Che cos'è l'intelligence sulle minacce?

L'intelligence sulle minacce è una conoscenza basata su prove di una minaccia o di un pericolo esistente o emergente per le risorse, che può essere utilizzata per informare le decisioni riguardanti la risposta del soggetto a tale minaccia o pericolo.

Introduzione all'intelligence delle minacce

L'intelligence sulle minacce informatiche è un sottoinsieme dell'intelligence incentrato sulla sicurezza delle informazioni. Queste informazioni curate hanno lo scopo di aiutarvi a prendere decisioni migliori su come difendere voi stessi e la vostra azienda dalle minacce informatiche. Alcune delle domande a cui l'intelligence sulle minacce può rispondere sono:

Chi sono i miei avversari e come potrebbero attaccarmi?

In che modo i vettori di attacco influenzano la sicurezza della mia azienda?

A cosa devono prestare attenzione i team operativi di sicurezza?

Come posso ridurre il rischio di un attacco informatico contro la mia azienda?

"L'intelligence sulle minacce è una conoscenza basata su prove, inclusi il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli praticabili, su una minaccia o un pericolo esistente o emergente per gli asset, che può essere utilizzata per informare le decisioni relative alla risposta del soggetto a tale minaccia o pericolo".

Definizione di intelligence sulle minacce di Gartner

Livelli di intelligence sulle minacce

L'intelligence sulle minacce informatiche è generalmente considerata a tre livelli:

Strategico: rispondere al "chi" e al "perché".

Operativo: Rispondere al come e al dove

Tattica: Rispondere al cosa

L'utilizzo di ciascuna istanza di intelligence è importante perché svolge funzioni diverse. Gli analisti che sfruttano la somma delle conoscenze di questi tre tipi di intelligence sono in grado di determinare meglio quali soluzioni di sicurezza utilizzare, come sfruttarle e come rispondere in modo proattivo e reattivo alle minacce.

Tipo

Tagline

Emivita dell'utilità

Focus

Basato sull'analisi di

Tipi di dati in uscita

Strategico

Chi?
Perché?

Lungo (pluriennale)

Non tecnico

Grandi campagne, gruppi, intrusioni con più vittime (e informazioni operative)

Scritti di lunga durata sulla vittimologia, sulla metodologia YoY, sulla mappatura delle intrusioni e delle campagne rispetto a conflitti, eventi e pressioni geopolitiche.

Operativo

Come? Dove?

Medio (un anno+)

Misto

Intere famiglie di malware, gruppi di minacce, analisi del comportamento umano (e informazioni tattiche)

Scrittura breve, elenchi puntati, su: tecniche di persistenza e comunicazione, vittime, profili di gruppi, profili di famiglie, descrizioni di TTP, fattori scatenanti, schemi e regole metodologiche.

Tattico

Cosa?

Breve (mesi)

Tecnica

Eventi di sicurezza, singoli campioni di malware, e-mail di phishing, infrastrutture di attacco.

Indicatori atomici e leggibili dalla macchina come IP, domini, IOC, "firme".

Informazioni tattiche sulle minacce

L'intelligence tattica sulle minacce è la forma più elementare di intelligence sulle minacce. Si tratta dei comuni indicatori di compromissione (IOC). Le informazioni tattiche sono spesso utilizzate per il rilevamento delle minacce da macchina a macchina e per la ricerca di artefatti specifici nelle reti aziendali da parte dei soccorritori.

Utilizzo di informazioni tattiche sulle minacce

Le informazioni tattiche sulle minacce e i CIO hanno lo scopo di documentare storicamente gli attacchi informatici, servendo sia come corpus di prove (per la conformità, l'applicazione della legge, le indagini, gli scopi legali, ecc.

I CIO vengono forniti agli analisti per servire come esempi di una particolare minaccia, come un campione di malware, una famiglia di malware, una campagna di intrusione o un attore pericoloso. Gli analisti possono arricchire gli avvisi delle soluzioni di sicurezza con informazioni tattiche sulle minacce per fornire un contesto più ampio e determinare quali minacce meritano di essere prese in considerazione e quali possono essere tranquillamente ignorate.

Informazioni tattiche sulle minacce per APT29

628d4f33bd604203d25dbc6a5bb35b90

2aabd78ef11926d7b562fd0d91e68ad3

3d3363598f87c78826c859077606e514

meek-reflect.appspot.com

portal.sbn.co.th

202.28.231.44

hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip

googleService.exe

GoogleUpdate.exe

acrotray.exe

PCI\VEN_80EE&AMP;DEV_CAF

Informazioni tattiche sulle minacce per il settore dell'istruzione

d9b7b0eda8bd28e8934c5929834e5006

supporto@securitygrade[.]org

46.244.4.37

Informazioni sulle minacce operative

L'intelligence operativa sulle minacce fornisce informazioni sulle metodologie degli attori ed espone i rischi potenziali. Alimentano programmi di rilevamento, risposta agli incidenti e caccia più significativi. Mentre l'intelligence tattica sulle minacce fornisce agli analisti un contesto sulle minacce già note, l'intelligence operativa avvicina le indagini alla scoperta di minacce completamente nuove.

Questo tipo di intelligence è usato più frequentemente dagli investigatori forensi e dai risponditori agli incidenti e comprende in genere i seguenti tipi di elementi:

Strumenti per gruppi di minacce particolari (utility, famiglie di backdoor, infrastrutture comuni)

Tattiche, tecniche e procedure (TTP) per particolari gruppi di minacce (directory di staging, convenzioni di denominazione dei file, porte, protocolli, tipi di file preferiti).

TTP emergenti (nuovi metodi di persistenza, exploit, schemi di phishing)

Considerate quanto segue dal punto di vista della risposta agli incidenti: Se si sta rispondendo a un evento di intrusione, ci si può chiedere come un particolare attore esegua l'escalation dei privilegi, il movimento laterale o il furto di dati. Se siete a caccia di attività dannose non scoperte, potreste iniziare la vostra caccia cercando il comportamento di un attore specifico. Qualunque sia lo scenario, è necessario rispondere alla domanda "Come si cerca questo attore nel proprio ambiente?".

Utilizzo dell'intelligence operativa sulle minacce

L'intelligence operativa sulle minacce è la conoscenza acquisita esaminando i dettagli degli attacchi noti. Un analista può costruire un quadro solido della metodologia degli attori mettendo insieme indicatori e artefatti tattici e ricavandoli dall'intelligence operativa. Questo può aiutare a raggiungere una serie di obiettivi difensivi, come il miglioramento dei piani di risposta agli incidenti e delle tecniche di mitigazione per gli attacchi e gli incidenti futuri.

Gli analisti possono anche implementare e rafforzare un programma di rilevamento proattivo ("programma di caccia") per identificare file e attività sospette che hanno eluso le tecnologie di sicurezza tradizionali. Da qui possono sviluppare metodologie di rilevamento che non dipendono dai CIO, garantendo una copertura più ampia delle minacce in modo più tempestivo.

Esempi di intelligence operativa sulle minacce

Esempio di intelligence sulle minacce operative per APT29

Vettore di infezione preferito: spear phishing con RAR autoestraente

Famiglie di malware di prima fase: COZYCAR, SWIFTKICK, TADPOLE

Famiglie di malware di seconda fase: SEADADDY, MINIDIONIS, SPIKERUSH

Tecniche di persistenza

Attività programmate per la maggior parte delle backdoor
WMI tramite installazione manuale per le backdoor che non hanno la persistenza incorporata
Sostituzione legittima del file di segnalazione degli errori di Windows (wermgr.exe)

Uso della RPT per C2

Uso di Google Docs per C2

Utilizzo di Google Cloud Apps per l'inoltro di C2 (come proxy)

Utilizzo di richieste HTTP POST su 443 per C2

Utilizzo di backdoor configurate per le porte 1, 80, 443, 3389 per C2

Utilizzo di script PowerShell

Uso di Py2Exe per modificare e ricompilare le backdoor con variazioni nei protocolli C2 e nell'infrastruttura C2.

Esempio di intelligence operativa sulle minacce per il settore dell'istruzione

I vettori di attacco più comuni sono lo spear phishing, i watering hole e l'SQL injection.

Spear phishing di professori universitari specializzati nell'integrazione delle nuove tecnologie nelle classi

Spear phishing a reclutatori e persone coinvolte in processi di assunzione

Gli attacchi più comuni sono lo spear-phishing e l'SQL injection (SQLi).

Famiglie di malware comuni: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE

Famiglie di pentesting comuni: Meterpreter, PowerShell Empire, Metasploit Framework

Utilizzo di Dropbox per C2

Uso di HTTPS e di protocolli TCP personalizzati per C2

Uso dei domini di primo livello .ru e .su per i domini C2

Utilizzo di yandex.ru e bk.ru per gli indirizzi e-mail

Furto di database contenenti nomi di studenti, credenziali amministrative, informazioni di fatturazione, numeri di previdenza sociale e altre informazioni personali.

Informazioni strategiche sulle minacce

L'intelligence strategica sulle minacce fornisce una visione d'insieme di come le minacce e gli attacchi cambiano nel tempo. L'intelligence strategica sulle minacce può essere in grado di identificare tendenze storiche, motivazioni o attribuzioni su chi si cela dietro un attacco. Conoscere il chi e il perché degli avversari fornisce anche indizi sulle loro operazioni e tattiche future. Ciò rende l'intelligence strategica un solido punto di partenza per decidere quali misure difensive saranno più efficaci.

L'intelligence strategica sulle minacce potrebbe includere informazioni sulle seguenti aree tematiche:

Attribuzione delle intrusioni e delle violazioni dei dati

Tendenze del gruppo di attori

Tendenze mirate per settori industriali e aree geografiche

Mappatura degli attacchi informatici in relazione ai conflitti e agli eventi geopolitici (Mar Cinese Meridionale, Primavera Araba, Russia-Ucraina).

Statistiche globali su violazioni, malware e furti di informazioni

Il TTP dell'aggressore principale cambia nel tempo

Utilizzo di informazioni strategiche sulle minacce

Le informazioni strategiche sulle minacce si basano su un enorme corpus di conoscenze e comprendono opinioni e intuizioni di esperti che si basano sull'aggregazione di informazioni sulle minacce operative e tattiche provenienti da attacchi informatici noti. Questa intelligence è particolarmente utile per chi ricopre ruoli di leadership, come i CISO e i dirigenti, che devono giustificare i budget e prendere decisioni di investimento più informate. Alcuni usi dell'intelligence strategica sulle minacce includono:

Informate la vostra leadership esecutiva sugli attori ad alto rischio, sugli scenari di rischio rilevanti e sull'esposizione alle minacce nella sfera tecnologica rivolta al pubblico e nel sottosuolo criminale.

Eseguire un'analisi approfondita dei rischi e una revisione dell'intera catena di fornitura tecnologica.

Scoprite quali iniziative commerciali, fornitori, aziende partner e prodotti tecnologici hanno maggiori probabilità di aumentare o ridurre il rischio per il vostro ambiente aziendale.

Esempi di intelligence strategica sulle minacce

Informazioni strategiche sulle minacce per APT29

L'APT29 è un attore con sede in Russia che di solito si dedica allo spionaggio informatico con lo scopo di rubare dati.

Le vittime dell'APT29 includono molte organizzazioni globali nei settori del governo, dell'istruzione, dell'alta tecnologia, della finanza, del no-profit, del settore farmaceutico e della base industriale della difesa.

L'APT29 è un gruppo adattabile e sofisticato, in grado di sviluppare strumenti di attacco personalizzati, un'infrastruttura di comando e controllo contorta e, a differenza dei comportamenti storici degli attori russi sponsorizzati dallo Stato, ha l'audacia di continuare a operare molto tempo dopo essere stato individuato.

L'APT29 è stato storicamente incaricato di perseguire operazioni relative a questioni di politica governativa estera, in particolare quelle riguardanti il conflitto tra Russia e Ucraina. Inoltre, il gruppo ha preso di mira diverse agenzie governative nazionali occidentali, appaltatori della difesa e del governo e istituzioni accademiche.

Informazioni strategiche sulle minacce per il settore dell'istruzione

L'infrastruttura informatica dell'istruzione ha una base di utenti diversificata ed è quindi tipicamente composta da una miriade di sistemi operativi, tipi di computer, software e tonnellate di server e siti web accessibili pubblicamente da Internet. Ciò rende le università e le strutture di ricerca accademiche obiettivi primari per gli aggressori, sia come luoghi da cui rubare dati preziosi sia come punti di appoggio per ulteriori operazioni di intrusione.

Il settore dell'istruzione continuerà a vedere attività di spionaggio informatico nel prossimo futuro. Ci aspettiamo che gli attori delle minacce provenienti da Cina, Russia, Iran e altri Paesi conducano operazioni di spionaggio per il furto di dati, informazioni commerciali, intelligence economica e monitoraggio della diaspora.

Diversi gruppi sono stati osservati mentre conducevano operazioni di intrusione che hanno colpito istituzioni accademiche, tra cui università e centri di ricerca:

APT10 alias "Gruppo MenuPass"
APT22, alias "Squadra Baristi".
APT29, alias "I Duchi"

Informazioni sulle minacce e obiettivi aziendali

Le informazioni sulle minacce hanno sempre uno scopo : informare il processo decisionale e guidare l'azione. Tuttavia, non è raro che le aziende abbiano difficoltà a determinare il valore dei loro team, processi e strumenti di threat intelligence. La terminologia dell'intelligence sulle minacce di solito non è compatibile con il lessico aziendale, il che porta a fraintendimenti circa il suo scopo e il suo valore.

Le aziende possono contribuire a ricavare valore dai loro programmi di intelligence allineandoli a un insieme generico di priorità di macrolivello, come si può vedere qui di seguito (non esaustivo):

Crescita dei ricavi

Riduzione delle spese

Ridurre e mitigare il rischio

Soddisfazione e fidelizzazione dei clienti

Soddisfazione e fidelizzazione dei dipendenti

Conformità-regolamentazione

Una volta che il team di intelligence sulle minacce comprende gli obiettivi aziendali, può allineare le operazioni e gli sforzi per supportare l'azienda. Non tutte le priorità aziendali si allineeranno perfettamente con le capacità di threat intelligence, e questo va bene. È possibile sviluppare granularità e sfumature man mano che si costruiscono i requisiti. Ecco alcuni obiettivi di partenza per qualsiasi team di threat intelligence:

Ridurre le spese relative a frodi e crimini informatici

Collaborare con il team Frodi per determinare i 3-5 principali tipi di frode e chiedere quali informazioni li aiuterebbero a rilevarli e prevenirli in futuro?

Prevenire la perdita di dati

Che cosa rivela l'analisi dei biglietti di incidente sulla natura e sul tipo di dati presi di mira nei precedenti eventi di violazione dei dati?
Quali vulnerabilità sono state sfruttate e con quali mezzi?

Proteggere le informazioni personali

Quali sistemi memorizzano le PII e come le vulnerabilità di questi sistemi si allineano ai vettori di sfruttamento conosciuti?

Ridurre il rischio d'impresa

Le TI possono concentrarsi sulla riduzione del rischio dovuto alla perdita di dati e alle minacce esterne, identificando gli attori e ricavando informazioni sulle minacce esterne che colpiscono il loro settore, assicurando che le tecniche e i meccanismi di rilevamento siano in atto e in grado di catturare queste minacce.

Evoluzione dell'intelligence delle minacce

L'intelligence sulle minacce continuerà a evolversi e a essere una funzione chiave per la sicurezza. L'integrazione delle informazioni tattiche, operative e strategiche sulle minacce fornirà informazioni preziose sui CIO e sulle metodologie degli attori delle minacce. Questo porterà ad ambienti più sicuri in cui è possibile identificare gli avversari. Un numero crescente di organizzazioni del settore pubblico e privato sta utilizzando la cyber threat intelligence. Una recente ricerca pubblicata dal Ponemon Institute ha rivelato che l'80% delle organizzazioni la sta utilizzando e che una percentuale ancora più alta la considera critica.

Le organizzazioni che utilizzano la cyber threat intelligence stanno affrontando numerose sfide di sicurezza. Rilevano e rispondono alle minacce avanzate. Prevengono le violazioni dei dati e proteggono le informazioni sensibili. Riducono i costi della criminalità informatica e delle frodi. E soprattutto, riducono il rischio aziendale complessivo.

Per saperne di più sull'intelligence delle minacce

Le informazioni contenute in questa pagina dovrebbero fornire una solida comprensione di cosa sia l'intelligence sulle minacce informatiche e del suo valore. Tuttavia, si tratta solo di un punto di partenza. Oltre a queste informazioni, Anomali fornisce numerose risorse che possono aiutarvi a prendere una decisione intelligente sul perché aggiungere funzionalità di cyber threat intelligence al vostro stack di sicurezza e su come integrarle con il minimo attrito.