Condivisione della Threat Intelligence
L'arma segreta della sicurezza informatica
Chi condivide la Threat Intelligence?
Esistono molti modi per sfruttare al meglio la Threat Intelligence, sia che si tratti di una piattaforma completa di Threat Intelligence, di inserimento di feed delle minacce o semplicemente di fare buon uso delle funzionalità della Threat Intelligence disponibili nei comuni strumenti di sicurezza informatica. Una delle modalità meno comuni per trarre vantaggio dalla Threat Intelligence consiste nel condividere queste informazioni con altri gruppi, contribuendo a ridurre i tempi di risposta agli eventi e ad attuare misure preventive.
Le iniziative incentrate sul settore e promosse dalla pubblica amministrazione hanno portato a un aumento significativo della condivisione della Threat Intelligence tra governi, organizzazioni private e settori. Alcune di queste includono:
Quali sono i tipi di condivisione della Threat Intelligence?
Esistono due tipi di condivisione, distinte in base a chi condivide le informazioni.
Condivisione unidirezionale della Threat Intelligence: un'entità produce e condivide la Threat Intelligence che altri consumano ma questi non contribuiscono a loro volta. Esempi di condivisione unidirezionale di Threat Intelligence includono:
- Intelligence open source, che potrebbe comportare l'inserimento di un feed di Threat Intelligence open source o il download di un report disponibile pubblicamente relativo a un recente attacco contenente indicatori e metodi utilizzati.
- Report e feed proprietari
Condivisione bidirezionale della Threat Intelligence: l'intelligence viene inviata per essere consumata, ed è resa accessibile alle altre organizzazioni membro. Sebbene la condivisione sia consentita e incoraggiata in questi programmi, non vi è garanzia che ogni organizzazione condividerà qualcosa.
Dubbi sulla condivisione della Threat Intelligence
Sebbene la Threat Intelligence sia senza dubbio importante, presenta alcuni problemi che ne impediscono l'adozione da parte delle organizzazioni:
- Problemi di privacy e affidabilità: possono essere superati tramite una percezione più accurata della condivisione dell'Intelligence, clausole protettive negli accordi legali, legislazione governativa e verifica di ciò che viene condiviso.
- La pulitura di dati per informazioni private o informazioni aziendali sensibili prima della condivisione è una buona pratica a prescindere dal tipo di condivisione utilizzato.
- Il Cybersecurity Information Sharing Act of 2015 (CISA) contiene le norme per rispondere ai problemi di privacy e affidabilità. Alcune di queste protezioni sono subordinate a determinate clausole che devono essere rispettate. Come sempre, è consigliabile rivolgersi a un legale per comprendere in che modo il CISA può essere applicato a situazioni specifiche.
- "Contribuire è inutile": nessuna organizzazione vede tutti gli attacchi. La condivisione di dettagli apparentemente insignificanti può favorire la visibilità e aiutare a produrre analisi di intelligence più complete.
- Mancanza di competenze: anche se non sei un professionista qualificato, aggiungendo qualsiasi contesto, i dettagli degli attacchi osservati e, se possibile, l'analisi sviluppata da coloro che lavorano con il personale è utile per la community.
- Paura di rivelare che un'organizzazione è stata violata: la paura di condividere i dettagli delle violazioni in modo più ampio che con le sole entità assolutamente necessarie è comune, ma può essere risolta seguendo le best practice durante la condivisione.
Passaggi per avviare la condivisione della Threat Intelligence
Che la tua organizzazione stia già condividendo attivamente informazioni o non abbia ancora iniziato a farlo, ecco alcuni suggerimenti su come iniziare o su come migliorare la condivisione già in atto:
- Strumenti e community: scegli gli strumenti e le community appropriati per condividere la Threat Intelligence. Le possibili opzioni sono:
- E-mail, il punto di partenza più semplice
- Strumenti quali Anomali STAXX, una soluzione gratuita offerta da Anomali che supporta la condivisione degli indicatori tramite STIX e TAXII
- Gli ISAC e altre organizzazioni del settore, che normalmente dispongono di meccanismi per la condivisione
- Condivisione ad hoc con entità locali o partner in altri settori
- Gli utenti di Anomali ThreatStream dispongono già di una soluzione molto robusta per condividere indicatori e altre informazioni con altre organizzazioni o creare community di condivisione personalizzate
- Condividi e contribuisci: la condivisione dei comportamenti degli avversari osservati, del contesto aggiuntivo, degli attacchi visti o dei dettagli della risposta agli incidenti è un ottimo punto di partenza. Non preoccuparti se ciò che viene inizialmente condiviso non è ricco di analisi.
- Condividi all'esterno del tuo settore: cerca opportunità di condivisione con organizzazioni esterne al tuo mercato verticale, incluse entità localizzate come i Fusion Center. Come sempre, lavorare a stretto contatto con team legali/avvocati per stipulare accordi appropriati al fine di facilitare la condivisione tra le entità è un requisito fondamentale.
- Condividi le tecniche di caccia e difesa: più condividiamo, più diventa difficile per i malintenzionati. Valuta la possibilità di condividere:
- Dettagli sulla ricerca delle minacce quali ricerche, voci di registro specifiche, ecc.
- Tecniche o regole di difesa di successo, come le regole YARA, le firme di snort, le regole Bro e gli script
- Condividi i dettagli delle violazioni: la rapida trasmissione dei dettagli delle violazioni può fare la differenza per qualcun altro che viene violato e la possibilità di arrestarli rapidamente. Inoltre, potrebbe fornire una notevole assistenza in termini di intelligenza aggiuntiva e risposte più rapide alle sfide legate alla risposta agli incidenti, grazie alle risorse aggiuntive di altre organizzazioni.
Condivisione è sinonimo di premura.
Vuoi saperne di più sulla condivisione della Threat Intelligence?
Scarica il white paper per saperne di più sulla condivisione al di fuori dei verticali di settore, sulla condivisione di informazioni mirate, ecc
