SOLUZIONI DI SICUREZZA

Threat Intelligence: l’approccio strategico alla sicurezza delle informazioni

L’attività di raccolta delle informazioni sulle minacce cyber a cui può essere esposta un’azienda prende il nome di Threat Intelligence e rappresenta, per i security team aziendali, un valido supporto per la gestione delle vulnerabilità, per l’analisi dei rischi e per la pronta risposta agli incidenti. Ecco le fasi organizzative e le metodologie operative

22 Mag 2020
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

M
Davide Maniscalco

Lawyer & Security Expert


Con il termine Threat Intelligence ci si riferisce all’attività di raccolta delle informazioni sulle minacce cyber a cui potrebbe essere esposta un’azienda. Questi dati possono poi essere utilizzati per comprendere le minacce che hanno già compromesso il perimetro aziendale o stanno per farlo.

Threat Intelligence: nuovi scenari

L’evoluzione delle interconnessioni sempre più eterogenee di device favorita dall’avvento delle reti di quinta generazione, che sfrutta la più veloce connettività e la minore latenza della banda larga, ha però determinato le condizioni per un aumento esponenziale della superficie esposta alla pervasiva, asimmetrica e polimorfa minaccia cyber.

In tale scenario, va rilevato che il 5G si pone come una tecnologia abilitante che “decentra” la minaccia verso i dispositivi dell’IoT e, dunque, l’analisi dei rischi andrà maggiormente orientata verso i dispositivi, hardware e software degli end points.

Ciò è maggiormente importante nel caso di valutazione dei rischi dell’Industrial IoT, soprattutto per la mitigazione dei rischi delle aziende che costituiscono presidi strategici del nostro Paese.

I modelli di Governance dell’information security, specie quelli adottati da aziende strutturate con un buon livello di maturità, implementano, on a regular basis, lo scenario di rischio, valutando opportunamente le minacce e mettendo in campo le misure di mitigazione del rischio e degli impatti idonee ad assicurare una resilienza operativa di sistemi e processi.

Del resto, le minacce cyber provengono oggi da molteplici attori, talvolta malevoli, e in altri casi semplicemente inconsapevoli delle vulnerabilità “exploitabili” dei loro sistemi.

Per queste ragioni, lo sviluppo di una strategia globale di information security richiede l’implementazione di tecniche e tecnologie in modo proattivo al fine di contenere il rischio per fronteggiare le minacce con tempestività.

In tale cornice, diventa essenziale anche spostare in avanti l’orizzonte temporale dell’assessment, attraverso una valutazione ex ante delle principali minacce note.

A questo proposito, la Threat Intelligence (TI), aiuta i CISO (Chief Information Security Officers) ed i loro security team aziendali, nonché i SOC Providers (Security Operation Centers):

  • nella gestione delle vulnerabilità;
  • nell’analisi dei rischi e delle minacce;
  • nella prevenzione delle frodi e sicurezza;
  • nella pronta risposta agli incidenti;
  • nel fornire elementi concreti e sostenibili per mettere il Top Management in condizione di adottare decisioni efficaci e più rapide.

Threat Intelligence e approccio di security intelligence

La Threat Intelligence si caratterizza per un innovativo approccio di “security intelligence” che include la ricerca di informazioni da più fonti (open and closed o OSINT e CLOSINT), nonché la loro analisi ed elaborazione funzionale all’implementazione del modello GRC (Governance/Risk/Clompliance) e del processo standardizzato PDCA (Plan-Do-Check-Act) del framework di Information security.

La Threat Intelligence nella sua applicazione cost-effective costituisce un valido supporto per l’organizzazione della security dei sistemi informativi, perché consente di implementarne i relativi modelli e processi attraverso una bilanciata integrazione del capitale umano esistente con nuove ed efficaci tecnologie digitali che si prestano ad analisi anche predittive della minaccia cibernetica.

D’altro canto, le tecnologie digitali sono oggi alla base di quasi tutti i settori e, ove integrate con la Threat Intelligence, consentono ad un’organizzazione di acquisire un importante livello di knowledge e consapevolezza utili a prevenire e mitigare gli attacchi ai sistemi digitali, fornendo preziose informazioni di contesto e scenari su modalità di attacco, motivazioni e capacità degli attaccanti, ed indicatori di compromesso (IOC) nei sistemi da sottoporre a Risk assessment.

Il livello di maggiore consapevolezza su rischi e vulnerabilità, favorito dalle informazioni qualitative rivenienti dalla Threat Intelligence, siccome efficientate in chiave predittiva dall’uso delle tecnologie digitali, si integra con le soluzioni di sicurezza già in campo, facilitandone il processo di “prioritizzazione” attraverso meccanismi che filtrano automaticamente, classificandoli, gli avvisi e le altre minacce.

Tutto ciò è reso anche possibile attraverso le informazioni qualitative sugli attori delle minacce, i loro intenzioni e obiettivi, nonché le loro tattiche, tecniche, e procedure (TTP).

L’intelligence analizza i dati e le informazioni e restituisce al livello decisionale un output che rappresenta il prodotto di un ciclo di identificazione di domande ed obiettivi, raccolta di dati rilevanti, elaborazione e analisi dei dati raccolti con pedissequa individuazione di una serie di azioni di mitigation.

Le diverse fasi della Threat Intelligence

Esistono due diversi tipi di Threat Intelligence che dipendono prevalentemente dalle tipologie di fonti consultate, dall’interlocutore di riferimento e dai formati in cui vengono generati gli output.

L’Operational Threat Intelligence, meglio nota come Technical Intelligence, rappresenta l’acquisizione di fonti di vario tipo che forniscono un livello di approfondita conoscenza dei cyber attacchi in corso nonché di eventi e campagne malware.

Questo tipo di attività fornisce ai security teams approfondimenti specializzati che li aiutano a comprendere la natura, l’intenzione e la tempistica di attacchi specifici, attraverso la disamina, anche su sistemi o piattaforme di information sharing (ISAC o CSIRT) di condivisi ed omologhi attacchi on going.

L’ Operational Threat Intelligence è in genere proveniente da sistemi automatizzati e include informazioni tecniche sugli attacchi, sui vettori di attacco, sulle vulnerabilità sfruttate e sulle tecniche impiegate dagli attaccanti.

Questo tipo di intelligence è spesso molto utile per il personale direttamente coinvolto nella difesa di un’organizzazione, come system engineers, amministratori e personale di sicurezza.

Tuttavia, questo tipo di intelligence non può prescindere dalla Threat Intelligence strategica, vale a dire dall’elemento umano, perché nella valutazione delle informazioni che restituiscono i sistemi è essenziale la fase di elaborazione delle tecniche, tattiche e procedure, al fine di testare e valutare un potenziale attaccante, contestualizzando le minacce e fornendo informazioni dettagliate su rischi associati a determinate azioni, ampi schemi di minaccia, tattiche e obiettivi dell’attore, eventi o tendenze geopolitiche e via dicendo.

A ciò si aggiungano, l’analisi strategica di documenti politici di stati nazionali o di organizzazioni non governative, le news divulgate dai media locali e nazionali, articoli in pubblicazioni specifiche di settore ed i contributi di esperti in materia.

WHITEPAPER
Una piattaforma, infinite comunicazioni. Come facilitare la collaborazione
Marketing
Unified Communication & Collaboration

La fase strategica si connota ulteriormente per l’approfondimento di white papers e reports di ricerca delle principali ed accreditate società o associazioni di sicurezza informatica.

Le due diverse fasi operational e strategica della Threat Intelligence, vengono opportunamente integrate con sistemi di Intelligenza artificiale (AI), in genere attraverso l’approccio attuativo del machine learning, nonché delle reti neurali del deep learning, non soltanto per l’automatizzazione dell’attività di patching ma anche (e soprattutto) per costruire un framework di sicurezza informatica basato sull’apprendimento automatico “maturo” delle strategie di attacco messe in atto dai criminali informatici, da un lato, e, dall’altro, per la creazione di nuovi patterns che la Threat Intelligence può utilizzare con più efficaci finalità di predictive analysis.

Threat Intelligence e intelligenza artificiale

In tale prospettiva, le capacità cognitive e la potenza di calcolo ed elaborazione dei sistemi di Artificial Intelligence (AI) favoriranno la Threat Intelligence nella valutazione dei dati e delle informazioni, nonché nella individuazione di schemi precisi di azione, che proprio su quei dati si configurano, rilasciando al livello decisionale output concepiti come veri e propri manuali tattici per l’analisi delle sequenze di attacco e l’acquisizione di tutte le informazioni afferenti, nonché per la creazione di modelli sottostanti e protocolli di risposta proattiva ad un attacco concreto o potenziale.

Il lifecycle della Threat Intelligence, integrato con il sistema di AI prescelto evolverà i livelli di apprendimento automatico attraverso un’attività di continuo tracciamento e documentazione delle principali minacce ed attacchi per implementarne proattivamente e tempestivamente il rilevamento e favorire una pronta e resiliente risposta.

Come in ogni framework di processo, la buona riuscita del programma di Threat Intelligence dipende dal livello di commitment del senior management e dall’individuazione di chiari obiettivi business oriented.

In via graduale, il lifecycle della Threat Intelligence implica preliminarmente piena comprensione:

  • delle risorse informative e processi aziendali che devono essere protetti;
  • dei potenziali impatti della perdita di tali assets o dell’interruzione di quei processi (primari);
  • dei tipi di Threat Intelligence che l’organizzazione richiede per proteggere le risorse e rispondere alle minacce;
  • delle priorità sugli assets da proteggere.

La fase di information gathering è fondamentale per la chiara e precisa individuazione dei deliverables.

Seguiranno le fasi operational e strategica attraverso la disamina di dati ed informazioni rivenienti:

  • dall’estrazione di metadati e log dalle reti interne e dispositivi di sicurezza;
  • dall’iscrizione a feed di dati sulle minacce da parte di organizzazioni del settore e vendors di cyber security;
  • dalle interviste mirate con fonti informate;
  • dalla scansione di notizie e blog open source;
  • dallo scraping e raccolta di siti web e forum;
  • dall’accesso mediante infiltrazione a fonti chiuse.

I dati raccolti costituiranno, in definitiva, una combinazione di rapporti di intelligence della sicurezza informatica, esperti e fornitori e dati grezzi. A ciò si aggiungono informazioni rivenienti da fonti interne, come i registri di firewall e router, strumenti di acquisizione di pacchetti di rete e scansioni di vulnerabilità, e fonti tecniche, come database di vulnerabilità e dati sulle minacce e, in ultimo, fonti umane, anche tradizionali e sociali media, forum e blog sulla sicurezza informatica e forum web chiusi.

L’elaborazione dei dati rappresenta la trasformazione delle informazioni raccolte in un formato utilizzabile dall’organizzazione. Ed infatti, quasi tutti i dati non elaborati che vengono raccolti devono essere in genere elaborati e strutturati per fornire un output qualitativo, possibilmente correlabile ed interoperabile con un Security Incident Event Management (SIEM).

L’analisi è dunque un processo umano che trasforma le informazioni elaborate nell’intelligence e che deve informare il livello decisionale per porlo nelle condizioni di valutare se indagare una potenziale minaccia, piuttosto che nell’individuare quali azioni intraprendere ovvero per immediatamente bloccare un attacco o semplicemente rafforzare i controlli di sicurezza, attraverso una previsione o revisione del budget per l’information security.

La fase della release implica infine il raggiungimento dell’output di Threat Intelligence per ogni funzione di security con la quale viene creato un canale di comunicazione per la ricezione periodica dei feedback al fine di assicurare un continuo scambio informativo tra funzioni preordinato al monitoring dei progressi ed all’implementazione dei modelli.

La metodologia di Threat Intelligence

La Threat Intelligence, come detto in apertura, rappresenta la capacità di Intelligence sviluppata in ambito cyber security. Include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico in relazione a contesti operativi specifici.

L’attività di Threat Intelligence ha lo scopo e l’obiettivo di individuare le eventuali informazioni pubbliche disponibili a livello OSINT e CLOSINT relative ad un determinato target.

Con il termine OSINT, acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche “fonti aperte”. Fare OSINT significa descrivere l’informazione disponibile e aperta al pubblico, attraverso un processo di ricerca, selezione, vaglio e reporting verso uno specifico destinatario al fine di soddisfare una necessità informativa.

La fase più importante del processo di OSINT è quella di “vagliare” le fonti rilevanti ed affidabili partendo da diverse tipologie di fonti di pubblico dominio.

L’OSINT quindi si distingue dalla banale ricerca d’informazioni perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito/contesto.

Con il termine CLOSINT si fa, invece, riferimento alla Close Source Intelligence, cioè al processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse”, non accessibili al pubblico o aree “riservate”.

Ma qual è lo spettro operativo di un processo di Threat Intelligence?

Questa attività viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente con OSINT/CLOSINT a livello di:

  1. Target;
  2. Asset Digitali;
  3. IP;
  4. e-mail e informazioni relative ai dipendenti di una azienda.

La Threat Intelligence ha l’obiettivo, pertanto, di fornire una “actionable intelligence”, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva al fine di determinare l’eventuale esposizione ai rischi della cyber security.

Il perimetro della Threat Intelligence è relativo a:

  • Advanced Intelligence: Include eCrime Intelligence e Domain Monitoring;
  • Network Intelligence – Infected Host;
  • Network Intelligence – Vulnerable Host;
  • eCrime/Dark Web Intelligence: Aggregated Forum Communications and Threat Actor Library;
  • Malware Intelligence: Active Malware Sandbox and Library of Binaries;
  • Risk Intelligence:
  1. Compromised Credit Card Feed;
  2. Anti-Money Laundering Feed;
  3. Account Take-over Defense;
  4. ….;
  • Compromised Credential;
  • Honeypot Intelligence;
  • Financial Fraud Intelligence.

Tutto il processo ha lo scopo ultimo di monitorare e analizzare i soggetti di interesse (SOI) in diverse fonti, tra cui:

  • Dark Web communities e marketplaces (TOR-based);
  • Underground communities e marketplaces (Internet-based);
  • Social media networks, come ad esempio Facebook, Twitter, Linkedin ecc.;
  • Messaggistica istantanea, come ad esempio Viber, Telegram, QQ, WeChat ecc.;
  • Internet Relay Chat (IRC);
  • Integrated Intelligence Repositories (IOCs, TTPs, Security Incidents).

Una volta completata la fase di information Gathering si passa alla vera e propria analisi, in base alla tipologia di informazioni ricevute e recuperate a partire dai data breach (diretti e/o di terze parti) rilevati e e-mail compromesse.

A seconda dei casi è possibile fornire:

  • password utilizzata;
  • hash della password;
  • record privo di password, ma del quale vi è traccia nel Deep e nel Dark Web.

Le statistiche ci insegnano che una percentuale variante tra il 60% e l’80% degli utenti, utilizza la stessa password – o varianti facilmente indovinabili della stessa – sul sistema aziendale (autenticazione Active Directory, casella e-mail, accesso VPN, accesso Web Remoto, Intranet ecc.).

Il rischio è che un agente esterno acquisisca le credenziali compromesse e tenti di accedere in maniera non autorizzata agli asset digitali dell’azienda.

Un secondo scenario è invece relativo ai social network, ovverosia alle credenziali compromesse attinenti ad accessi di dipendenti e collaboratori dell’azienda verso social network quali Linkedin. In questo contesto, agenti di minaccia esterni possono accedere ai social network interessati come un dipendente o collaboratore dell’azienda, per poi spacciarsi proprio per quella data persona, ed inviare malware ad altri colleghi, dipendenti o collaboratori dell’azienda target.

Lo scopo è quello di perpetrare attacchi mirati verso gli asset digitali e le comunicazioni – e-mail e/o social network – dell’azienda.

Network Hygiene

Con” Network Hygiene” si intende la presenza di attività malevole o sospette all’interno del perimetro digitale del Cliente. In funzione del tipo di evidenza riscontrata, la keyword è associabile, ad esempio, alla “IP Reputation”, vale a dire alla reputazione di determinati indirizzi IP, noti a livello mondiale ed alle diverse comunità di cyber security ed aziende di anti virus, per aver svolto attività

illegali, o per facilitare indirettamente dette attività (a causa di errori di configurazione e/o implementazione), con tutte le conseguenze legali (civili e penali) del caso.

In funzione delle diverse lacune di Network Hygiene, le conseguenze possono essere molteplici:

  • abuso di form web per richiesta informazioni, con conseguente utilizzo fraudolento dei sistemi del Cliente per l’invio massivo di “e-mail spam”;
  • utilizzo dei sistemi mal configurati per redirect di DNS ed intercettazione di tutto il traffico dati;
  • abuso dei sistemi mal configurati per “attacchi ponte” (launchpad), con conseguenti responsabilità di tipo civile e, soprattutto, penale;
  • altre conseguenze.

Dark Web

Analisi delle istanze sul c.d. Dark Web, threat actors (cyber criminali, tipicamente) su forum del cyber crime hanno parlato del Cliente (inteso come brand, domini, indirizzi IP, brand o nomi di Executives) per diffondere dati riservati o personali, per discutere di truffe e frodi da perpetrare verso il Cliente eccetera.

La gravità e l’impatto vanno valutati in funzione di cosa è emerso dall’analisi e presa dei dati sul Dark Web.

Botnet Activity

Una botnet è una rete di computer infettati da virus, malware, spyware, key loggers etc. Il “bot hardener” (il gestore della botnet) può utilizzare la sua rete botnet per lanciare attacchi (ad esempio DDoS), o istruirla per rubare le credenziali (e-banking, Intranet aziendale, Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale, ecc.)

Miscellaneuos Risks

In questa categoria di digital risk rientrano diverse sottocategorie: IP Reputation (vedi sotto), Passive DNS eccetera. Gli impatti variano in funzione del tipo di informazione che è presente all’esterno del perimetro aziendale del Cliente.

IP Reputation

La “reputazione” di un indirizzo IP pubblico è assimilabile alla sua “storia in rete”, ovverosia lo storico delle azioni malevole che sono state effettuate, o sono transitate, o hanno avuto come destinazione finale, detto indirizzo IP. Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale eccetera.

Passive DNS

È un tipo di attacco di medio-alto livello, tramite il quale si effettuano cambi di configurazione ai DNS del Cliente. Intercettazione del traffico internet e/o redirect dello stesso.

Brand Names

Indica la presenza di istanze relative ai brand del Cliente sul Dark Web. Può essere indicatore di frodi in corso o già commesse.

Executives

Indica la presenza di istanze relative ai nomi degli Executives comunicati dal Cliente sul Dark Web o in altre basi di dati. In funzione del tipo di istanza, può rappresentare differenti tipologie di impatto.

Conclusione

La Threat Intelligence è, di fatto, parte integrante del cyber security Framework. Copre la componente di sicurezza predittiva ma allo stesso tempo è una delle componenti essenziali di sicurezza proattiva.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

“Se non si conoscono i piani dei signori vicini, non si possono stringere alleanze; se non si conosce la conformazione di monti e foreste, paesaggi pericolosi e acquitrini, non si possono muovere eserciti… Si rifletta con cura prima di muoversi; vince chi per primo conosce le strategie dirette e indirette”, Sun Tzu.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5