Cos'è La Cyber Threat Intelligence? Sicurezza Aziendale

La Cyber Intelligence fornisce una visione totale e in tempo reale delle anomalie emergenti contrariamente al precedente approccio ormai datato, basato su firme e regole che diventano obsolete dato che si riferiscono a minacce già individuate (e non in divenire). L’approccio basato sull’Intelligence è il cuore della Cyber Defense di nuova generazione. Oltre a difendere la propria azienda si devono affrontare anche le minacce interne utilizzando un approccio basato sull’Intelligence. Per Intelligence ci si riferisce ad azioni d’indagine che forniscono informazioni per affrontare rischi e minacce specifiche prima che l’avversario prenda il sopravvento. In generale tutti i progressi tecnologici che hanno consentito alle aziende di svilupparsi negli ultimi anni (la digitalizzazione e l’innovazione) sono anche quelli meno sicuri. A volte, gli stessi lavoratori rappresentano una minaccia significativa per l’integrità dei dati aziendali e il loro comportamento, doloso o colposo, aumenta il rischio per l’azienda. Controlli serrati e precauzioni sono utili ma non definitivi, in quanto trovare il modo di aggirarli è sempre possibile. Inoltre un’azienda non può essere soffocata da controlli di sicurezza farraginosi e poco pratici pensando di rimanere più sicura a spese dell’efficienza. Detto in parole povere, il mondo è sempre più basato sulle previsioni.
Per persone, aziende e istituzioni, la rapidità dei mutamenti sociali richiede competenze per anticipare gli eventi, perché chi conosce prima ha un vantaggio rispetto agli altri.
Nell’era delle tecnologie, dunque, c’è sempre maggiore bisogno dell’intelligenza umana, poiché gli algoritmi non sempre hanno ragione e anzi a volte possono risultare fuorvianti.
I Big Data ad esempio costituiscono senza dubbio uno strumento di grande utilità per gli scopi dell’Intelligence.


INTELLIGENCE O SICUREZZA INFORMATICA?
Le aziende non sono mai completamente al sicuro da minacce, inoltre ogni attacco subito compromette il nome dell'azienda, facendo diminuire la credibilità dei clienti e degli azionisti.
Queste problematiche richiedono tecniche orientate più sull’Intelligence che sulla sicurezza.
Mentre la sicurezza informatica presuppone che le misure di difesa debbano funzionare il 100% delle volte, la Cyber Intelligence fornisce suggerimenti, basati su prove, che indirizzano il processo decisionale. Cioè vengono suggeriti accorgimenti in base alla situazione che possono far propendere da un lato o da un altro. Come si sa, su internet si trovano avanzati strumenti di attacco pronti all’uso (software malevoli, botnet, backdoor, keylogger) e questo dimostra come sia banale infiltrarsi in un’azienda. Una volta infiltratisi, gli attacchi hanno luogo in forma anonima rendendoli difficili da individuare perché in incognito e effettuati con cautela. Un aggressore potrebbe usare le credenziali di accesso di un dipendente per passare inosservato. Questo approccio rende estremamente difficile distinguere fra un’attività lecita e quella di un malintenzionato intento a fare danni.
Essere riconosciuti come utenti regolari permette di muoversi indisturbati nell'azienda.
Un attacco di tipo avanzato può restare nascosto nella rete per giorni, settimane o mesi di fila rimanendo pazientemente inattivo nella rete aziendale in modo da renderne l’individuazione più difficile. Durante questo lasso di tempo l’aggressore si fa un’idea dell’architettura della rete e stabilisce come muoversi su di essa per portare a termine l’attacco mirato. Per porsi al riparo da eventuali intercettazioni l’aggressore cercherà di compromettere più dispositivi e server presenti sulla rete.
Chi attacca è spesso capace di muoversi su una rete per capire quali siano gli strumenti usati per intercettarlo; questo gli permette di muoversi in modo sufficientemente invisibile per evitare di essere scoperto dai tipici sistemi che basano il loro funzionamento su un insieme di regole.
La sicurezza informatica totale non esiste. Inoltre in un’epoca in cui le minacce sono innumerevoli e in continua evoluzione analizzare i problemi di ieri non garantisce la difesa da quelli di domani.
Gli aggressori di oggi utilizzano tecniche e strategie in continua evoluzione per rimanere nascosti a lungo nei vostri sistemi.


CYBER INTELLIGENCE PER LE ANOMALIE
Avendo la conoscenza delle attività aziendali è possibile usare nuove tecnologie per analizzarle ed avere una chiara visione di quale sia la normalità. Il Machine Learning ha reso possibile questo approccio, usando una tecnologia che evidenzia anomalie su base probabilistica in tempo reale (cioè monitora la vostra rete e segnala eventuali anomalie quindi il discostamento dalla situazione "ideale" o normale). Le anomalie o le deviazioni da ciò che è stato identificato come normale sui sistemi, le reti e gli utenti devono essere autentiche e basate sulla comprensione dinamica dell’ambiente circostante.
Un comportamento difforme spesso può essere affrontato in modo appropriato, ma solo se rilevato nelle sue fasi iniziali. Queste tecniche d’Intelligence aiutano a conoscere l’ambiente digitale aziendale così com’è per prendere le corrette decisioni. Le vulnerabilità interne sono fonte di problemi che richiedono una valutazione continua. Bisogna cercare di capire dove concentrare l’attenzione e stabilire in tempo reale le priorità per la Cyber Defense. Gli addetti della sicurezza devono essere in grado di affinare la conoscenza delle minacce in modo che abbiano senso in un contesto aziendale invece di perdere tempo ad analizzare migliaia di falsi positivi (cioè allarmi inutili).
Per Threat Intelligence ci si riferisce alla raccolta e condivisione di informazioni su minacce note.
In altre parole si fa riferimento ad un database da confrontare con gli allarmi di sicurezza rilevati in un’azienda, i log e altri dati per capire se quanto rilevato è una minaccia oppure no.
Se quanto rilevato è riconducibile alle informazioni contenute nella Threat Intelligence ciò può essere usato per proteggere l’azienda da attacchi simili ancora in circolazione. Il limite è subito evidente: condividere informazioni riconducibili ad attacchi già avvenuti non aiuta le aziende a difendersi dai nuovi attacchi di domani. Affinché questo funzioni è necessario che almeno un’azienda venga violata da ogni nuovo attacco per poterlo identificare, limitandosi a segnalare gli attacchi già subiti con la speranza che lo stesso si possa ripresentare. Solitamente occorrono alcuni mesi prima che una nuova tipologia di attacco venga inclusa nella Threat Intelligence: nel frattempo la vostra azienda è vulnerabile a quegli attacchi che devono ancora essere scoperti e condivisi dalle loro vittime.
Nella peggiore delle ipotesi è un flusso di dati inutili che distoglie dall’obiettivo principale dell’azienda che è quello di difendersi dai nuovi attacchi, non da quelli già avvenuti.
È di scarso sollievo sapere che la vostra azienda è stata la prima a scoprire, e subire, un nuovo tipo di attacco. La Threat Intelligence deve essere adattata ad ogni singola azienda e controllata da un essere umano per poter prendere le appropriate decisioni nei momenti critici. L’Intelligence migliore è quella che aiuta un essere umano nel processo decisionale, che gli dà la miglior sicurezza nel prendere decisioni corrette. Quindi la vera sicurezza non è quella che identifica le minacce e i metodi di attacco già noti, ma si concentra sulla corretta comprensione di ciò che sta avvenendo in azienda.
La Cyber Intelligence deve guidare nel prendere decisioni quando le infiltrazioni sono nella loro fase iniziale e gestibile, in una finestra temporale che consenta di verificarne l’efficacia ed evitare che la situazione diventi difficile da risolvere.