Cos’è la cyber threat intelligence

La nuova disciplina della sicurezza informatica punta sulle informazioni e la prevenzione

Negli ultimi anni si sta affermando una nuova branca della cybersicurezza, che in inglese viene chiamata cyber threat intelligence e che potremmo tradurre come “servizi di informazione strategica sulle minacce informatiche”. Sotto questo nome vengono riuniti strumenti, teorie e tecniche di sicurezza informatica dedicati alla raccolta di informazioni sulle minacce e alla prevenzione degli attacchi. La cyber intelligence utilizza il linguaggio tipico della guerra e dello spionaggio, ci parla di avversari, attacchi, tattiche e armi, ma anche di servizi di controspionaggio, reti di informazioni condivise e alleanze tra i possibili bersagli degli attacchi.

In questo post non ci occuperemo delle risorse di intelligence per le grandi aziende, ma daremo una definizione di cyber threat intelligence, spiegheremo cos’è e come può essere applicata a piccole imprese e singoli individui, come liberi professionisti o utenti privati.

Perché ormai la guerra digitale coinvolge tutti, dalle multinazionali più grandi al semplice utente di Internet!

Definizione di cyber threat intelligence

Possiamo definirla come l’insieme di teorie, procedure e strumenti per la raccolta e la condivisione di informazioni sulle minacce informatiche, da utilizzare per creare strategie preventive, tattiche di intervento e sistemi di monitoraggio. Questa definizione è volutamente complessa (ma non complicata), perché deve rispecchiare la ricchezza degli elementi che compongono i processi di CTI (cyber threat intelligence).

Questi processi sono nati perché le minacce informatiche sono aumentate di numero e in complessità, e i possibili bersagli hanno bisogno di difese più efficaci e preventive. Così, la CTI si posiziona un passo prima rispetto ai sistemi di sicurezza veri e propri, per aiutare le persone a ridurre i rischi di attacchi informatici e limitarne i danni.

Struttura della cyber threat intelligence

Ecco, a grandi linee, la struttura di un processo di CTI applicato a un’azienda o un freelancer:

1. 1. Conoscenza: raccolta delle informazioni > classificazione per ordine di pertinenza e urgenza.
   2. Strategia: definizione delle potenziali minacce > obiettivi strategici.
   3. Tattica: tecniche di attacco > definizione dei punti deboli > definizione delle contromisure.
   4. Operazioni: definizione delle “spie” di attacchi > monitoraggio della sicurezza.

Per capire esattamente di cosa si tratta e come funzionano i processi di cyber threat intelligence, descriveremo un caso di utilizzo da parte di un’ipotetica fotografa freelancer, Marta.

1. Conoscenza e informazioni: l’intelligence vera e propria

I servizi di intelligence governativi – come la CIA e il KGB per intenderci – sono agenzie che si dedicano a raccogliere informazioni strategiche per i propri paesi, che le utilizzano per creare strategie di difesa. Alla nostra Marta non piace la guerra e per la verità non le piacciono neanche i film di spionaggio, però si è resa conto che ha bisogno di un piano per difendere la sua attività di fotografa dai cybercriminali e ha deciso di affidarsi a un processo di CTI.

Per prima cosa, Marta inizia a creare il suo feed di informazioni sui cyber threat (le minacce informatiche). Online si trovano piattaforme a pagamento dedicate a questi feed, ma per una freelancer sono un po’ cari (sono pensati per le grandi aziende), così decide di farlo da sola. Marta seleziona le fonti online e offline che considera attendibili e crea un feed di informazioni provenienti da:

1. 1. • Siti web di cybersicurezza, ad esempio il blog di Panda Cybersecurity.
      • Post e tweet di fonti affidabili sui social media (Facebook, Reddit e così via).
      • Colleghi e altri liberi professionisti come lei.

Ogni settimana, Marta dedica un po’ di tempo a raccogliere informazioni recenti da queste fonti. Le valute e le ordina in base a quanto sono pertinenti per la sua attività e all’urgenza. Ad esempio, la settimana scorsa ha scoperto che un gruppo di hacker sta diffondendo finte raccolte di plugin per i software di editing fotografico che nascondono un potente ransomware. Inoltre, ha letto l’ultimo rapporto Clusit e ha capito che gli attacchi di phishing stanno diventando sempre più numerosi.

2. Piano strategico
Alla luce di queste informazioni raccolte con tecniche di cyber threat intelligence rudimentali ma efficaci, Marta stabilisce che la sua attività è esposta a queste potenziali minacce:

1. 1. • Attacchi ransomware: grave e urgente
      • Phishing: urgente ma poco grave
      • Violazione degli account: non urgente ma continua e grave
      • Sniffing sulle reti pubbliche: non urgente ma continua e abbastanza grave

Ora Marta definisce il suo obiettivo strategico: proteggersi contro gli attacchi ransomware e possibili perdite di dati e account.

3. Tattiche di cybersicurezza
A questo punto, Marta ci ha preso gusto. Comincia a essere più preparata per affrontare eventuali cyber threat e questo la fa sentire più tranquilla. Così, si dispone a scrivere un breve elenco dei suoi punti deboli relativi alle tecniche utilizzate dagli hacker:

1. 1. • Download di malware da siti non affidabili
      • Apertura di allegati fraudolenti di email di phishing e di clienti con computer infetti
      • Intercettazione di dati personali dei clienti quando si connette a reti pubbliche
      • Perdita di dati in seguito ad attacchi ransomware
      • Furto di dati e foto da account violati

Per ognuno di questi punti Marta ha già in mente una soluzione, che ha scoperto indirettamente mentre raccoglieva informazioni (grazie, cyber intelligence!). Ecco le difese schierate da Marta nella sua guerra contro gli hacker:

1. 1. 1. Installare il software di cybersicurezza Panda Dome Premium su Windows e Android
      2. Seguire i nostri consigli sul phishing e fare molta attenzione
      3. Utilizzare una VPN quando si connette dalla rete condivisa del coworking e quelle pubbliche della sua città
      4. Fare una copia di backup di tutti i suoi file su Dropbox e creare un punto di ripristino di Windows.
      5. Creare password sicure e utilizzare lo strumento di gestione delle password di Panda.

4. Monitoraggio della sicurezza
Come abbiamo visto, Marta non se la sente di investire in una suite di software di cyber threat intelligence, per cui non ha a disposizione una vasta gamma di indicatori e tecnologie potenti come il machine learning. Per fortuna, per la sua attività queste funzionalità non sono indispensabili. Forte di ciò che ha imparato durante l’applicazione dei principi di CTI, Marta scrive una breve lista delle operazioni di monitoraggio da eseguire ogni mercoledì:

1. 1. <li

>Scansione completa

1. 1. dei sistemi con Panda Dome e lettura dei rapporti
      • Monitoraggio dello stato di salute di PC, portatile e telefono (consumo della batteria, memoria ecc.) alla ricerca di eventuali sintomi di infezioni e tentativi di attacchi informatici.
      • Controllo degli avvisi e dei messaggi di sicurezza di software e sistemi operativi.

Una volta completato l’elenco, Marta lo stampa e lo appende alla bacheca dello studio. Per un attimo la sfiora l’idea che seguire questo processo nel tempo sia troppo difficile o che non avrà la costanza necessaria. Poi, però, si rende conto che con gli strumenti giusti e dopo aver pianificato razionalmente i passaggi necessari, si tratta di dedicare solo mezz’ora ogni settimana alla sua sicurezza informatica. Mezz’ora non è niente in confronto al tempo, i soldi e la credibilità tra i clienti che potrebbe perdere nel caso di un attacco informatico.

Il lieto fine di Marta

Dopo circa quattro mesi, Marta non ha ancora subito nessun attacco. Una sera si presenta a un incontro di networking e ritrova Andrea, un suo amico e collega che non vede da molto tempo. Mesi prima, parlando di cyber threat intelligence, Andrea le aveva detto che le sue preoccupazioni erano del tutto infondate e l’aveva presa un po’ in giro. Alla fine della serata di networking, Andrea confessa a Marta di avere subito un attacco ransomware e aver dovuto pagare 3000 euro per riavere accesso al suo computer. “Se solo avessi fatto una copia di backup”, le dice Andrea, “Ma chi poteva immaginarlo?”. Per fortuna Andrea si sbaglia. Grazie alla cyber threat intelligence è possibile prevedere dove e come attaccherà il nemico (hacker) e difendersi di conseguenza, proprio come ha fatto Marta.

Se come lei hai una piccola attività e temi per la tua sicurezza informatica, inizia subito a creare il tuo piano di cyber threat intelligence!

Buona navigazione e buona raccolta di informazioni strategiche!