Condivisione di Threat intelligence

Condivisione di Threat intelligence

L'arma segreta della sicurezza informatica

Chi condivide?

Esistono molti modi per ricavare valore dalla Threat intelligence, sia attraverso una piattaforma di gestione di Threat intelligence completa, ingestione di feed sulle minacce o semplicemente sfruttando le funzioni di Threat intelligence integrate in strumenti per la sicurezza comuni. Uno dei modi meno adottati per trarre vantaggio dalla Threat intelligence è quello di condividere queste informazioni con altri gruppi e organizzazioni, cosa che invece contribuisce a ridurre il tempo di risposta a fronte degli eventi e implementazione di misure preventive.

Le iniziative guidate dai governi e incentrate su settori specifici hanno portato ad un enorme aumento nella condivisione di Threat intelligence tra governi, organizzazioni private e settori industriali. Alcune di queste includono:

Organizzazioni di condivisione

Di che tipo di condivisione si tratta?

Esistono due tipi di condivisione, ciascuno dei quali definito da chi condivide le informazioni.

Condivisione di Threat intelligence unidirezionale - Un'entità produce e condivide Threat intelligence e le mette a disposizione di altre organizzazioni. Coloro i quali ricevono l'intelligence non condividono le loro informazioni in cambio. Fra gli esempi di condivisione di Threat intelligence unidirezionale vi sono:

  • Intelligence open source, che potrebbe comportare l'assimilazione di un feed di intelligence open source o il download di un rapporto disponibile al pubblico che tratta di un attacco recente contenente gli indicatori e i metodi usati.
  • Reports e feed closed source

Condivisione di Threat intelligence bidirezionale - L'intelligence viene condivisa tra i membri di un gruppo per poter essere utilizzata da tutti. Sebbene in questi programmi si consenta e si incoraggi la condivisione, non esiste garanzia che ogni organizzazione condividerà le proprie informazioni.

Condivisione con analisti

Preoccupazioni relative alla condivisione

Nonostante la Threat intelligence sia indubbiamente preziosa, esistono delle preoccupazioni comuni che talvolta impediscono alle organizzazioni di impegnarsi nella condivisione:

  • Preoccupazioni per la privacy e la responsabilità – Si tratta di preoccupazioni superabili attraverso una percezione più accurata della condivisione di intelligence, delle clausole di protezione contenute nei contratti legali, nella legislazione recente o dedicando attenzione a ciò che si condivide.
    • Ripulire i dati da informazioni private o informazioni aziendali sensibili prima di condividerli è sempre una buona idea a prescindere dal tipo di condivisione di cui si tratta.
    • Il Cybersecurity Information Sharing Act of 2015 (CISA) prevede disposizioni per trovare risposte ai dubbi su privacy e responsabilità. Alcune di queste protezioni sono subordinate al rispetto di determinate condizioni. Come sempre, è vivamente consigliata una consulenza legale corretta per comprendere le modalità secondo cui la CISA possa essere applicata a situazioni specifiche.
  • "Non abbiamo niente di prezioso con cui contribuire" – Nessuna organizzazione vede ogni attacco. La condivisione di dettagli apparentemente insignificanti può contribuire a ottenere visibilità e produrre analisi di intelligence più complete dal punto di vista della sorgente.
  • Mancanza di esperienza – Anche se non sei un professionista esperto, l'aggiunta di un contesto qualsiasi, dei dettagli dell'attacco osservato e, se possibile, dell'analisi sviluppata dai membri del personale rappresenta tuttavia un beneficio per la community.
  • Timore di rivelare che un'organizzazione è stata oggetto di hacking – Il timore di condividere i dettagli della violazione in modo più ampio che solo con le entità assolutamente indispensabili è comune, ma può essere superato seguendo le pratiche ottimali durante la condivisione.

Da dove iniziare o come espandere la condivisione di intelligence

Che la tua organizzazione stia già attivamente condividendo intelligence o non abbia ancora iniziato a farlo, ecco alcuni suggerimenti su dove iniziare o modi per aumentare la condivisione già in atto:

  • Strumenti e community – Scegli gli strumenti e le community idonei per condividere Threat intelligence. Fra le opzioni possibili vi sono:
    • Email, che è il punto di partenza più facile
    • Strumenti come STAXX di Anomali, che è una soluzione gratuita offerta da Anomali che supporta la condivisione degli IOCs attraverso STIX e TAXII
    • ISAC e altre organizzazioni del settore, che solitamente prevedono meccanismi per la condivisione
    • Condivisione ad hoc con organi o partner locali in altri settori
    • Utenti di ThreatStream di Anomali che hanno già una soluzione molto robusta per condividere IOCs e altra intelligence con altre organizzazioni o creare le proprie community di condivisione
  • Condividi e contribuisci – La condivisione dei comportamenti degli avversari osservati, di contesto supplementare, degli attacchi visti o di dettagli da risposta all'incidente sono un ottimo punto di partenza. Non preoccuparti se all'inizio non vi è molta analisi aggregata a ciò che condividi.
  • Condividi al di fuori della tua verticale – Cerca opportunità per condividere co organizzazioni al di fuori della tua verticale, incluso organi quali i Fusion Center. Come al solito, è un requisito lavorare a fianco di team legali o avvocati per redigere accordi idonei volti a facilitare la condivisione tra organi.
  • Condividi tecniche di ricerca e difesa – Più condividiamo, più renderemo le cose difficili per i criminali. Prendi in considerazione la condivisione di:
    • Dettagli di ricerca delle minacce quali ricerche, voci di registro specifiche ecc.
    • Tecniche o norme di difesa di successo quali le norme YARA, firme di snorting, norme di Bro e script
  • Condividi i dettagli delle violazioni – Estrarre rapidamente i dettagli potrebbe fare la differenza tra un attacco subito in più e la possibilità di arrestare rapidamente l'attacco. Inoltre, potrebbe offrire maggiore assistenza in termini di intelligence e risposte più rapide alle sfide agli incidenti grazie alle risorse supplementari di altre organizzazioni

Condividere significa preoccuparsi.

La guida definitiva alla condivisione di Threat intelligence

Vuoi saperne di più?

Scarica il whitepaper per saperne di più sulla condivisione al di fuori di verticali di settore, condivisione di informazioni mirate ecc.

Leggi subito