
Introduzione all'intelligence delle minacce
L'intelligence sulle minacce informatiche è un sottoinsieme dell'intelligence incentrato sulla sicurezza delle informazioni. Queste informazioni curate hanno lo scopo di aiutarvi a prendere decisioni migliori su come difendere voi stessi e la vostra azienda dalle minacce informatiche. Alcune delle domande a cui l'intelligence sulle minacce può rispondere sono:
"L'intelligence sulle minacce è una conoscenza basata su prove, inclusi il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli praticabili, su una minaccia o un pericolo esistente o emergente per gli asset, che può essere utilizzata per informare le decisioni relative alla risposta del soggetto a tale minaccia o pericolo".
Livelli di intelligence sulle minacce
L'intelligence sulle minacce informatiche è generalmente considerata a tre livelli:
L'utilizzo di ciascuna istanza di intelligence è importante perché svolge funzioni diverse. Gli analisti che sfruttano la somma delle conoscenze di questi tre tipi di intelligence sono in grado di determinare meglio quali soluzioni di sicurezza utilizzare, come sfruttarle e come rispondere in modo proattivo e reattivo alle minacce.
Perché?
Informazioni tattiche sulle minacce
L'intelligence tattica sulle minacce è la forma più elementare di intelligence sulle minacce. Si tratta dei comuni indicatori di compromissione (IOC). Le informazioni tattiche sono spesso utilizzate per il rilevamento delle minacce da macchina a macchina e per la ricerca di artefatti specifici nelle reti aziendali da parte dei soccorritori.
Utilizzo di informazioni tattiche sulle minacce
Le informazioni tattiche sulle minacce e i CIO hanno lo scopo di documentare storicamente gli attacchi informatici, servendo sia come corpus di prove (per la conformità, l'applicazione della legge, le indagini, gli scopi legali, ecc.
I CIO vengono forniti agli analisti per servire come esempi di una particolare minaccia, come un campione di malware, una famiglia di malware, una campagna di intrusione o un attore pericoloso. Gli analisti possono arricchire gli avvisi delle soluzioni di sicurezza con informazioni tattiche sulle minacce per fornire un contesto più ampio e determinare quali minacce meritano di essere prese in considerazione e quali possono essere tranquillamente ignorate.
Informazioni tattiche sulle minacce per APT29
Informazioni tattiche sulle minacce per il settore dell'istruzione
Informazioni sulle minacce operative
L'intelligence operativa sulle minacce fornisce informazioni sulle metodologie degli attori ed espone i rischi potenziali. Alimentano programmi di rilevamento, risposta agli incidenti e caccia più significativi. Mentre l'intelligence tattica sulle minacce fornisce agli analisti un contesto sulle minacce già note, l'intelligence operativa avvicina le indagini alla scoperta di minacce completamente nuove.
Questo tipo di intelligence è usato più frequentemente dagli investigatori forensi e dai risponditori agli incidenti e comprende in genere i seguenti tipi di elementi:
Considerate quanto segue dal punto di vista della risposta agli incidenti: Se si sta rispondendo a un evento di intrusione, ci si può chiedere come un particolare attore esegua l'escalation dei privilegi, il movimento laterale o il furto di dati. Se siete a caccia di attività dannose non scoperte, potreste iniziare la vostra caccia cercando il comportamento di un attore specifico. Qualunque sia lo scenario, è necessario rispondere alla domanda "Come si cerca questo attore nel proprio ambiente?".
Utilizzo dell'intelligence operativa sulle minacce
L'intelligence operativa sulle minacce è la conoscenza acquisita esaminando i dettagli degli attacchi noti. Un analista può costruire un quadro solido della metodologia degli attori mettendo insieme indicatori e artefatti tattici e ricavandoli dall'intelligence operativa. Questo può aiutare a raggiungere una serie di obiettivi difensivi, come il miglioramento dei piani di risposta agli incidenti e delle tecniche di mitigazione per gli attacchi e gli incidenti futuri.
Gli analisti possono anche implementare e rafforzare un programma di rilevamento proattivo ("programma di caccia") per identificare file e attività sospette che hanno eluso le tecnologie di sicurezza tradizionali. Da qui possono sviluppare metodologie di rilevamento che non dipendono dai CIO, garantendo una copertura più ampia delle minacce in modo più tempestivo.
Esempi di intelligence operativa sulle minacce
- Attività programmate per la maggior parte delle backdoor
- WMI tramite installazione manuale per le backdoor che non hanno la persistenza incorporata
- Sostituzione legittima del file di segnalazione degli errori di Windows (wermgr.exe)
Informazioni strategiche sulle minacce
L'intelligence strategica sulle minacce fornisce una visione d'insieme di come le minacce e gli attacchi cambiano nel tempo. L'intelligence strategica sulle minacce può essere in grado di identificare tendenze storiche, motivazioni o attribuzioni su chi si cela dietro un attacco. Conoscere il chi e il perché degli avversari fornisce anche indizi sulle loro operazioni e tattiche future. Ciò rende l'intelligence strategica un solido punto di partenza per decidere quali misure difensive saranno più efficaci.
L'intelligence strategica sulle minacce potrebbe includere informazioni sulle seguenti aree tematiche:
Utilizzo di informazioni strategiche sulle minacce
Le informazioni strategiche sulle minacce si basano su un enorme corpus di conoscenze e comprendono opinioni e intuizioni di esperti che si basano sull'aggregazione di informazioni sulle minacce operative e tattiche provenienti da attacchi informatici noti. Questa intelligence è particolarmente utile per chi ricopre ruoli di leadership, come i CISO e i dirigenti, che devono giustificare i budget e prendere decisioni di investimento più informate. Alcuni usi dell'intelligence strategica sulle minacce includono:
Esempi di intelligence strategica sulle minacce
- APT10 alias "Gruppo MenuPass"
- APT22, alias "Squadra Baristi".
- APT29, alias "I Duchi"
Informazioni sulle minacce e obiettivi aziendali
Le informazioni sulle minacce hanno sempre uno scopo : informare il processo decisionale e guidare l'azione. Tuttavia, non è raro che le aziende abbiano difficoltà a determinare il valore dei loro team, processi e strumenti di threat intelligence. La terminologia dell'intelligence sulle minacce di solito non è compatibile con il lessico aziendale, il che porta a fraintendimenti circa il suo scopo e il suo valore.
Le aziende possono contribuire a ricavare valore dai loro programmi di intelligence allineandoli a un insieme generico di priorità di macrolivello, come si può vedere qui di seguito (non esaustivo):
Una volta che il team di intelligence sulle minacce comprende gli obiettivi aziendali, può allineare le operazioni e gli sforzi per supportare l'azienda. Non tutte le priorità aziendali si allineeranno perfettamente con le capacità di threat intelligence, e questo va bene. È possibile sviluppare granularità e sfumature man mano che si costruiscono i requisiti. Ecco alcuni obiettivi di partenza per qualsiasi team di threat intelligence:
- Collaborare con il team Frodi per determinare i 3-5 principali tipi di frode e chiedere quali informazioni li aiuterebbero a rilevarli e prevenirli in futuro?
- Che cosa rivela l'analisi dei biglietti di incidente sulla natura e sul tipo di dati presi di mira nei precedenti eventi di violazione dei dati?
- Quali vulnerabilità sono state sfruttate e con quali mezzi?
- Quali sistemi memorizzano le PII e come le vulnerabilità di questi sistemi si allineano ai vettori di sfruttamento conosciuti?
- Le TI possono concentrarsi sulla riduzione del rischio dovuto alla perdita di dati e alle minacce esterne, identificando gli attori e ricavando informazioni sulle minacce esterne che colpiscono il loro settore, assicurando che le tecniche e i meccanismi di rilevamento siano in atto e in grado di catturare queste minacce.
Evoluzione dell'intelligence delle minacce
L'intelligence sulle minacce continuerà a evolversi e a essere una funzione chiave per la sicurezza. L'integrazione delle informazioni tattiche, operative e strategiche sulle minacce fornirà informazioni preziose sui CIO e sulle metodologie degli attori delle minacce. Questo porterà ad ambienti più sicuri in cui è possibile identificare gli avversari. Un numero crescente di organizzazioni del settore pubblico e privato sta utilizzando la cyber threat intelligence. Una recente ricerca pubblicata dal Ponemon Institute ha rivelato che l'80% delle organizzazioni la sta utilizzando e che una percentuale ancora più alta la considera critica.
Le organizzazioni che utilizzano la cyber threat intelligence stanno affrontando numerose sfide di sicurezza. Rilevano e rispondono alle minacce avanzate. Prevengono le violazioni dei dati e proteggono le informazioni sensibili. Riducono i costi della criminalità informatica e delle frodi. E soprattutto, riducono il rischio aziendale complessivo.