Che cos'è una piattaforma di Threat Intelligence (TIP)?
Acquisizione, gestione e condivisione della Threat intelligence
Obiettivo della piattaforma di Threat Intelligence
L'odierno panorama della sicurezza informatica è caratterizzato da alcuni problemi comuni: enormi volumi di dati, mancanza di analisti e attacchi informatici sempre più complessi. Le moderne infrastrutture di sicurezza offrono numerosi strumenti per gestire queste informazioni, ma l'integrazione tra esse lascia molto a desiderare. Ciò si traduce in un eccessivo carico di lavoro di gestione dei sistemi da parte dei tecnici e in un inevitabile spreco di tempo e risorse, già di per sé limitati.
Per contrastare questi problemi, molte aziende stanno scegliendo di adottare una piattaforma di Threat Intelligence (TIP). Queste piattaforme possono essere implementate come SaaS (via cloud) o soluzioni in loco per semplificare la gestione della Cyber Threat Intelligence e delle entità associate, come attori, campagne, incidenti, firme, bollettini e TTP. Tali piattaforme vengono definite in base alla capacità di eseguire quattro funzioni principali:
- Aggregazione di intelligence da diverse fonti
- Cura, normalizzazione, arricchimento e classificazione dei rischi dei dati
- Integrazione con i sistemi di sicurezza esistenti
- Analisi e condivisione della Threat Intelligence
PERCENTUALE DI ORGANIZZAZIONI SECONDO CUI LA THREAT INTELLIGENCE È ESSENZIALE PER UN APPROCCIO ALLA SICUREZZA EFFICACE
PERCENTUALE DI ORGANIZZAZIONI CHE AFFERMA DI ESSERE SOMMERSA DA DATI SULLE MINACCE INFORMATICHE
Definizione di TIP
Threat (minaccia)
Possibilità di qualsiasi terza parte di accedere a una rete di informazioni e di interferire con le relative operazioni pianificate. Le moderne minacce comuni includono:
Intelligence
Conoscenza di una minaccia acquisita dagli analisti o identificata da eventi all'interno del sistema. Intelligence è un termine generico, ma una TIP offre agli analisti tipi di intelligence specifici e automatizzabili, tra cui:
- Conoscenza tecnica degli attacchi, compresi gli indicatori
- Finished Intelligence: il prodotto della ricerca delle informazioni disponibili da parte di esseri umani ed elaborazione di conclusioni in merito a consapevolezza situazionale, previsione delle possibili conseguenze di attacchi futuri o valutazione delle capacità degli avversari
- Human Intelligence: qualsiasi informazione raccolta dalle persone, ad esempio leggendo i forum per cercare attività sospette
Piattaforma
Un prodotto completo integrabile con strumenti e prodotti esistenti e dotato di un sistema di gestione della Threat Intelligence che automatizza e semplifica gran parte dell'attività tradizionalmente svolta dagli analisti.
Chi utilizza una TIP?
La piattaforma di Threat Intelligence viene utilizzata da varie tipologie di utenti di un'organizzazione.
Team SOC (Security Operation Center)
Questi team si occupano delle attività operative giornaliere e di fornire una risposta tempestiva alle minacce. Una TIP consente di automatizzare le attività di routine come integrazione, arricchimento e classificazione.
Team di Threat Intelligence
Questi team fanno previsioni basate su associazioni e informazioni contestuali tra attori, campagne, eccetera. Una TIP offre a questi team una "libreria" di informazioni che semplifica e snellisce questo processo.
Team di gestione e team esecutivo
Una TIP offre ai team di gestione un'unica piattaforma per la visualizzazione di report sia dettagliati che di sintesi, consentendo loro di condividere e analizzare i dati in modo efficace quando si verificano gli incidenti.
Aggregazione dei dati
Una piattaforma di Threat Intelligence raccoglie e riconcilia automaticamente i dati di varie fonti e in diversi formati. L'acquisizione di informazioni provenienti da diverse fonti è un elemento critico per un'infrastruttura di sicurezza efficace. Le fonti e i formati supportati comprendono:
Fonti:
- Open source
- Terze parti a pagamento
- Governative
- Community di condivisione attendibili (ISAC)
- Interne
Formati:
- STIX/TAXII
- JSON e XML
- .csv, .txt, PDF, documento Word
Normalizzazione e arricchimento dei dati
La raccolta di dati con un'ampia gamma di feed genera milioni di indicatori da catalogare ogni giorno, rendendo essenziale la presenza di un sistema di elaborazione dei dati efficiente. L'elaborazione comporta l'esecuzione di diversi passaggi ma prevede tre operazioni principali: normalizzazione, deduplicazione e arricchimento dei dati.
Queste operazioni comportano costi piuttosto elevati in termini di attività computazionale, tempo degli analisti e denaro. Una piattaforma di Threat Intelligence automatizza questi processi, consentendo agli analisti di dedicarsi all'esame dei dati raccolti anziché alla loro gestione.
- Normalizzazione: consolidamento dei dati di varie fonti e in formati diversi
- Deduplicazione: eliminazione dei dati duplicati
- Arricchimento: eliminazione di falsi positivi, classificazione degli indicatori e aggiunta di contesto
Integrazioni
I dati che sono stati normalizzati, verificati e arricchiti devono essere trasmessi ai sistemi, che li utilizzeranno per l'imposizione e il monitoraggio automatici. L'obiettivo è quello di fornire a queste tecnologie una sorta di "lista di interdizione informatica", analoga alla no-fly list degli aeroporti. In base alle conoscenze acquisite, alcuni IP, domini, eccetera non saranno accessibili o consentiti all'interno della rete.
Una piattaforma di Threat Intelligence opera con i fornitori di sistemi SIEM e di gestione dei log recuperando gli indicatori da trasferire alle soluzioni di sicurezza dell'infrastruttura di rete del cliente. Di conseguenza, il compito di stabilire e gestire queste integrazioni non spetta più agli analisti, ma ai fornitori di sistemi SIEM e TIP.
Possibili integrazioni con i sistemi di sicurezza includono:
- SIEM
- Endpoint
- Firewall
- IP
- API
Analisi e risposta
La piattaforma di Threat Intelligence dispone di funzionalità di analisi e mitigazione delle potenziali minacce. Nello specifico, queste funzionalità aiutano gli analisti nell'esecuzione delle seguenti attività:
- Esplorazione delle minacce
- Creazione di processi di ricerca
- Analisi di un contesto più ampio e delle implicazioni delle minacce
- Condivisione delle informazioni
La TIP raccoglie tutti i dati, gli arricchimenti e le altre informazioni contestuali disponibili e li mostra in modo da offrire un valore aggiunto, ad esempio in dashboard, regole, avvisi e note.
La piattaforma di Threat Intelligence, inoltre, semplifica l'attività degli analisti automatizzando i processi di ricerca e raccolta, riducendo notevolmente i tempi di risposta. Alcune funzionalità specifiche dell'attività di analisi di una piattaforma di Threat Intelligence includono:
- Supporto dell'espansione e della ricerca degli indicatori
- Processi di escalation degli incidenti e risposta agli stessi
- Processi dei flussi di lavoro degli analisti
- Realizzazione di prodotti di intelligence e condivisione con gli investitori
