minacce segue un ritmo frenetico.

Le statistiche delle società di sicurezza variano, ma la stima più recente indica il rilevamento di 230.000 nuovi esemplari di malware al giorno. Un vero bombardamento di codice malevolo, che non può essere contrastato semplicemente con un approccio “reattivo”.

La Cyber Threat Intelligence rappresenta lo strumento che consente di adottare strumenti di difesa specifici per i possibili attacchi e individuare eventuali nuovi punti deboli all’interno della rete aziendale. Il tutto attraverso un’attività che ricorda molto da vicino quella che, nel mondo “reale, viene definita controspionaggio.

Come qualsiasi comunità, anche quella dei cyber criminali ha su Internet i suoi riferimenti, luoghi di incontro e canali di comunicazione. Il monitoraggio di questo sottobosco diffuso sul Web, composto da forum specializzati, canali di chat e market più o meno clandestini, offre agli esperti di cyber security un vantaggio strategico che consente di migliorare l’efficacia degli strumenti di protezione.

Quando la partita si gioca sulle vulnerabilità

Le dinamiche della cyber security sono estremamente complesse e variegate, ma seguono delle logiche che gli esperti conoscono bene. In particolare, uno degli elementi più utili per le attività di Cyber Threat Intelligence è considerare che i cyber criminali agiscono prevalentemente in maniera opportunistica, sfruttando le tecniche e gli strumenti di hacking più efficaci in un determinato momento.

Sotto questo profilo, nel mondo della cyber security si verifica una sorta di cortocircuito: spesso è infatti la stessa attività dei ricercatori, impegnati a scovare e correggere le vulnerabilità di dispositivi, sistemi operativi e software, a fornire lo spunto che consente ai pirati informatici di portare i loro attacchi.

È piuttosto raro, infatti, che gli hacker siano in grado di sviluppare in autonomia malware che sfruttano falle di sicurezza sconosciute. Più spesso (quasi sempre) utilizzano vulnerabilità conosciute, che sono state individuate dalle stesse società di sicurezza o da ricercatori specializzati nel bug bounty in chiave preventiva. Come dire: il massimo risultato con il minimo sforzo.

Il fattore tempo

Lo schema, di solito, è sintetizzabile in tre passaggi. Il primo è rappresentato dall’individuazione della vulnerabilità e la comunicazione (in via riservata) dei dettagli tecnici allo sviluppatore del software o produttore del dispositivo.

Le informazioni specifiche sulla vulnerabilità, in questa fase, non sono accessibili a nessun altro soggetto, ma vengono rilasciate pubblicamente solo in seguito, quando è disponibile l’aggiornamento che consente di correggere la vulnerabilità stessa.

È questo il momento critico, in cui i pirati informatici possono sfruttare le informazioni per sviluppare gli exploit che sfruttano la vulnerabilità e creare in questo modo nuovi malware o nuove versioni di quelli esistenti.

La scommessa dei cyber criminali, in pratica, è quella di riuscire a colpire le loro vittime prima che abbiano aggiornato i sistemi.

È una dinamica che gli esperti di sicurezza conoscono bene e che si ripete invariabilmente da anni. Il ruolo dei team di Cyber Threat Intelligence, in questa ottica, è quella di monitorare tutto ciò che accade e individuare tempestivamente le nuove tendenze del cyber crimine.

In questo modo gli esperti sono in grado di predisporre le misure di protezione più adeguate a far fronte ai possibili nuovi attacchi.

Quando la minaccia diventa reale

La semplice pubblicazione dei dettagli di una vulnerabilità, nella maggior parte dei casi, non comporta automaticamente che i pirati siano in grado di sfruttarla per i loro scopi nell’immediato.

Lo sviluppo di un exploit, infatti, richiede un certo tempo e l’impiego di risorse per testarlo. In altre parole, la scoperta di una nuova vulnerabilità non rappresenta necessariamente un pericolo imminente, ma una sorta di “campanello di allarme” che deve portare ad alzare il livello di attenzione.

Ciò che fa scattare l’emergenza è invece la pubblicazione di un Proof of Concept (PoC), cioè del codice che è in grado di sfruttare la falla di sicurezza per compromettere il dispositivo o il software on questione.

Nel momento in cui il PoC comincia a circolare nei bassifondi del Web, i pirati informatici hanno gioco facile a utilizzarlo per allestire i loro attacchi.

Ancora una volta, il tempestivo rilevamento della presenza di un PoC sui market clandestini o nei forum dedicati all’hacking può rappresentare un grande fattore di vantaggio per prevenire un attacco.

Cyber Threat Intelligence: infiltrati nel Dark Web

Per raccogliere questo tipo di informazioni è indispensabile conoscere gli ambienti in cui si muovono i pirati informatici.

L’obiettivo principale, sotto questo profilo, è il Dark Web: quella parte di Internet che non può essere raggiunta con i normali browser e che richiede, per accedervi, l’utilizzo di strumenti particolari come Tor e credenziali di accesso che vengono concesse solo a chi viene ritenuto “affidabile”.

Da questo punto di vista, il lavoro di chi si occupa di Cyber Threat Intelligence è simile a quello di un agente segreto che lavora sotto copertura e che deve infiltrarsi negli ambienti in cui vengono scambiati e distribuiti i nuovi malware, gli strumenti di hacking e tutti quei “servizi” che consentono ai pirati informatici di portare avanti la loro attività.

Senza contare la crescita esponenziale del fenomeno del “malware as a service”, una formula per cui i pirati “noleggiano” i loro strumenti ad altri cyber criminali. Insomma: il Dark Web è una vera miniera per chi si occupa di Cyber Threat Intelligence, ma bisogna essere capaci di muoversi nelle sue pieghe. L’accesso ai market e ai forum, infatti, è spesso subordinato a una “presentazione” da parte di uno dei frequentatori abituali e riuscire ad accedervi è tutt’altro che facile.

Cyber Threat Intelligence: prevenire le mosse dei pirati

Il monitoraggio dei bassifondi di Internet, però, non è utile solo per individuare nuove minacce e tecniche di attacco.

Spesso, l’attività di Cyber Threat Intelligence consente anche di intercettare gli attacchi quando sono ancora nella loro fase preparatoria.

I cyber criminali specializzati negli attacchi alle aziende, infatti, sono soliti pianificare attentamente i loro attacchi, raccogliendo informazioni utili per individuare gli eventuali punti deboli nei sistemi di difesa dei loro bersagli.

Non solo: dal momento che le tecniche più usate per attaccare le imprese fanno leva di solito sulla compromissione dei dispositivi di un dipendente, una delle attività più comuni è la raccolta di dati e credenziali rubate che facciano riferimento a potenziali vittime che gli garantiscano un accesso, diretto o indiretto, alla rete dell’azienda che vogliono colpire.

Gli esperti di intelligence sono in grado di monitorare anche questo tipo di attività. Basta poco: un post su un forum o un messaggio in una chat su un canale “sospetto” possono rappresentare u prezioso indizio che consente di prevedere la possibilità di un attacco all’azienda.

Tutelare la brand reputation con l’intelligence

Gli effetti dannosi per l’attività di un’azienda non derivano solo da attacchi diretti ai sistemi IT. Spesso l’attività dei criminali informatici può essere deleteria anche quando è rivolta ai clienti finali, gli utenti o i partner dell’azienda stessa.

Anche in questo caso, gli ambienti frequentati dai cyber crimine consentono di ottenere informazioni e indizi su eventuali attività intraprese ai danni di soggetti collegati alle aziende.

La Cyber Threat Intelligence, di conseguenza, può consentire di avviare campagne di informazione per mettere in guardia gli utenti rispetto alle minacce informatiche che li potrebbero interessare o bloccare le attività illegali che mettono a repentaglio, anche se indirettamente, la reputazione dell’azienda.

Insomma: un’attività a 360 gradi che, nel panorama attuale, rappresenta un tassello fondamentale della cyber security e può davvero fare la differenza nel contrasto delle minacce informatiche.

New call-to-action

@RIPRODUZIONE RISERVATA

Articolo 1 di 5