Che cos'è l'intelligence sulle minacce?

L'intelligence sulle minacce è una conoscenza basata sull'evidenza di una minaccia o pericolo esistente o emergente per le risorse che può essere utilizzata per prendere decisioni in merito alla risposta del soggetto a tale minaccia o pericolo.

Introduzione alla threat intelligence

L'intelligence sulle minacce informatiche è un sottoinsieme dell'intelligence incentrato sulla sicurezza delle informazioni. Queste informazioni curate hanno lo scopo di aiutarvi a prendere decisioni migliori su come difendere voi stessi e la vostra azienda dalle minacce informatiche. Alcune delle domande a cui può rispondere la threat intelligence includono:

Chi sono i miei avversari e come potrebbero attaccarmi?
In che modo i vettori di attacco influiscono sulla sicurezza della mia azienda?
A cosa devono prestare attenzione i miei team addetti alle operazioni di sicurezza?
Come posso ridurre il rischio di un attacco informatico contro la mia azienda?

«L'intelligence sulle minacce è una conoscenza basata sull'evidenza, che include contesto, meccanismi, indicatori, implicazioni e consigli attuabili, su una minaccia o pericolo esistente o emergente per le risorse che può essere utilizzata per prendere decisioni sulla risposta del soggetto a tale minaccia o pericolo».

Definizione Gartner di threat intelligence

Livelli di intelligence sulle minacce

L'intelligence sulle minacce informatiche è generalmente vista in tre livelli:

Strategico: rispondere al «chi» e al «perché»
Operativo: rispondere al come e al dove
Tattico: rispondere al cosa

L'utilizzo di ogni istanza di intelligenza è importante perché svolgono funzioni diverse. Gli analisti che sfruttano la conoscenza complessiva di questi tre tipi di intelligence sono in grado di determinare meglio quali soluzioni di sicurezza utilizzare, come sfruttarle e come rispondere in modo proattivo e reattivo alle minacce.

Tipo
Slogan
Emivita dell'utilità
Concentrarsi
Basato sull'analisi di
Tipi di dati di output
Strategico
Chi?
Perché?
Lungo (pluriennale)
Non tecnico
Grandi campagne, gruppi, intrusioni con più vittime (e informazioni operative)
Scrittura estesa sulla vittimologia, sulla metodologia YoY, sulla mappatura delle intrusioni e delle campagne su conflitti, eventi e pressioni geopolitiche
Operativo
In che modo? Dove?
Medio (più di un anno)
Misto
Intere famiglie di malware, gruppi di minacce, analisi del comportamento umano (e informazioni tattiche)
Scrittura abbreviata, elenchi puntati, su: tecniche di persistenza e comunicazione, vittime, profili di gruppo, profili familiari, descrizioni TTP, trigger, modelli e regole metodologiche
Tattico
Cosa?
Breve (mesi)
Tecnico
Eventi di sicurezza, singoli campioni di malware, e-mail di phishing, infrastruttura degli aggressori
Indicatori atomici e leggibili dalla macchina come IP, domini, IOC, «firme»
TATTICO
OPERATIVO
STRATEGICO

Intelligence tattica sulle minacce

La threat intelligence tattica è la forma più elementare di threat intelligence. Questi sono i comuni indicatori di compromissione (IOC). L'intelligenza tattica viene spesso utilizzata per il rilevamento da macchina a macchina delle minacce e per i soccorritori per cercare artefatti specifici nelle reti aziendali.

Utilizzo dell'intelligence tattica sulle minacce

L'intelligence tattica sulle minacce e gli IOC hanno lo scopo di documentare storicamente gli attacchi informatici, servendo sia come corpus di prove (per conformità, forze dell'ordine, indagini, scopi legali, ecc.) sia come materiale di riferimento per gli analisti per interpretare ed estrarre il contesto da utilizzare nelle operazioni difensive.

Gli IOC vengono forniti agli analisti come esempi di una particolare minaccia, ad esempio un campione di malware, una famiglia di malware, una campagna di intrusione o un attore di minacce. Gli analisti possono arricchire gli avvisi delle soluzioni di sicurezza con informazioni tattiche sulle minacce per fornire più contesto e determinare quali minacce meritano preoccupazione e quali possono essere tranquillamente ignorate.

Intelligenza tattica sulle minacce per APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portale.sbn.co.th
202,28231,44
hxxps: //files.counseling [.] org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI\ VEN_80EE&DEV_CAF

Intelligence tattica sulle minacce per il settore dell'istruzione

d9b7b0eda8bd28e8934c5929834e5006
supporto @securitygrade [.] org
462444,37

Intelligence operativa sulle minacce

L'intelligence operativa sulle minacce fornisce informazioni sulle metodologie degli attori ed espone i potenziali rischi. Promuove programmi di rilevamento, risposta agli incidenti e caccia più significativi. Laddove l'intelligence tattica sulle minacce fornisce agli analisti un contesto sulle minacce già note, l'intelligence operativa avvicina le indagini alla scoperta di minacce completamente nuove.

Questo tipo di intelligence viene utilizzato più frequentemente dagli investigatori forensi e dai soccorritori e in genere include i seguenti tipi di elementi:

Strumenti per particolari gruppi di minacce (utilità, famiglie di backdoor, infrastrutture comuni)
Tattiche, tecniche e procedure (TTP) per particolari gruppi di minacce (directory di staging, convenzioni di denominazione dei file, porte, protocolli, tipi di file preferiti)
TTP emergenti (nuovi metodi di persistenza, exploit, schemi di phishing)

Considera quanto segue dal punto di vista della risposta agli incidenti: se stai rispondendo a un evento di intrusione, potresti chiederti come un determinato attore compia l'escalation dei privilegi, il movimento laterale o il furto di dati. Se siete alla ricerca di attività dannose da scoprire, potreste iniziare la ricerca analizzando il comportamento di un attore specifico. Qualunque sia il tuo scenario, devi rispondere alla domanda «Come cerchi questo attore nel tuo ambiente?»

Utilizzo dell'intelligence operativa sulle minacce

L'intelligence operativa sulle minacce è la conoscenza acquisita esaminando i dettagli degli attacchi noti. Un analista può costruire un quadro solido della metodologia degli attori mettendo insieme indicatori e artefatti tattici e ricavandoli in intelligenza operativa. Questo può aiutare a raggiungere una serie di obiettivi difensivi, come il miglioramento dei piani di risposta agli incidenti e delle tecniche di mitigazione per attacchi e incidenti futuri.

Gli analisti possono anche implementare e rafforzare un programma di rilevamento proattivo («programma di caccia») per identificare file e attività sospette che hanno aggirato le tradizionali tecnologie di sicurezza. Da lì possono sviluppare metodologie di rilevamento che non dipendono dagli IOC, garantendo una copertura più ampia delle minacce in modo più tempestivo.

Esempi di intelligence operativa sulle minacce

Esempio di intelligence operativa sulle minacce per APT29
Vettore di infezione preferito: spear phishing con RAR autoestraente
Famiglie di malware di prima fase: COZYCAR, SWIFTKICK, TADPOLE
Famiglie di malware di seconda fase: SEADADDY, MINIDIONIS, SPIKERUSH
Tecniche di persistenza
  • Attività pianificate per la maggior parte delle backdoor
  • WMI tramite installazione manuale per backdoor che non dispongono di persistenza integrata
  • Sostituzione legittima del file di segnalazione errori di Windows (wermgr.exe)
Uso di TOR per C2
Utilizzo di Google Docs per C2
Utilizzo di Google Cloud Apps per l'inoltro C2 (come proxy)
Utilizzo di richieste HTTP POST superiori a 443 per C2
Uso di backdoor configurate per le porte 1, 80, 443, 3389 per C2
Uso di script PowerShell
Uso di Py2Exe per modificare e ricompilare le backdoor con varianza nei protocolli C2 e nell'infrastruttura C2
Esempio di intelligence operativa sulle minacce per il settore dell'istruzione
I vettori di attacco più comuni sono lo spear phishing, i watering hole e l'iniezione SQL
Professori universitari di spear phishing specializzati nell'integrazione di nuove tecnologie nelle aule
Spear phishing ai reclutatori e alle persone coinvolte nei processi di assunzione
Gli attacchi più comuni sono lo spear-phishing e l'iniezione SQL (SQLi)
Famiglie di malware comuni: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Famiglie di pentesting comuni: Meterpreter, PowerShell Empire, Metasploit Framework
Uso di Dropbox per C2
Utilizzo di HTTPS e protocolli TCP personalizzati per C2
Utilizzo dei domini di primo livello .ru, .su per i domini C2
Uso di yandex.ru e bk.ru per gli indirizzi email
Furto di database contenenti nomi di studenti, credenziali amministrative, dati di fatturazione, numeri di previdenza sociale e altre informazioni personali.

Intelligenza strategica sulle minacce

L'intelligence strategica sulle minacce fornisce un quadro generale di come le minacce e gli attacchi stanno cambiando nel tempo. L'intelligence strategica sulle minacce può essere in grado di identificare tendenze, motivazioni o attribuzioni storiche su chi c'è dietro un attacco. Conoscere chi e perché dei tuoi avversari fornisce anche indizi sulle loro operazioni e tattiche future. Ciò rende l'intelligenza strategica un solido punto di partenza per decidere quali misure difensive saranno più efficaci.

L'intelligence strategica sulle minacce potrebbe includere informazioni sulle seguenti aree tematiche:

Attribuzione per intrusioni e violazioni dei dati
Tendenze dei gruppi di attori
Individuazione delle tendenze per settori industriali e aree geografiche
Mappatura degli attacchi informatici ai conflitti e agli eventi geopolitici (Mar Cinese Meridionale, Primavera araba, Russia-Ucraina)
Statistiche globali su violazioni, malware e furto di informazioni
Il TTP dei principali aggressori cambia nel tempo

Utilizzo dell'intelligence strategica sulle minacce

L'intelligence strategica sulle minacce si basa su un enorme corpus di conoscenze e include opinioni e approfondimenti di esperti basati sull'aggregazione di informazioni sulle minacce operative e tattiche provenienti da attacchi informatici noti. Questa intelligence è particolarmente utile per le persone che ricoprono ruoli di leadership come i CISO e i dirigenti esecutivi, che devono giustificare i budget e prendere decisioni di investimento più informate. Alcuni usi dell'intelligence strategica sulle minacce includono:

Informate la vostra dirigenza esecutiva sugli attori delle minacce ad alto rischio, sugli scenari di rischio pertinenti e sull'esposizione alle minacce nella sfera tecnologica rivolta al pubblico e nel clandestino criminale.
Esegui un'analisi approfondita dei rischi e una revisione dell'intera catena di fornitura tecnologica.
Scopri quali iniziative commerciali, fornitori, aziende partner e prodotti tecnologici hanno maggiori probabilità di aumentare o diminuire il rischio per il tuo ambiente aziendale.

Esempi di intelligence strategica sulle minacce

Intelligenza strategica sulle minacce per APT29
APT29 è un attore con sede in Russia che in genere si occupa di spionaggio informatico con lo scopo di furto di dati.
Le vittime dell'APT29 includono molte organizzazioni globali nel governo, nell'istruzione, nell'alta tecnologia, nella finanza, senza scopo di lucro, nel settore farmaceutico e nella base industriale della difesa.
APT29 è un gruppo adattabile e sofisticato con la capacità di sviluppare strumenti di attacco personalizzati, un'infrastruttura di comando e controllo complicata e, a differenza dei comportamenti storici degli attori sponsorizzati dallo stato russo, questo gruppo ha l'audacia di continuare a operare molto tempo dopo essere stati scoperti.
L'APT29 è stato storicamente incaricato di proseguire le operazioni relative a questioni di politica estera del governo, in particolare quelle riguardanti il conflitto Russia-Ucraina. Inoltre, il gruppo ha preso di mira diverse agenzie governative nazionali occidentali, appaltatori governativi e della difesa e istituzioni accademiche.
Intelligenza strategica sulle minacce per il settore dell'istruzione
L'infrastruttura IT didattica ha una base di utenti diversificata ed è quindi generalmente composta da una miriade di sistemi operativi, tipi di computer, software e tonnellate di server e siti Web accessibili pubblicamente da Internet. Ciò rende le università e le strutture di ricerca accademiche i principali obiettivi degli aggressori, sia come luoghi da cui rubare dati preziosi sia come punti di partenza per ulteriori operazioni di intrusione.
Il settore dell'istruzione continuerà a vedere attività di spionaggio informatico nel prossimo futuro. Ci aspettiamo che gli attori delle minacce provenienti da Cina, Russia, Iran e altri paesi conducano operazioni di spionaggio per furto di dati, informazioni commerciali, intelligence economica e monitoraggio della diaspora.
Sono stati osservati diversi gruppi mentre conducevano operazioni di intrusione che hanno interessato istituzioni accademiche, tra cui università e centri di ricerca:
  • APT10 alias «MenuPass Group»
  • APT22 alias «Barista Team»
  • APT29 alias «The Dukes»

Intelligenza sulle minacce e obiettivi aziendali

L'intelligence sulle minacce ha sempre uno scopo per informare il processo decisionale e guidare l'azione. Tuttavia, non è raro che le aziende abbiano difficoltà a determinare il valore del proprio team, dei processi e degli strumenti di threat intelligence. La terminologia della threat intelligence di solito non è compatibile con il lessico aziendale, il che porta a fraintendimenti circa il suo scopo e il suo valore.

Le aziende possono contribuire a trarre valore dai loro programmi di intelligence allineandoli a una serie generica di priorità a livello macro, come si può vedere di seguito (non esaustivo):

Incrementa le entrate
Spese inferiori
Ridurre e mitigare i rischi
soddisfazione e fidelizzazione dei clienti
Soddisfazione e mantenimento dei dipendenti
Regolamentazione della conformità

Una volta che il team di threat intelligence ha compreso gli obiettivi aziendali, può allineare le proprie operazioni e gli sforzi per supportare il business. Non tutte le priorità aziendali saranno perfettamente in linea con le funzionalità di threat intelligence, e va bene così. Puoi sviluppare granularità e sfumature man mano che definisci i tuoi requisiti. Ecco alcuni obiettivi iniziali per qualsiasi team di threat intelligence:

Ridurre le spese relative a frodi e crimini informatici
  • Collabora con il team antifrode per determinare i 3-5 tipi principali di frode e chiedere quali informazioni potrebbero aiutarli a rilevarle e prevenirle in futuro?
Prevenire la perdita di dati
  • Cosa rivela l'analisi dei ticket per gli incidenti sulla natura e sul tipo di dati presi di mira in precedenti eventi di violazione dei dati?
  • Quali vulnerabilità sono state sfruttate e con quali mezzi?
Proteggi le PII
  • Quali sistemi archiviano le informazioni personali e in che modo le vulnerabilità di tali sistemi si allineano con i vettori di sfruttamento noti?
Ridurre il rischio aziendale
  • TI può concentrarsi sulla riduzione del rischio dovuto alla perdita di dati e alle minacce esterne identificando gli attori e ricavando informazioni sulle minacce esterne rivolte al proprio settore, assicurando che le tecniche e i meccanismi di rilevamento siano disponibili e in grado di rilevare tali minacce.

Evoluzione dell'intelligence sulle minacce

L'intelligence sulle minacce continuerà a evolversi e sarà una funzione di sicurezza chiave. L'integrazione dell'intelligence sulle minacce tattica, operativa e strategica fornirà informazioni preziose sugli IOC e sulle metodologie degli attori delle minacce. Ciò porterà a ambienti più sicuri in cui potrai identificare i tuoi avversari. Un numero crescente di organizzazioni del settore pubblico e privato utilizza ora l'intelligence sulle minacce informatiche. Una recente ricerca pubblicata dal Ponemon Institute ha rivelato che l'80% delle organizzazioni la utilizza e che una percentuale ancora più elevata la considera fondamentale.

Le organizzazioni che utilizzano l'intelligence sulle minacce informatiche stanno affrontando numerose sfide di sicurezza. Rilevano e rispondono alle minacce avanzate. Stanno prevenendo le violazioni dei dati e proteggendo le informazioni sensibili. Stanno riducendo i costi relativi alla criminalità informatica e alle frodi. Soprattutto, stanno riducendo il rischio aziendale complessivo.

Scopri di più sulla Threat Intelligence

Le informazioni contenute in questa pagina dovrebbero fornirti una solida comprensione di cos'è la cyber threat intelligence e del valore che offre. Tuttavia, questo è solo un punto di partenza. Oltre a queste informazioni, Anomali fornisce numerose risorse che possono aiutarti a prendere una decisione intelligente sul motivo per cui aggiungere funzionalità di intelligence sulle minacce informatiche al tuo stack di sicurezza e su come integrarle con il minimo attrito.

Datasheet

Anomali Intelligence Initiatives

Leggi la scheda tecnica

White Paper

North America Cyber Threat Landscape from Anomali Threat Research

Leggi il white paper

White Paper

SANS 2020 Cyber Threat Intelligence (CTI) Survey Results

Leggi il white paper

White Paper

2019 Ponemon Report: The Value of Threat Intelligence from Anomali

Leggi il white paper

White Paper

SANS 2019 Cyber Threat Intelligence (CTI) Survey Results

Leggi il white paper
Nessun articolo trovato.

eBook

Cyber Threat Intelligence Programs: What’s Needed to Keep Up? | ESG Research & Anomali eBook

Leggi l'ebook

eBook

Mighty Guides: 7 Experts on Enhancing Your Security Defenses by Focusing on Your Adversaries

Leggi l'ebook

eBook

Intelligently Evolving with Your Adversaries and Attackers

Leggi l'ebook

eBook

Using Diverse Threat Intel Feeds to Maximize Your Intelligence Data

Leggi l'ebook

Infographic

Seven Cybersecurity Experts on Creating Cyber Fusion

visualizza l'infografica

Video

VirtuPort TV Interviews Anomali at MENA ISC

Guarda il video

Video

Anomali Overview

Guarda il video

Video

Introduction to Threat Intelligence

Guarda il video

Video

What is a Threat Intelligence Ecosystem?

Guarda il video

Webinar

Insights for CISOs: Threat Intelligence | Frost & Sullivan and Anomali

Guarda il webinar

Webinar

Adopting an Intelligence-Driven Security Model Panel Discussion

Guarda il webinar

Webinar

Attackers Continue to Evolve; Learn How Defenders Keep Pace

Guarda il webinar

Webinar

Detect LIVE April 22 – Power of Cyber Threat Intelligence Illustrated | Microsoft

Guarda il webinar
Ordina per data (Desc)
Sfoglia tutte le risorse