Le piattaforme di threat intelligencee sono state utilizzate per anni da gruppi ristretti di ricercatori e società di consulenza. Oggi le cose sono cambiate: queste soluzioni da qualche tempo sono disponibili in commercio.
Come selezionare il servizio più adatto alle proprie esigenze aziendali? Gli esperti aiutano a capire, spiegando quali sono le quattro caratteristiche fondamentali da considerare per ottimizzare le attività di monitoraggio e prevenzione delle minacce.
1) Predisporre un’intelligence per le minacce avanzate
Gli operatori della sicurezza IT oggi possono scegliere tra diversi threat data feed, sia open source che commerciali. Purtroppo, molti degli indicatori che questi feed forniscono o sono banali, oppure danno evidenza di minacce che possono essere un serio pericolo per certe imprese, ma completamente innocue per altre.
Il flusso massiccio di questi indicatori può generare avvisi che distraggono l’attenzione dai veri attacchi mirati contro la struttura IT aziendale. Occorre cercare un servizio di threat intelligence che non fornisca solo indicatori sulle minaccia stesse, ma anche sul contesto e sull’analisi dei malware; tale servizio dovrebbe includere un ampio background sugli attori del cybercrime e sui metodi di attacco legati a indicatori specifici, tag che aiutino i responsabili della sicurezza a identificare gli indicatori e le minacce rilevanti per la loro impresa. Un esempio? I tag potrebbero essere utilizzati per contrassegnare il fatto che un file viene in genere utilizzato per colpire aziende di un determinato settore, sistemi specifici o Paesi in cui si parla questa o quella lingua. È necessario porsi delle domande precise in merito alla fonte di questi servizi di intelligence, per esempio: le informazioni sono prodotte da un gruppo di ricerca? Il servizio utilizza un’analisi dinamica all’avanguardia (sandboxing) come strumento per documentare il comportamento dei file dannosi?
2) Personalizzare e assegnare una priorità
La maggior parte dei team di sicurezza hanno le risorse per indagare solo una piccola frazione delle segnalazioni che ricevono dal SIEM e altri sistemi di monitoraggio: questo rende assolutamente necessario dare priorità in modo efficace agli avvisi. Un buon servizio di threat intelligence dovrebbe essere in grado di fornire avvisi basati sulle specifiche necessità del singolo business e della sua infrastruttura tecnologica, oltre a permettere di creare tag e avvisi personalizzati e a includere un cruscotto d’informazioni sui file malware e sugli indicatori di minaccia che appaiono più di frequente sulla rete.
Non solo: il servizio dovrebbe anche fornire visibilità su malware e indicatori visti più frequentemente da altre aziende dello stesso settore, poiché se si è bersagli simili si dovranno fronteggiare con ogni probabilità pericoli simili.
3) Identificare gli attacchi reali più velocemente per mitigarne gli effetti
Molti indicatori di minaccia sono innocui se sono eventi isolati, ma pericolosi se fanno parte di un attacco mirato più complesso. Ecco perché il servizio di threat intelligence dovrebbe includere un portale che permetta di iniziare con un indicatore di partenza per poi creare Pivot da analizzare per trovare altri indicatori collegati e valutare la portata di un attacco. Ad esempio, rilevato un file contenente un malware, il portale di intelligence dovrebbe fornire ai responsabili della sicurezza gli strumenti per la ricerca di altre istanze di quel file che stanno colpendo la rete aziendale, di istanze di malware simili ma non identici e di altri pericoli associati quella stessa campagna di cybercrime. Il portale dovrebbe fornire informazioni sulle azioni che il file tenta fare quando è in esecuzione (come ad esempio la connessione a un server remoto o la creazione di alcune voci di registro su un sistema) in modo da poter cercare quegli eventi in rete.
Se si rileva una sessione di collegamento tra la rete aziendale con un server su Internet, si dovrebbe essere in grado di determinare se il server è associato con spammer, criminali informatici, hacktivisti o altri attori del cybercrime.
4) Creare nuove protezioni e prevenire gli attacchi futuri
La maggior parte delle persone pensa ai servizi di threat intelligence in termini di prioritizzazione e analisi delle minacce, ma la capacità di creare nuove protezioni e prevenire attacchi futuri può portare a benefici ancora maggiori. Quando si scoprono nuove minacce, si dovrebbe essere in grado di creare tag personalizzati da condividere con le altre aziende.
Sarebbe anche molto utile se il servizio permettesse di esportare le firme e le informazioni verso punti di applicazione come firewall, sistemi di monitoraggio e SIEM. Quando questa capacità è automatizzata, le difese possono essere aggiornate non appena un attacco viene scoperto: ciò ridurrà al minimo il tempo a disposizione dell’hacker per trovare e sottrarre dati riservati.
