L'APPROFONDIMENTO

Threat intelligence, tra valore dei dati e rumore digitale: istruzioni per l’uso

Un programma di threat intelligence dovrebbe prevedere un’attenta valutazione sia del valore dei dati raccolti, sia dell’inevitabile rumore digitale che si crea durante questo tipo di attività. In questo senso, anche se può sembrare strano, è utile prendere esempio dalle grandi campagne pubblicitarie. Ecco perché

Pubblicato il 21 Lug 2022

Ben Smith

Field CTO, NetWitness

Threat intelligence e valore dei dati

Esattamente come il mondo reale, anche quello virtuale può essere incredibilmente rumoroso, con migliaia di annunci che si contendono la nostra attenzione nell’arco di una sola giornata, tra annunci pubblicitari, online o veicolati da altri canali come la radio, la televisione e la carta stampata.

Naturalmente, se per qualcuno si tratta solo di “rumore pubblicitario”, per altre persone potrebbe invece essere la risposta tanto attesa a una questione importante. Dave Winer, sviluppatore di software e pioniere del blogging, a tal proposito disse la sua già oltre quindici anni fa: “Una pubblicità perfettamente mirata non è pubblicità, ma pura informazione”. Non è più semplicemente un “rumore”, ma si trasforma in un’informazione che il destinatario assorbe.

Ma cosa c’entra tutto ciò con i programmi di threat intelligence? Molto di più di quanto si possa immaginare.

Cyber Threat Intelligence, cos’è e come aiuta la sicurezza aziendale

Gestire il rumore digitale generato dalle tecnologie aziendali

Non c’è azienda oggi che veda di buon occhio l’enorme quantità di rumore generato dalle proprie tecnologie utilizzate per collezionare e dare visibilità, specialmente per le soluzioni che operano nell’ambito della gestione delle informazioni e degli eventi di sicurezza (SIEM).

In questo contesto, il “rumore”, che nella maggior parte dei casi si manifesta con falsi positivi, è esacerbato da regole di correlazione inesistenti o costruite in modo errato, o da regole obsolete ancora in uso nell’ambiente di produzione e che avevano senso anni fa ma che oggi non hanno più alcuna efficacia nel rintracciare e combattere gli attaccanti, da un’infrastruttura di monitoraggio messa a punto una sola volta al momento del lancio e mai aggiornata e, per finire, da una scarsa comprensione interna della criticità dei sistemi monitorati.

Più rumore c’è all’interno del tuo ambiente, più sarà difficile per il SOC (Security Operations Center) e per gli esperti di sicurezza lavorare in team per scovare quell’ago nel pagliaio.

In un ambiente rumoroso, l’intero set di dati può apparire esattamente come un pagliaio o, più pericolosamente, come una catasta di aghi, dove ogni singolo dato raccolto rappresenta una minaccia che deve essere analizzata e gestita. Questa non è esattamente la ricetta del successo.

In aggiunta, i feed di threat intelligence, soprattutto quelli forniti da fonti esterne, tendono ad amplificare il problema del rumore. Le aziende (o il partner che gestisce i sistemi per il rilevamento e la risposta alle minacce cyber) investono in questi feed di dati nella speranza di poterli utilizzare per aumentare l’efficacia dei dati interni già raccolti.

Una pratica di successo nell’uso della threat intelligence

Stante la necessità di filtrare i rumori di fondo, per le organizzazioni che hanno capito come procedere e quindi come convertire i dati grezzi in reali informazioni, insight e saggezza di cui il SOC ha bisogno per prendere le giuste decisioni nel minor tempo possibile, quali sono alcune caratteristiche per una pratica di successo nell’utilizzo della threat intelligence?

  1. Deve essere accessibile. Tieni presente come un’analista utilizza i dati. Il tuo team per il monitoraggio e la gestione della sicurezza lavorerà con i dati originali o rielaborati? I dati grezzi devono poter essere integrati e messi a fattor comune con i dati interni, solo in questo modo sarà possibile ridurre i rumori. E mentre esamini come ottimizzare l’utilizzo di questi dati nelle tue procedure, non trascurare quale sarà o dovrebbe essere il risultato atteso alla fine del processo, cioè nel momento in cui un analistà utilizzerà realmente il dato integrato.
  2. Deve adattarsi al vostro specifico ambiente operativo. Nessun ambiente è identico a un altro. Scoprire che arricchire con informazioni aggiuntive i dati già raccolti del proprio ambiente operativo, è l’approccio migliore per dimostrare il valore della threat intelligence interna. Adottare un feed di intelligence di provenienza interna è in genere considerato il percorso più semplice rispetto invece all’utilizzo di feed di provenienza esterna; tuttavia, non è sempre così, a volte può addirittura essere il contrario. La scelta e la rielaborazione dei dati da utilizzare non è una pratica “one-time”: poiché l’ambiente operativo può cambiare, la superficie d’attacco crescere o gli avversari utilizzare nuovi exploit, è richiesto un continuo adeguamento dei dati utilizzati.
  3. Deve essere perseguibile. Se un allarme non richiede un’azione immediata, ha senso che tale avviso esista? Lo stesso vale per la threat intelligence. Ci si è mai soffermati a considerare il reale l’impatto positivo della threat intelligence sulle capacità di rilevamento e risposta alle minacce cyber? Basti pensare a metriche come la percentuale di allarmi generati da indicatori forniti dalla threat intelligence, o al numero di tattiche, tecniche e procedure (TTP) originate da tale intelligence e aggiunte al flusso di lavoro esistente del SOC o il numero di incidenti a cui è stato assegnato un grado di severità proprio grazie alla threat intelligence.

Integrare la threat intelligence nelle procedure aziendali

Combinare efficacemente l’intelligence delle minacce con l’infrastruttura di monitoraggio è il modo migliore per ottimizzare l’investimento fatto nella threat intelligence. L’infrastruttura di base non può prescindere dalla tecnologia chiave di una qualunque soluzione di extended detection e response (XDR) di successo: la Network Detection e Response (NDR).

Le funzionalità di visibilità di una soluzione di NDR sono nettamente superiori rispetto ad altre tipologie di sensori: migliorano il rilevamento delle minacce e la risposta agli incidenti, supportano le attività manuali di threat hunting e possono ampliare la visibilità sia sul traffico uscente (traffico “nord-sud”) sia sul traffico interno data center-to-data center (“est-ovest”).

Una volta consolidata la soluzione di NDR, si può passare ad altri componenti chiave dell’infrastruttura XDR: la gestione degli incidenti e degli eventi di sicurezza (SIEM) basata sui log di sicurezza e il rilevamento e la risposta basata sugli endpoint (EDR), entrambi i componenti richiedono a loro volta un’integrazione con i feed di threat intelligence; si può amplificare la visibilità sui comportamenti potenzialmente sospetti con la soluzione di analisi comportamentale degli utenti e in generale delle entità (UEBA).

E quando si pensa a come integrare l’intelligence delle minacce nelle tue procedure, ricorda che puoi essere supportato dalle tecnologie di successo di Security Orchestration, Automation e Response (SOAR) che hanno come principio cardine anche quello di fornire le funzionalità di una piattaforma di threat intelligence (TIP).

Conclusioni

L’insieme delle tecnologie di monitoraggio e di visibilità esistenti può e deve sfruttare la threat intelligence come elemento moltiplicatore per la propria efficacia a supporto del team di sicurezza, valorizzando ed impreziosendo le informazioni interne già raccolte

Torniamo ancora una volta a Dave Winer con un ultimo pensiero: “Una pubblicità perfettamente mirata non è pubblicità, ma pura informazione. L’informazione è gradita, la pubblicità non sempre accolta. Quale inserzionista pagherebbe per divulgare informazioni che verrebbero scartate? ” E lo stesso vale per chi utilizza i feed di intelligence: chi vorrebbe pagare per delle informazioni sulle minacce se la maggior parte di esse verranno ignorate?”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • SOLUZIONI DI SICUREZZA

    SIEM: un catalizzatore per normalizzare, ordinare e correlare le informazioni di security

    07 Giu 2023

    di Alessandro Di Liberto

    Condividi

  • SICUREZZA INFORMATICA

    Portare la vera cyber resilience in azienda: sfide e soluzioni

    21 Giu 2023

    di Domenico Aliperto

    Condividi

  • BEST PRACTICE

    Sicurezza informatica: i vantaggi di un approccio incentrato sugli avversari

    30 Giu 2023

    di Spencer Parker

    Condividi

  • SOLUZIONI DI SICUREZZA

    Threat Intelligence su misura e azionabile

    25 Lug 2023

    di Arianna Leonardi

    Condividi

Prossimo

SIEM: un catalizzatore per normalizzare, ordinare e correlare le informazioni di security

Articolo 1 di 5