L'APPROFONDIMENTO

Threat intelligence, tra valore dei dati e rumore digitale: istruzioni per l’uso

Un programma di threat intelligence dovrebbe prevedere un’attenta valutazione sia del valore dei dati raccolti, sia dell’inevitabile rumore digitale che si crea durante questo tipo di attività. In questo senso, anche se può sembrare strano, è utile prendere esempio dalle grandi campagne pubblicitarie. Ecco perché

21 Lug 2022
S
Ben Smith

Field CTO, NetWitness

Esattamente come il mondo reale, anche quello virtuale può essere incredibilmente rumoroso, con migliaia di annunci che si contendono la nostra attenzione nell’arco di una sola giornata, tra annunci pubblicitari, online o veicolati da altri canali come la radio, la televisione e la carta stampata.

Naturalmente, se per qualcuno si tratta solo di “rumore pubblicitario”, per altre persone potrebbe invece essere la risposta tanto attesa a una questione importante. Dave Winer, sviluppatore di software e pioniere del blogging, a tal proposito disse la sua già oltre quindici anni fa: “Una pubblicità perfettamente mirata non è pubblicità, ma pura informazione”. Non è più semplicemente un “rumore”, ma si trasforma in un’informazione che il destinatario assorbe.

Ma cosa c’entra tutto ciò con i programmi di threat intelligence? Molto di più di quanto si possa immaginare.

Cyber Threat Intelligence, cos’è e come aiuta la sicurezza aziendale

Gestire il rumore digitale generato dalle tecnologie aziendali

Non c’è azienda oggi che veda di buon occhio l’enorme quantità di rumore generato dalle proprie tecnologie utilizzate per collezionare e dare visibilità, specialmente per le soluzioni che operano nell’ambito della gestione delle informazioni e degli eventi di sicurezza (SIEM).

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

In questo contesto, il “rumore”, che nella maggior parte dei casi si manifesta con falsi positivi, è esacerbato da regole di correlazione inesistenti o costruite in modo errato, o da regole obsolete ancora in uso nell’ambiente di produzione e che avevano senso anni fa ma che oggi non hanno più alcuna efficacia nel rintracciare e combattere gli attaccanti, da un’infrastruttura di monitoraggio messa a punto una sola volta al momento del lancio e mai aggiornata e, per finire, da una scarsa comprensione interna della criticità dei sistemi monitorati.

Più rumore c’è all’interno del tuo ambiente, più sarà difficile per il SOC (Security Operations Center) e per gli esperti di sicurezza lavorare in team per scovare quell’ago nel pagliaio.

In un ambiente rumoroso, l’intero set di dati può apparire esattamente come un pagliaio o, più pericolosamente, come una catasta di aghi, dove ogni singolo dato raccolto rappresenta una minaccia che deve essere analizzata e gestita. Questa non è esattamente la ricetta del successo.

In aggiunta, i feed di threat intelligence, soprattutto quelli forniti da fonti esterne, tendono ad amplificare il problema del rumore. Le aziende (o il partner che gestisce i sistemi per il rilevamento e la risposta alle minacce cyber) investono in questi feed di dati nella speranza di poterli utilizzare per aumentare l’efficacia dei dati interni già raccolti.

Una pratica di successo nell’uso della threat intelligence

Stante la necessità di filtrare i rumori di fondo, per le organizzazioni che hanno capito come procedere e quindi come convertire i dati grezzi in reali informazioni, insight e saggezza di cui il SOC ha bisogno per prendere le giuste decisioni nel minor tempo possibile, quali sono alcune caratteristiche per una pratica di successo nell’utilizzo della threat intelligence?

  1. Deve essere accessibile. Tieni presente come un’analista utilizza i dati. Il tuo team per il monitoraggio e la gestione della sicurezza lavorerà con i dati originali o rielaborati? I dati grezzi devono poter essere integrati e messi a fattor comune con i dati interni, solo in questo modo sarà possibile ridurre i rumori. E mentre esamini come ottimizzare l’utilizzo di questi dati nelle tue procedure, non trascurare quale sarà o dovrebbe essere il risultato atteso alla fine del processo, cioè nel momento in cui un analistà utilizzerà realmente il dato integrato.
  2. Deve adattarsi al vostro specifico ambiente operativo. Nessun ambiente è identico a un altro. Scoprire che arricchire con informazioni aggiuntive i dati già raccolti del proprio ambiente operativo, è l’approccio migliore per dimostrare il valore della threat intelligence interna. Adottare un feed di intelligence di provenienza interna è in genere considerato il percorso più semplice rispetto invece all’utilizzo di feed di provenienza esterna; tuttavia, non è sempre così, a volte può addirittura essere il contrario. La scelta e la rielaborazione dei dati da utilizzare non è una pratica “one-time”: poiché l’ambiente operativo può cambiare, la superficie d’attacco crescere o gli avversari utilizzare nuovi exploit, è richiesto un continuo adeguamento dei dati utilizzati.
  3. Deve essere perseguibile. Se un allarme non richiede un’azione immediata, ha senso che tale avviso esista? Lo stesso vale per la threat intelligence. Ci si è mai soffermati a considerare il reale l’impatto positivo della threat intelligence sulle capacità di rilevamento e risposta alle minacce cyber? Basti pensare a metriche come la percentuale di allarmi generati da indicatori forniti dalla threat intelligence, o al numero di tattiche, tecniche e procedure (TTP) originate da tale intelligence e aggiunte al flusso di lavoro esistente del SOC o il numero di incidenti a cui è stato assegnato un grado di severità proprio grazie alla threat intelligence.

Integrare la threat intelligence nelle procedure aziendali

Combinare efficacemente l’intelligence delle minacce con l’infrastruttura di monitoraggio è il modo migliore per ottimizzare l’investimento fatto nella threat intelligence. L’infrastruttura di base non può prescindere dalla tecnologia chiave di una qualunque soluzione di extended detection e response (XDR) di successo: la Network Detection e Response (NDR).

Le funzionalità di visibilità di una soluzione di NDR sono nettamente superiori rispetto ad altre tipologie di sensori: migliorano il rilevamento delle minacce e la risposta agli incidenti, supportano le attività manuali di threat hunting e possono ampliare la visibilità sia sul traffico uscente (traffico “nord-sud”) sia sul traffico interno data center-to-data center (“est-ovest”).

Una volta consolidata la soluzione di NDR, si può passare ad altri componenti chiave dell’infrastruttura XDR: la gestione degli incidenti e degli eventi di sicurezza (SIEM) basata sui log di sicurezza e il rilevamento e la risposta basata sugli endpoint (EDR), entrambi i componenti richiedono a loro volta un’integrazione con i feed di threat intelligence; si può amplificare la visibilità sui comportamenti potenzialmente sospetti con la soluzione di analisi comportamentale degli utenti e in generale delle entità (UEBA).

E quando si pensa a come integrare l’intelligence delle minacce nelle tue procedure, ricorda che puoi essere supportato dalle tecnologie di successo di Security Orchestration, Automation e Response (SOAR) che hanno come principio cardine anche quello di fornire le funzionalità di una piattaforma di threat intelligence (TIP).

Conclusioni

L’insieme delle tecnologie di monitoraggio e di visibilità esistenti può e deve sfruttare la threat intelligence come elemento moltiplicatore per la propria efficacia a supporto del team di sicurezza, valorizzando ed impreziosendo le informazioni interne già raccolte

Torniamo ancora una volta a Dave Winer con un ultimo pensiero: “Una pubblicità perfettamente mirata non è pubblicità, ma pura informazione. L’informazione è gradita, la pubblicità non sempre accolta. Quale inserzionista pagherebbe per divulgare informazioni che verrebbero scartate? ” E lo stesso vale per chi utilizza i feed di intelligence: chi vorrebbe pagare per delle informazioni sulle minacce se la maggior parte di esse verranno ignorate?”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5