Che cos'è la Threat Intelligence?
La Threat Intelligence è la conoscenza basata su prove di una minaccia o di un pericolo esistente o emergente per le risorse. Tale conoscenza può essere utilizzata per indirizzare il processo decisionale di risposta alla minaccia o al pericolo in questione.
Introduzione alla Threat Intelligence
La Cyber Threat Intelligence è una tipologia di intelligence dedicata alla protezione dei dati. Queste informazioni hanno lo scopo di aiutarti a prendere decisioni migliori per proteggere te e la tua azienda dalle minacce informatiche. Di seguito sono indicate alcune domande alle quali la Threat Intelligence è in grado di rispondere:
- Chi sono i miei avversari e come possono attaccarmi?
- In quali modi può la sicurezza della mia azienda essere attaccata?
- Cosa devono controllare i team addetti alle operazioni di sicurezza?
- Come posso ridurre il rischio che la mia azienda subisca un attacco informatico?
La Threat Intelligence è la conoscenza basata su prove, compresi contesto, meccanismi, indicatori, implicazioni e suggerimenti pratici, di una minaccia o di un pericolo esistente o emergente per le risorse. Tale conoscenza può essere utilizzata per indirizzare il processo decisionale di risposta alla minaccia o al pericolo in questione.
In genere esistono tre "tipologie" di Cyber Threat Intelligence: strategica, operativa e tattica.
Ogni tipologia di Intelligence è importante perché svolge una funzione specifica. Gli analisti che utilizzano i dati raccolti da questi tre tipi di intelligence sviluppano una maggiore capacità di determinare quali soluzioni di sicurezza utilizzare, come implementarle e come rispondere in modo proattivo ed efficace alle minacce.
Utilizzeremo APT29 e il settore dell'istruzione per illustrare le differenze tra questi tre tipi di intelligence.
| Tipologia | Parola chiave | Durata media di utilità | Ambito | Basato sull'analisi di | Tipi di dati forniti |
|---|---|---|---|---|---|
| Strategica | Chi? Perché? | Lungo (multiannuale) | Non tecnico | Grandi campagne, gruppi, intrusioni che coinvolgono più vittime (e intelligence operativa) | Documento dettagliato su vittimologia, metodologia YoY, mappatura delle intrusioni e delle campagne ai conflitti, eventi e pressioni geopolitiche |
| Operativa | Come? Dove? | Medio (più di un anno) | Misto (entrambi) | Famiglie di malware complete, gruppi di minacce, analisi del comportamento umano (e intelligence tattica) | Sintesi con elenchi puntati su persistenza e tecniche di comunicazione, vittime, profili di gruppi, descrizioni di TTP, trigger, modelli e regole sulle metodologie |
| Tattica | Cosa? | Breve (mesi) | Tecnico | Eventi di sicurezza, singoli esempi di malware, e-mail di phishing, infrastruttura dell'utente malintenzionato | Indicatori atomici leggibili da computer come IP, domini, IOC e "firme" |
Levels of threat intelligence
Threat Intelligence tattica
La Threat Intelligence tattica è la forma più semplice di Threat Intelligence. Si tratta degli indicatori di compromissione (IOC) comuni. Questa tipologia di intelligence viene spesso utilizzata per il rilevamento delle minacce da macchina a macchina e per la ricerca di artefatti specifici nelle reti aziendali (svolta dagli addetti alla risposta agli incidenti).
Uso della Threat Intelligence tattica
La Threat Intelligence tattica e gli IOC sono utilizzati per documentare cronologicamente gli attacchi informatici e hanno la duplice funzione di prove raccolte (a fini legali, di indagine, di conformità, di applicazione della legge, ecc.) e di materiale di riferimento da cui gli analisti, dopo una fase di interpretazione, estraggono il contesto da utilizzare nelle strategie di difesa.
Gli IOC vengono forniti agli analisti come esempi di una particolare minaccia (un esempio o una famiglia di malware, una campagna di intrusione o l'attore di una minaccia). Gli analisti possono affiancare la Threat Intelligence tattica agli avvisi provenienti dalle soluzioni di sicurezza per fornire maggiore contesto e stabilire quali minacce rappresentano effettivamente un pericolo e quali possono essere ignorate.
Threat Intelligence tattica per APT29
- 628d4f33bd604203d25dbc6a5bb35b90
- 2aabd78ef11926d7b562fd0d91e68ad3
- 3d3363598f87c78826c859077606e514
- meek-reflect.appspot.com
- portal.sbn.co.th
- 202.28.231.44
- hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
- googleService.exe
- GoogleUpdate.exe
- acrotray.exe
- PCI\VEN_80EE&DEV_CAF
Threat Intelligence tattica per il settore dell'istruzione
- d9b7b0eda8bd28e8934c5929834e5006
- support@securitygrade[.]org
- 46.244.4.37
Threat Intelligence operativa
La Threat Intelligence operativa fornisce informazioni sulle metodologie utilizzate dagli autori delle minacce e mette in evidenza potenziali rischi. Promuovere una rilevazione degli incidenti, una risposta e una ricerca più efficaci. A differenza della Threat Intelligence tattica, che fornisce agli analisti il contesto di minacce già note, la Threat Intelligence operativa aiuta a scoprire minacce ancora sconosciute.
Questa tipologia di intelligence viene solitamente utilizzata dagli analisti forensi e dalle persone preposte alla risposta agli incidenti e in genere include:
- Strumenti per gruppi di minacce particolari (utilità, famiglie di backdoor, infrastruttura comune)
- Tattiche, tecniche e procedure (TTP) per gruppi di minacce specifici (directory di gestione temporanea, convenzioni di denominazione dei file, porte, protocolli, tipi di file preferiti)
- TTP emergenti (nuovi metodi di persistenza, exploit, schemi di phishing)
Considera quanto segue dal punto di vista della risposta agli incidenti: per contrastare un evento di intrusione, potresti chiederti in che modo gli autori eseguono le operazioni di escalation dei privilegi, movimento laterale o furto di dati. Se vuoi rilevare un'attività dannosa sconosciuta, dovresti comprendere innanzitutto il comportamento di un determinato autore. Indipendentemente dallo scenario, dovrai rispondere a una domanda: "Come puoi cercare l'autore delle minacce all'interno del tuo ambiente?"
Uso della Threat Intelligence operativa
La Threat Intelligence operativa rappresenta le conoscenze acquisite esaminando i dettagli di attacchi noti. Gli analisti possono ricostruire il quadro esatto della metodologia dell'autore di un attacco raggruppando indicatori tattici e artefatti e trasformare queste informazioni in intelligence operativa. Ciò può aiutarli a raggiungere una serie di obiettivi di difesa, come l'ottimizzazione dei piani di risposta agli incidenti e delle tecniche di mitigazione per gli attacchi e gli incidenti futuri.
Inoltre, gli analisti possono attuare e rafforzare un programma di rilevamento proattivo ("programma di ricerca") per individuare file sospetti e attività che hanno eluso le tradizionali tecnologie di sicurezza. In seguito, possono sviluppare metodologie di rilevamento indipendenti dagli IOC, garantendo una migliore difesa dalle minacce in tempi ridotti.
Esempi di Threat Intelligence operativa
Esempio di Threat Intelligence operativa per APT29
- Vettore di infezione preferito: spear phishing con RAR a estrazione automatica
- Famiglie di malware di primo livello: COZYCAR, SWIFTKICK, TADPOLE
- Famiglie di malware di secondo livello: SEADADDY, MINIDIONIS, SPIKERUSH
- Tecniche di persistenza
- Attività pianificate per gran parte delle backdoor
- WMI tramite installazione manuale per backdoor senza persistenza integrata
- Sostituzione legittima del file di segnalazione degli errori di Windows (wermgr.exe)
- Uso di TOR per C2
- Uso di Documenti Google per C2
- Uso delle app Google Cloud per l'inoltro di C2 (come proxy)
- Uso delle richieste HTTP POST su 443 per C2
- Uso delle backdoor configurate per le porte 1, 80, 443, 3389 per C2
- Uso degli script PowerShell
- Uso di Py2Exe per modificare e ricompilare le backdoor con varianza nei protocolli C2 e nell'infrastruttura C2
Esempio di Threat Intelligence operativa per il settore dell'istruzione
- Vettori di attacco comuni: spear phishing, watering hole e SQL injection
- Attacco di spear phishing contro professori universitari conosciuti per l'introduzione di nuove tecnologie nelle aule
- Spear phishing contro agenzie di collocamento per selezionatori e personale addetto all'assunzione
- Attacchi comuni: spear phishing e SQL injection (SQLi)
- Famiglie di malware comuni: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
- Famiglie di penetration test comuni: Meterpreter, PowerShell Empire, Metasploit Framework
- Uso di Dropbox per C2
- Uso di protocolli TCP personalizzati e di protocolli HTTPS per C2
- Uso di TLD .ru, .su per i domini C2
- Uso di yandex.ru e bk.ru per gli indirizzi e-mail
- Furto di database contenenti nomi degli studenti, credenziali amministrative, dati di fatturazione, codici fiscali e altri dati di identificazione personale.
Threat Intelligence strategica
La Threat Intelligence strategica fornisce un quadro generale dell'evoluzione delle minacce e degli attacchi nel tempo. La Threat Intelligence strategica è in grado di fornire un quadro cronologico delle tendenze, delle motivazioni o dei ruoli degli autori degli attacchi. Sapere chi sono i tuoi avversari e i motivi del loro comportamento può aiutarti a prevedere le loro tattiche e i loro attacchi futuri. Tutto ciò fa dell'intelligence strategica un solido punto di partenza per l'elaborazione della strategia di difesa ottimale.
La Threat Intelligence strategica può fornire informazioni riguardo ai seguenti aspetti:
- Attribuzione di intrusioni e violazioni di dati
- Tendenze dei gruppi di autori
- Individuazione delle tendenze per settori industriali e aree geografiche
- vMappatura degli attacchi informatici a eventi e conflitti geopolitici (Mar Cinese Meridionale, Primavera araba, Russia-Ucraina)
- Statistiche globali su violazioni, malware e furto di informazioni
- Principali variazioni delle TTP degli utenti malintenzionati nel tempo
Uso della Threat Intelligence strategica
La Threat Intelligence strategica si basa su un'ampia base di conoscenze e include opinioni e approfondimenti di esperti basati sull'aggregazione della Threat Intelligence operativa e tattica di attacchi informatici noti. Questa intelligence è particolarmente utile per le persone che ricoprono ruoli di leadership, come i CISO e i responsabili esecutivi, che devono giustificare i budget e prendere decisioni più consapevoli in materia di investimenti. Gli utilizzi della Threat Intelligence strategica includono:
- Far conoscere alla classe dirigente chi sono gli autori di minacce ad alto rischio, gli scenari di rischio pertinenti ed esporre le minacce tecnologiche pubbliche e nella criminalità nascosta.
- Eseguire un'approfondita analisi dei rischi e analizzare l'intera filiera tecnologica.
- Scoprire quali iniziative commerciali, fornitori, partner e prodotti tecnologici hanno maggiori probabilità di aumentare o ridurre i rischi di attacchi alla tua azienda.
Esempi di Threat Intelligence strategica
Threat Intelligence strategica per APT29
- APT29 è un gruppo di autori di attacchi informatici russo dedito allo spionaggio informatico finalizzato al furto di dati.
- Tra le vittime di questo gruppo vi sono numerose organizzazioni a livello mondiale che operano nel settore governativo, farmaceutico, dell'istruzione, dell'alta tecnologia, della finanza, del no-profit e della base industriale di difesa.
- APT29 è un gruppo sofisticato e versatile in grado di sviluppare strumenti per attacchi personalizzati e complesse infrastrutture di comando e controllo. A differenza degli altri autori russi sponsorizzati dallo stato, questo gruppo continua a operare anche a distanza di molto tempo dalla sua scoperta.
- Il gruppo APT29 è stato sempre incaricato di portare a termine operazioni correlate a questioni di politica estera, in particolare riguardo al conflitto tra Russia e Ucraina. Inoltre, il gruppo ha preso di mira diversi enti governativi nazionali occidentali, consulenti governativi e per la difesa e istituti accademici.
Threat Intelligence strategica per il settore dell'istruzione
- L'infrastruttura IT degli istituti di istruzione ha una base di utenti eterogenea ed è in genere composta da una moltitudine di sistemi operativi, tipi di computer e software e da un numero impressionante di server e siti Web accessibili pubblicamente da Internet. Per questo motivo, le Università e gli istituti di ricerca accademica sono gli obiettivi principali da cui gli utenti malintenzionati sottraggono dati preziosi e che utilizzano poi come base per ulteriori operazioni di intrusione.
- Nel futuro breve, il settore dell'istruzione continuerà a essere oggetto di attività di spionaggio informatico. Prevediamo che gli autori di minacce provenienti da Cina, Russia, Iran e altri paesi porteranno avanti operazioni di spionaggio per furto di dati, informazioni commerciali, intelligence economica e monitoraggio della diaspora.
- Sono stati scoperti diversi gruppi che conducevano operazioni di intrusione dirette agli istituti accademici, tra cui Università e centri di ricerca:
- APT10, detto anche "MenuPass Group"
- APT22, detto anche "Barista Team"
- APT29, detto anche "The Dukes"
Threat Intelligence e obiettivi aziendali
La Threat Intelligence ha sempre l'obiettivo di migliorare il processo decisionale e promuovere l'operatività. Tuttavia, spesso le aziende faticano a determinare il valore dei propri team, processi e strumenti di Threat Intelligence. La terminologia della Threat Intelligence in genere non è compatibile con il lessico aziendale, il che ostacola la comprensione del suo obiettivo e valore.
Le aziende possono trarre vantaggio dai propri programmi di intelligence allineandoli a un insieme di priorità generico a livello macroeconomico, come mostrato di seguito (elenco non completo):
- Aumento delle entrate
- Riduzione delle spese
- Riduzione e mitigazione dei rischi
- Soddisfazione e fidelizzazione dei clienti
- Soddisfazione e fidelizzazione dei dipendenti
- Conformità-normative
Una volta che il team di Threat Intelligence ha compreso gli obiettivi dell'azienda, può allineare le operazioni e le attività per supportarla. Non sempre le priorità aziendali saranno perfettamente allineate con le funzionalità della Threat Intelligence, ma questo non deve destare preoccupazione. Puoi sviluppare granularità e gradualità man mano che delinei i tuoi requisiti. Ecco alcuni obiettivi iniziali che qualsiasi team di Threat Intelligence dovrebbe porsi:
- Ridurre le spese correlate a frodi e crimini informatici
- Collaborare con il team antifrode per determinare le 3-5 tipologie principali di frode e chiedere quali informazioni potrebbero essere utili per rilevarle/prevenirle in futuro?
- Prevenire le perdite di dati
- Cosa rivela l'analisi dei ticket relativi agli incidenti sulla natura e la tipologia dei dati oggetto dei precedenti eventi di violazione?
- Quali vulnerabilità sono state sfruttate e in che modo?
- Proteggere i dati di identificazione personale
- Su quali sistemi sono archiviati i dati di identificazione personale e qual è il nesso tra le vulnerabilità di tali e i vettori di sfruttamento noti?
- Ridurre i rischi aziendali
- TI può ridurre i rischi dovuti alla perdita di dati e alle minacce esterne identificando gli autori e acquisendo intelligence sulle minacce esterne indirizzate al proprio settore e garantendo l'implementazione di tecniche e meccanismi di rilevamento in grado di rilevare tali minacce.
Evoluzione della Threat Intelligence
La Threat Intelligence continuerà a evolversi e a ricoprire un ruolo essenziale per la sicurezza. L'integrazione della Threat Intelligence a livello tattico, operativo e strategico fornirà informazioni utili sugli IOC e sulle metodologie degli autori delle minacce. Ciò permetterà di creare ambienti più sicuri in cui potrai identificare i tuoi avversari. Un numero crescente di organizzazioni del settore pubblico e privato utilizza la Cyber Threat Intelligence. Da recenti ricerche pubblicate dal Ponemon Institute è emerso che l'80% delle organizzazioni ne fa uso e che una percentuale ancora più alta la considera di importanza critica.
Le organizzazioni che utilizzano la Cyber Threat Intelligence devono confrontarsi con diverse questioni di sicurezza. Oltre a rilevare e rispondere alle minacce avanzate, prevenire le violazioni dei dati e proteggere le informazioni sensibili, stanno abbassando i costi legati alla criminalità informatica e alle frodi. Ma, soprattutto, stanno riducendo il rischio aziendale complessivo.
Lo scopo delle informazioni contenute in questa pagina è quello di illustrare il ruolo della Cyber Threat Intelligence e il valore che offre. Tuttavia, questo è solo un punto di partenza. Oltre a queste informazioni, Anomali offre numerose risorse che possono aiutarti a comprendere perché dovresti integrare la Cyber Threat Intelligence nel tuo stack di sicurezza e come farlo riducendo al minimo i problemi.
