Cos’è la Cyber Threat Intelligence. Scopriamo una disciplina fondamentale nella Cybersecurity

La Cyber Threat Intelligence (CTI) è una pratica che consiste nel raccogliere, analizzare e utilizzare informazioni relative alle minacce informatiche per proteggere le organizzazioni dalle attività malevoli. La CTI è diventata oggi un elemento chiave della sicurezza informatica, aiutando le organizzazioni a identificare e mitigare le minacce prima che causino dei danni concreti.

In questo articolo, esploreremo la Cyber Threat Intelligence in dettaglio, spiegando come funziona, quali sono i suoi principali vantaggi e come le organizzazioni possono implementare questa pratica per migliorare la loro sicurezza informatica.

Cos’è la Cyber Threat Intelligence

La Cyber Threat Intelligence consiste nell’analizzare i dati relativi alle minacce informatiche per identificare le intenzioni e le capacità degli aggressori. Questa pratica è essenziale per comprendere il rischio e adottare misure preventive contro attacchi informatici.

La CTI si basa su una vasta gamma di fonti di informazione, tra cui:

• Feed su avvisi inerenti la sicurezza informatica;
• Report di vulnerabilità e patch rilasciate dai fornitori di software;
• Analisi dei log di sicurezza;
• Analisi di siti web malevoli;
• Intelligenza collettiva, come gruppi di sicurezza informatica e forum online.

L’obiettivo principale della CTI è quello di aiutare le organizzazioni a comprendere le minacce informatiche che li circondano e a prepararsi per affrontare tali minacce.

Una buona Cyber Threat Intelligence dovrebbe fornire informazioni dettagliate sui tipi di minacce che possono interessare un’organizzazione, nonché sulle vulnerabilità del sistema che possono essere sfruttate dagli aggressori.

Oltre ai feed che abbiamo visto, esiste anche un altro tipo di feed proveniente direttamente dalle attività dei criminali informatici e vengono definiti “dark feed”.

Cosa sono i “dark feed”

Con il termine “dark feed” ci si riferisce a diversi contesti, ma in relazione alla cyber threat intelligence si riferisce generalmente ad una fonte di informazioni su attività criminali prelevate da Internet che non sono accessibili al pubblico in generale.

I dark feed sono quindi fonti di informazioni su minacce informatiche che provengono direttamente dall’ecosistema del cybercrime e non sono facilmente accessibili. Queste fonti possono includere forum e comunità online frequentati dl cybercrime, log delle botnet, gruppi di chat crittografati, dark web e fonti simili.

Le informazioni raccolte dai dark feed possono essere utilizzate per generare intelligence sulle minacce informatiche in corso, migliorare la comprensione delle tattiche e delle tecniche degli attaccanti e aiutare a sviluppare strategie di difesa più efficaci.

Tuttavia, poiché i dark feed possono essere fonti non ufficiali, è importante prendere in considerazione la qualità e l’affidabilità delle informazioni raccolte e verificare le fonti per ridurre il rischio di falsi positivi o informazioni errate. Va da se che più ci si avvicina alle attività dei criminali informatici, come nel caso dei dark feed, maggiore risulta essere il vantaggio strategico.

Come funziona un processo di Cyber Threat Intelligence

La Cyber Threat Intelligence funziona attraverso una serie di passaggi fondamentali:

1. Raccolta dei dati: le organizzazioni raccolgono dati da una vasta gamma di fonti, tra cui notizie, report di vulnerabilità, analisi dei log di sicurezza e intelligenza collettiva.
2. Analisi dei dati: una volta che i dati sono stati raccolti, vengono analizzati per identificare le minacce informatiche, le loro intenzioni e le loro capacità.
3. Creazione di profili delle minacce: in base all’analisi dei dati, vengono creati profili dettagliati delle minacce informatiche che possono interessare l’organizzazione.
4. Distribuzione delle informazioni: i profili delle minacce vengono distribuiti alle parti interessate all’interno dell’organizzazione, tra cui i team di sicurezza informatica, gli sviluppatori di software e i responsabili della gestione del rischio.
5. Prevenzione e mitigazione: le informazioni sui profili delle minacce informatiche vengono utilizzate per adottare misure preventive e mitigare le minacce.

Quali sono i vantaggi della Cyber Threat Intelligence

La Cyber Threat Intelligence, come abbiamo detto, aiuta le organizzazioni a comprendere meglio le minacce informatiche che circondano i loro sistemi e a proteggersi contro di esse. Questa pratica consente alle organizzazioni di identificare le aree del loro sistema che potrebbero essere vulnerabili alle minacce informatiche e di adottare misure preventive per proteggere i propri dati e le proprie informazioni.

Inoltre, la Cyber Threat Intelligence consente alle organizzazioni di prevedere le tendenze delle minacce informatiche future, il che significa che possono essere preparate per affrontare eventuali nuove minacce.

Un altro vantaggio della Cyber Threat Intelligence è che consente alle organizzazioni di collaborare tra loro per affrontare le minacce informatiche. Infatti, la condivisione di informazioni sulle minacce informatiche tra diverse organizzazioni può essere utile per tutte le parti coinvolte, poiché consente loro di imparare dalle esperienze degli altri e di identificare le tendenze delle minacce informatiche più ampie.

La CTI può essere utilizzata in vari contesti, inclusi quelli governativi, militari e commerciali. Le organizzazioni governative, ad esempio, possono utilizzare la CTI per identificare le minacce informatiche contro la sicurezza nazionale, mentre le organizzazioni commerciali possono utilizzarla per proteggere i propri sistemi e dati.

Tuttavia, l’implementazione della Cyber Threat Intelligence non è un compito facile e richiede competenze specialistiche e risorse significative. Le organizzazioni che intendono implementare la CTI devono essere pronte ad investire risorse e personale qualificato per creare e mantenere programmi di CTI efficaci.

Esempi pratici sull’utilizzo delle informazioni provenienti dalla CTI

DI seguito vogliamo riportare degli esempi pratici che possano far comprendere ai nostri lettori come la CTI possa dare supporto alle attività di intelligence delle aziende.

1. Identificazione delle vulnerabilità del sistema: utilizzando la CTI, le organizzazioni possono identificare delle vulnerabilità del proprio sistema preventivamente e adottare misure per mitigare i rischi. Ad esempio, possono installare patch di sicurezza o aggiornare il software per prevenire l’exploit delle vulnerabilità note.
2. Monitoraggio dell’attività dei malintenzionati: la CTI consente alle organizzazioni di monitorare l’attività dei malintenzionati sul proprio sistema. Le organizzazioni possono utilizzare queste informazioni per prevenire eventuali attacchi informatici e per mitigare i danni in caso di attacco.
3. Previsione delle tendenze delle minacce informatiche future: la CTI può essere utilizzata per prevedere le tendenze delle minacce informatiche future e per adottare misure preventive in anticipo. Ad esempio, le organizzazioni possono adottare misure preventive per proteggersi dalle nuove tecniche di attacco o dalle nuove minacce informatiche prima che diventino una vera e propria minaccia.
4. Condivisione di informazioni sulle minacce informatiche: le organizzazioni possono utilizzare la CTI per condividere informazioni sulle minacce informatiche con altre organizzazioni simili. Questa condivisione di informazioni può aiutare tutte le organizzazioni coinvolte a comprendere meglio le minacce informatiche e a identificare le tendenze delle minacce informatiche più ampie.
5. Protezione dei dati sensibili: utilizzando la CTI, le organizzazioni possono proteggere i propri dati sensibili da eventuali attacchi informatici. Ad esempio, possono adottare misure preventive per proteggere le informazioni di identificazione personale dei propri dipendenti o dei propri clienti.

La CTI quindi può offrire moltissimi benefici alle organizzazioni, tra cui la protezione dei propri sistemi e dati, la prevenzione degli attacchi informatici e la collaborazione tra le organizzazioni per affrontare le minacce informatiche.

Sistemi e tool a supporto della CTI

Gli analisti che lavorano in ambito della Cyber Threat Intelligence, possono beneficiare dell’utilizzo di una serie di strumenti o tool che consentono di automatizzare una serie di azioni ripetitive e manuali, in modo da concentrarsi nell’analisi dei dati.

La tipologia dei tool messi a disposizione per il mondo CTI sono:

1. Tool di raccolta dati: questi tool sono utilizzati per raccogliere dati relativi alle minacce informatiche da una vasta gamma di fonti, tra cui feed RSS, notiziari di sicurezza informatica, report di vulnerabilità e analisi dei log di sicurezza. Questi tool possono automatizzare il processo di raccolta dati e aiutare le organizzazioni a raccogliere informazioni in modo più rapido ed efficiente.
2. Tool di analisi dei dati: questi tool sono utilizzati per analizzare i dati raccolti dalle fonti di informazione. Possono essere utilizzati per identificare le tendenze delle minacce informatiche, le intenzioni degli aggressori e le vulnerabilità del sistema. Questi tool utilizzano spesso l’intelligenza artificiale e il machine learning per analizzare grandi quantità di dati in modo più efficace.
3. Tool di visualizzazione dei dati: questi tool sono utilizzati per visualizzare i dati raccolti e analizzati in modo più intuitivo e comprensibile. Possono utilizzare grafici, mappe e diagrammi per rappresentare le informazioni in modo più visivo e facile da capire.
4. Tool di condivisione delle informazioni: questi tool sono utilizzati per condividere informazioni sulle minacce informatiche tra diverse organizzazioni. Possono essere utilizzati per creare una comunità di sicurezza informatica, dove le organizzazioni possono condividere informazioni sulle minacce informatiche e collaborare per affrontare le minacce stesse.
5. Tool di gestione del rischio: questi tool sono utilizzati per gestire il rischio delle minacce informatiche e adottare misure preventive. Possono essere utilizzati per valutare la probabilità di un attacco informatico e per identificare le azioni che possono essere intraprese per mitigare i rischi.

Inoltre, ci sono anche tool di CTI gratuiti e open source che possono essere utilizzati dalle organizzazioni. Alcuni esempi di tool open source per la CTI includono MISP (Malware Information Sharing Platform), OpenCTI e ThreatPinch, ma anche Shodan.io, zoomeye.io ed altri ancora.

Pertanto vi auguriamo un fattivo studio del mondo della CTI, in quanto oggi è una tra le materie in ambito cybersecurity più utili e necessarie nel panorama delle minacce.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore