Che cos'è l'intelligence sulle minacce?

L'intelligence sulle minacce è una conoscenza basata su prove di una minaccia o di un pericolo esistente o emergente per le risorse, che può essere utilizzata per informare le decisioni riguardanti la risposta del soggetto a tale minaccia o pericolo.

Introduzione all'intelligence delle minacce

L'intelligence sulle minacce informatiche è un sottoinsieme dell'intelligence incentrato sulla sicurezza delle informazioni. Queste informazioni curate hanno lo scopo di aiutarvi a prendere decisioni migliori su come difendere voi stessi e la vostra azienda dalle minacce informatiche. Alcune delle domande a cui l'intelligence sulle minacce può rispondere sono:

Chi sono i miei avversari e come potrebbero attaccarmi?
In che modo i vettori di attacco influenzano la sicurezza della mia azienda?
A cosa devono prestare attenzione i team operativi di sicurezza?
Come posso ridurre il rischio di un attacco informatico contro la mia azienda?

"L'intelligence sulle minacce è una conoscenza basata su prove, inclusi il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli praticabili, su una minaccia o un pericolo esistente o emergente per gli asset, che può essere utilizzata per informare le decisioni relative alla risposta del soggetto a tale minaccia o pericolo".

Definizione di intelligence sulle minacce di Gartner

Livelli di intelligence sulle minacce

L'intelligence sulle minacce informatiche è generalmente considerata a tre livelli:

Strategico: rispondere al "chi" e al "perché".
Operativo: Rispondere al come e al dove
Tattica: Rispondere al cosa

L'utilizzo di ciascuna istanza di intelligence è importante perché svolge funzioni diverse. Gli analisti che sfruttano la somma delle conoscenze di questi tre tipi di intelligence sono in grado di determinare meglio quali soluzioni di sicurezza utilizzare, come sfruttarle e come rispondere in modo proattivo e reattivo alle minacce.

Strategico
Chi?
Perché?
Lungo (pluriennale)
Non tecnico
Grandi campagne, gruppi, intrusioni con più vittime (e informazioni operative)
Scritti di lunga durata sulla vittimologia, sulla metodologia YoY, sulla mappatura delle intrusioni e delle campagne rispetto a conflitti, eventi e pressioni geopolitiche.
Operativo
Come? Dove?
Medio (un anno+)
Misto
Intere famiglie di malware, gruppi di minacce, analisi del comportamento umano (e informazioni tattiche)
Scrittura breve, elenchi puntati, su: tecniche di persistenza e comunicazione, vittime, profili di gruppi, profili di famiglie, descrizioni di TTP, fattori scatenanti, schemi e regole metodologiche.
Tattico
Cosa?
Breve (mesi)
Tecnica
Eventi di sicurezza, singoli campioni di malware, e-mail di phishing, infrastrutture di attacco.
Indicatori atomici e leggibili dalla macchina come IP, domini, IOC, "firme".

Informazioni tattiche sulle minacce

L'intelligence tattica sulle minacce è la forma più elementare di intelligence sulle minacce. Si tratta dei comuni indicatori di compromissione (IOC). Le informazioni tattiche sono spesso utilizzate per il rilevamento delle minacce da macchina a macchina e per la ricerca di artefatti specifici nelle reti aziendali da parte dei soccorritori.

Utilizzo di informazioni tattiche sulle minacce

Le informazioni tattiche sulle minacce e i CIO hanno lo scopo di documentare storicamente gli attacchi informatici, servendo sia come corpus di prove (per la conformità, l'applicazione della legge, le indagini, gli scopi legali, ecc.

I CIO vengono forniti agli analisti per servire come esempi di una particolare minaccia, come un campione di malware, una famiglia di malware, una campagna di intrusione o un attore pericoloso. Gli analisti possono arricchire gli avvisi delle soluzioni di sicurezza con informazioni tattiche sulle minacce per fornire un contesto più ampio e determinare quali minacce meritano di essere prese in considerazione e quali possono essere tranquillamente ignorate.

Informazioni tattiche sulle minacce per APT29

628d4f33bd604203d25dbc6a5bb35b90
2aabd78ef11926d7b562fd0d91e68ad3
3d3363598f87c78826c859077606e514
meek-reflect.appspot.com
portal.sbn.co.th
202.28.231.44
hxxps://files.counseling[.]org/eFax/incoming/150721/5442.zip
googleService.exe
GoogleUpdate.exe
acrotray.exe
PCI\VEN_80EE&DEV_CAF

Informazioni tattiche sulle minacce per il settore dell'istruzione

d9b7b0eda8bd28e8934c5929834e5006
supporto@securitygrade[.]org
46.244.4.37

Informazioni sulle minacce operative

L'intelligence operativa sulle minacce fornisce informazioni sulle metodologie degli attori ed espone i rischi potenziali. Alimentano programmi di rilevamento, risposta agli incidenti e caccia più significativi. Mentre l'intelligence tattica sulle minacce fornisce agli analisti un contesto sulle minacce già note, l'intelligence operativa avvicina le indagini alla scoperta di minacce completamente nuove.

Questo tipo di intelligence è usato più frequentemente dagli investigatori forensi e dai risponditori agli incidenti e comprende in genere i seguenti tipi di elementi:

Strumenti per gruppi di minacce particolari (utility, famiglie di backdoor, infrastrutture comuni)
Tattiche, tecniche e procedure (TTP) per particolari gruppi di minacce (directory di staging, convenzioni di denominazione dei file, porte, protocolli, tipi di file preferiti).
TTP emergenti (nuovi metodi di persistenza, exploit, schemi di phishing)

Considerate quanto segue dal punto di vista della risposta agli incidenti: Se si sta rispondendo a un evento di intrusione, ci si può chiedere come un particolare attore esegua l'escalation dei privilegi, il movimento laterale o il furto di dati. Se siete a caccia di attività dannose non scoperte, potreste iniziare la vostra caccia cercando il comportamento di un attore specifico. Qualunque sia lo scenario, è necessario rispondere alla domanda "Come si cerca questo attore nel proprio ambiente?".

Utilizzo dell'intelligence operativa sulle minacce

L'intelligence operativa sulle minacce è la conoscenza acquisita esaminando i dettagli degli attacchi noti. Un analista può costruire un quadro solido della metodologia degli attori mettendo insieme indicatori e artefatti tattici e ricavandoli dall'intelligence operativa. Questo può aiutare a raggiungere una serie di obiettivi difensivi, come il miglioramento dei piani di risposta agli incidenti e delle tecniche di mitigazione per gli attacchi e gli incidenti futuri.

Gli analisti possono anche implementare e rafforzare un programma di rilevamento proattivo ("programma di caccia") per identificare file e attività sospette che hanno eluso le tecnologie di sicurezza tradizionali. Da qui possono sviluppare metodologie di rilevamento che non dipendono dai CIO, garantendo una copertura più ampia delle minacce in modo più tempestivo.

Esempi di intelligence operativa sulle minacce

Esempio di intelligence sulle minacce operative per APT29
Vettore di infezione preferito: spear phishing con RAR autoestraente
Famiglie di malware di prima fase: COZYCAR, SWIFTKICK, TADPOLE
Famiglie di malware di seconda fase: SEADADDY, MINIDIONIS, SPIKERUSH
Tecniche di persistenza
  • Attività programmate per la maggior parte delle backdoor
  • WMI tramite installazione manuale per le backdoor che non hanno la persistenza incorporata
  • Sostituzione legittima del file di segnalazione degli errori di Windows (wermgr.exe)
Uso della RPT per C2
Uso di Google Docs per C2
Utilizzo di Google Cloud Apps per l'inoltro di C2 (come proxy)
Utilizzo di richieste HTTP POST su 443 per C2
Utilizzo di backdoor configurate per le porte 1, 80, 443, 3389 per C2
Utilizzo di script PowerShell
Uso di Py2Exe per modificare e ricompilare le backdoor con variazioni nei protocolli C2 e nell'infrastruttura C2.
Esempio di intelligence operativa sulle minacce per il settore dell'istruzione
I vettori di attacco più comuni sono lo spear phishing, i watering hole e l'SQL injection.
Spear phishing di professori universitari specializzati nell'integrazione delle nuove tecnologie nelle classi
Spear phishing a reclutatori e persone coinvolte in processi di assunzione
Gli attacchi più comuni sono lo spear-phishing e l'SQL injection (SQLi).
Famiglie di malware comuni: PISCES, SOGU, LOGJAM, COBALT, COATHOOK, POISONIVY, NJRAT, NETWIRE
Famiglie di pentesting comuni: Meterpreter, PowerShell Empire, Metasploit Framework
Utilizzo di Dropbox per C2
Uso di HTTPS e di protocolli TCP personalizzati per C2
Uso dei domini di primo livello .ru e .su per i domini C2
Utilizzo di yandex.ru e bk.ru per gli indirizzi e-mail
Furto di database contenenti nomi di studenti, credenziali amministrative, informazioni di fatturazione, numeri di previdenza sociale e altre informazioni personali.

Informazioni strategiche sulle minacce

L'intelligence strategica sulle minacce fornisce una visione d'insieme di come le minacce e gli attacchi cambiano nel tempo. L'intelligence strategica sulle minacce può essere in grado di identificare tendenze storiche, motivazioni o attribuzioni su chi si cela dietro un attacco. Conoscere il chi e il perché degli avversari fornisce anche indizi sulle loro operazioni e tattiche future. Ciò rende l'intelligence strategica un solido punto di partenza per decidere quali misure difensive saranno più efficaci.

L'intelligence strategica sulle minacce potrebbe includere informazioni sulle seguenti aree tematiche:

Attribuzione delle intrusioni e delle violazioni dei dati
Tendenze del gruppo di attori
Tendenze mirate per settori industriali e aree geografiche
Mappatura degli attacchi informatici in relazione ai conflitti e agli eventi geopolitici (Mar Cinese Meridionale, Primavera Araba, Russia-Ucraina).
Statistiche globali su violazioni, malware e furti di informazioni
Il TTP dell'aggressore principale cambia nel tempo

Utilizzo di informazioni strategiche sulle minacce

Le informazioni strategiche sulle minacce si basano su un enorme corpus di conoscenze e comprendono opinioni e intuizioni di esperti che si basano sull'aggregazione di informazioni sulle minacce operative e tattiche provenienti da attacchi informatici noti. Questa intelligence è particolarmente utile per chi ricopre ruoli di leadership, come i CISO e i dirigenti, che devono giustificare i budget e prendere decisioni di investimento più informate. Alcuni usi dell'intelligence strategica sulle minacce includono:

Informate la vostra leadership esecutiva sugli attori ad alto rischio, sugli scenari di rischio rilevanti e sull'esposizione alle minacce nella sfera tecnologica rivolta al pubblico e nel sottosuolo criminale.
Eseguire un'analisi approfondita dei rischi e una revisione dell'intera catena di fornitura tecnologica.
Scoprite quali iniziative commerciali, fornitori, aziende partner e prodotti tecnologici hanno maggiori probabilità di aumentare o ridurre il rischio per il vostro ambiente aziendale.

Esempi di intelligence strategica sulle minacce

Informazioni strategiche sulle minacce per APT29
L'APT29 è un attore con sede in Russia che di solito si dedica allo spionaggio informatico con lo scopo di rubare dati.
Le vittime dell'APT29 includono molte organizzazioni globali nei settori del governo, dell'istruzione, dell'alta tecnologia, della finanza, del no-profit, del settore farmaceutico e della base industriale della difesa.
L'APT29 è un gruppo adattabile e sofisticato, in grado di sviluppare strumenti di attacco personalizzati, un'infrastruttura di comando e controllo contorta e, a differenza dei comportamenti storici degli attori russi sponsorizzati dallo Stato, ha l'audacia di continuare a operare molto tempo dopo essere stato individuato.
L'APT29 è stato storicamente incaricato di perseguire operazioni relative a questioni di politica governativa estera, in particolare quelle riguardanti il conflitto tra Russia e Ucraina. Inoltre, il gruppo ha preso di mira diverse agenzie governative nazionali occidentali, appaltatori della difesa e del governo e istituzioni accademiche.
Informazioni strategiche sulle minacce per il settore dell'istruzione
L'infrastruttura informatica dell'istruzione ha una base di utenti diversificata ed è quindi tipicamente composta da una miriade di sistemi operativi, tipi di computer, software e tonnellate di server e siti web accessibili pubblicamente da Internet. Ciò rende le università e le strutture di ricerca accademiche obiettivi primari per gli aggressori, sia come luoghi da cui rubare dati preziosi sia come punti di appoggio per ulteriori operazioni di intrusione.
Il settore dell'istruzione continuerà a vedere attività di spionaggio informatico nel prossimo futuro. Ci aspettiamo che gli attori delle minacce provenienti da Cina, Russia, Iran e altri Paesi conducano operazioni di spionaggio per il furto di dati, informazioni commerciali, intelligence economica e monitoraggio della diaspora.
Diversi gruppi sono stati osservati mentre conducevano operazioni di intrusione che hanno colpito istituzioni accademiche, tra cui università e centri di ricerca:
  • APT10 alias "Gruppo MenuPass"
  • APT22, alias "Squadra Baristi".
  • APT29, alias "I Duchi"

Informazioni sulle minacce e obiettivi aziendali

Le informazioni sulle minacce hanno sempre uno scopo : informare il processo decisionale e guidare l'azione. Tuttavia, non è raro che le aziende abbiano difficoltà a determinare il valore dei loro team, processi e strumenti di threat intelligence. La terminologia dell'intelligence sulle minacce di solito non è compatibile con il lessico aziendale, il che porta a fraintendimenti circa il suo scopo e il suo valore.

Le aziende possono contribuire a ricavare valore dai loro programmi di intelligence allineandoli a un insieme generico di priorità di macrolivello, come si può vedere qui di seguito (non esaustivo):

Crescita dei ricavi
Riduzione delle spese
Ridurre e mitigare il rischio
Soddisfazione e fidelizzazione dei clienti
Soddisfazione e fidelizzazione dei dipendenti
Conformità-regolamentazione

Una volta che il team di intelligence sulle minacce comprende gli obiettivi aziendali, può allineare le operazioni e gli sforzi per supportare l'azienda. Non tutte le priorità aziendali si allineeranno perfettamente con le capacità di threat intelligence, e questo va bene. È possibile sviluppare granularità e sfumature man mano che si costruiscono i requisiti. Ecco alcuni obiettivi di partenza per qualsiasi team di threat intelligence:

Ridurre le spese relative a frodi e crimini informatici
  • Collaborare con il team Frodi per determinare i 3-5 principali tipi di frode e chiedere quali informazioni li aiuterebbero a rilevarli e prevenirli in futuro?
Prevenire la perdita di dati
  • Che cosa rivela l'analisi dei biglietti di incidente sulla natura e sul tipo di dati presi di mira nei precedenti eventi di violazione dei dati?
  • Quali vulnerabilità sono state sfruttate e con quali mezzi?
Proteggere le informazioni personali
  • Quali sistemi memorizzano le PII e come le vulnerabilità di questi sistemi si allineano ai vettori di sfruttamento conosciuti?
Ridurre il rischio d'impresa
  • Le TI possono concentrarsi sulla riduzione del rischio dovuto alla perdita di dati e alle minacce esterne, identificando gli attori e ricavando informazioni sulle minacce esterne che colpiscono il loro settore, assicurando che le tecniche e i meccanismi di rilevamento siano in atto e in grado di catturare queste minacce.

Evoluzione dell'intelligence delle minacce

L'intelligence sulle minacce continuerà a evolversi e a essere una funzione chiave per la sicurezza. L'integrazione delle informazioni tattiche, operative e strategiche sulle minacce fornirà informazioni preziose sui CIO e sulle metodologie degli attori delle minacce. Questo porterà ad ambienti più sicuri in cui è possibile identificare gli avversari. Un numero crescente di organizzazioni del settore pubblico e privato sta utilizzando la cyber threat intelligence. Una recente ricerca pubblicata dal Ponemon Institute ha rivelato che l'80% delle organizzazioni la sta utilizzando e che una percentuale ancora più alta la considera critica.

Le organizzazioni che utilizzano la cyber threat intelligence stanno affrontando numerose sfide di sicurezza. Rilevano e rispondono alle minacce avanzate. Prevengono le violazioni dei dati e proteggono le informazioni sensibili. Riducono i costi della criminalità informatica e delle frodi. E soprattutto, riducono il rischio aziendale complessivo.