Che cos'è l'intelligence sulle minacce?
L'intelligence sulle minacce è una conoscenza basata sull'evidenza di una minaccia o pericolo esistente o emergente per le risorse che può essere utilizzata per prendere decisioni in merito alla risposta del soggetto a tale minaccia o pericolo.
Introduzione alla threat intelligence
L'intelligence sulle minacce informatiche è un sottoinsieme dell'intelligence incentrato sulla sicurezza delle informazioni. Queste informazioni curate hanno lo scopo di aiutarvi a prendere decisioni migliori su come difendere voi stessi e la vostra azienda dalle minacce informatiche. Alcune delle domande a cui può rispondere la threat intelligence includono:
«L'intelligence sulle minacce è una conoscenza basata sull'evidenza, che include contesto, meccanismi, indicatori, implicazioni e consigli attuabili, su una minaccia o pericolo esistente o emergente per le risorse che può essere utilizzata per prendere decisioni sulla risposta del soggetto a tale minaccia o pericolo».
Livelli di intelligence sulle minacce
L'intelligence sulle minacce informatiche è generalmente vista in tre livelli:
L'utilizzo di ogni istanza di intelligenza è importante perché svolgono funzioni diverse. Gli analisti che sfruttano la conoscenza complessiva di questi tre tipi di intelligence sono in grado di determinare meglio quali soluzioni di sicurezza utilizzare, come sfruttarle e come rispondere in modo proattivo e reattivo alle minacce.type of intelligence is important because they serve different functions. Analysts leveraging the sum knowledge of these three types of intelligence are better able to determine what security solutions to use, how they should be leveraged, and how to proactively and reactively respond to threats.
Perché?
Intelligence tattica sulle minacce
La threat intelligence tattica è la forma più elementare di threat intelligence. Questi sono i comuni indicatori di compromissione (IOC). L'intelligenza tattica viene spesso utilizzata per il rilevamento da macchina a macchina delle minacce e per i soccorritori per cercare artefatti specifici nelle reti aziendali.
Utilizzo dell'intelligence tattica sulle minacce
L'intelligence tattica sulle minacce e gli IOC hanno lo scopo di documentare storicamente gli attacchi informatici, servendo sia come corpus di prove (per conformità, forze dell'ordine, indagini, scopi legali, ecc.) sia come materiale di riferimento per gli analisti per interpretare ed estrarre il contesto da utilizzare nelle operazioni difensive.
Gli IOC vengono forniti agli analisti come esempi di una particolare minaccia, ad esempio un campione di malware, una famiglia di malware, una campagna di intrusione o un attore di minacce. Gli analisti possono arricchire gli avvisi delle soluzioni di sicurezza con informazioni tattiche sulle minacce per fornire più contesto e determinare quali minacce meritano preoccupazione e quali possono essere tranquillamente ignorate.
Intelligenza tattica sulle minacce per APT29
Intelligence tattica sulle minacce per il settore dell'istruzione
Intelligence operativa sulle minacce
L'intelligence operativa sulle minacce fornisce informazioni sulle metodologie degli attori ed espone i potenziali rischi. Promuove programmi di rilevamento, risposta agli incidenti e caccia più significativi. Laddove l'intelligence tattica sulle minacce fornisce agli analisti un contesto sulle minacce già note, l'intelligence operativa avvicina le indagini alla scoperta di minacce completamente nuove.
Questo tipo di intelligence viene utilizzato più frequentemente dagli investigatori forensi e dai soccorritori e in genere include i seguenti tipi di elementi:
Considera quanto segue dal punto di vista della risposta agli incidenti: se stai rispondendo a un evento di intrusione, potresti chiederti come un determinato attore compia l'escalation dei privilegi, il movimento laterale o il furto di dati. Se siete alla ricerca di attività dannose da scoprire, potreste iniziare la ricerca analizzando il comportamento di un attore specifico. Qualunque sia il tuo scenario, devi rispondere alla domanda «Come cerchi questo attore nel tuo ambiente?»
Utilizzo dell'intelligence operativa sulle minacce
L'intelligence operativa sulle minacce è la conoscenza acquisita esaminando i dettagli degli attacchi noti. Un analista può costruire un quadro solido della metodologia degli attori mettendo insieme indicatori e artefatti tattici e ricavandoli in intelligenza operativa. Questo può aiutare a raggiungere una serie di obiettivi difensivi, come il miglioramento dei piani di risposta agli incidenti e delle tecniche di mitigazione per attacchi e incidenti futuri.
Gli analisti possono anche implementare e rafforzare un programma di rilevamento proattivo («programma di caccia») per identificare file e attività sospette che hanno aggirato le tradizionali tecnologie di sicurezza. Da lì possono sviluppare metodologie di rilevamento che non dipendono dagli IOC, garantendo una copertura più ampia delle minacce in modo più tempestivo.
Esempi di intelligence operativa sulle minacce
- Attività pianificate per la maggior parte delle backdoor
- WMI tramite installazione manuale per backdoor che non dispongono di persistenza integrata
- Sostituzione legittima del file di segnalazione errori di Windows (wermgr.exe)
Intelligenza strategica sulle minacce
L'intelligence strategica sulle minacce fornisce un quadro generale di come le minacce e gli attacchi stanno cambiando nel tempo. L'intelligence strategica sulle minacce può essere in grado di identificare tendenze, motivazioni o attribuzioni storiche su chi c'è dietro un attacco. Conoscere chi e perché dei tuoi avversari fornisce anche indizi sulle loro operazioni e tattiche future. Ciò rende l'intelligenza strategica un solido punto di partenza per decidere quali misure difensive saranno più efficaci.
L'intelligence strategica sulle minacce potrebbe includere informazioni sulle seguenti aree tematiche:
Utilizzo dell'intelligence strategica sulle minacce
L'intelligence strategica sulle minacce si basa su un enorme corpus di conoscenze e include opinioni e approfondimenti di esperti basati sull'aggregazione di informazioni sulle minacce operative e tattiche provenienti da attacchi informatici noti. Questa intelligence è particolarmente utile per le persone che ricoprono ruoli di leadership come i CISO e i dirigenti esecutivi, che devono giustificare i budget e prendere decisioni di investimento più informate. Alcuni usi dell'intelligence strategica sulle minacce includono:
Esempi di intelligence strategica sulle minacce
- APT10 alias «MenuPass Group»
- APT22 alias «Barista Team»
- APT29 alias «The Dukes»
Intelligenza sulle minacce e obiettivi aziendali
L'intelligence sulle minacce ha sempre uno scopo — per informare il processo decisionale e guidare l'azione. Tuttavia, non è raro che le aziende abbiano difficoltà a determinare il valore del proprio team, dei processi e degli strumenti di threat intelligence. La terminologia della threat intelligence di solito non è compatibile con il lessico aziendale, il che porta a fraintendimenti circa il suo scopo e il suo valore.
Le aziende possono contribuire a trarre valore dai loro programmi di intelligence allineandoli a una serie generica di priorità a livello macro, come si può vedere di seguito (non esaustivo):
Una volta che il team di threat intelligence ha compreso gli obiettivi aziendali, può allineare le proprie operazioni e gli sforzi per supportare il business. Non tutte le priorità aziendali saranno perfettamente in linea con le funzionalità di threat intelligence, e va bene così. Puoi sviluppare granularità e sfumature man mano che definisci i tuoi requisiti. Ecco alcuni obiettivi iniziali per qualsiasi team di threat intelligence:
- Collabora con il team antifrode per determinare i 3-5 tipi principali di frode e chiedere quali informazioni potrebbero aiutarli a rilevarle e prevenirle in futuro?
- Cosa rivela l'analisi dei ticket per gli incidenti sulla natura e sul tipo di dati presi di mira in precedenti eventi di violazione dei dati?
- Quali vulnerabilità sono state sfruttate e con quali mezzi?
- Quali sistemi archiviano le informazioni personali e in che modo le vulnerabilità di tali sistemi si allineano con i vettori di sfruttamento noti?
- TI può concentrarsi sulla riduzione del rischio dovuto alla perdita di dati e alle minacce esterne identificando gli attori e ricavando informazioni sulle minacce esterne rivolte al proprio settore, assicurando che le tecniche e i meccanismi di rilevamento siano disponibili e in grado di rilevare tali minacce.
Evoluzione dell'intelligence sulle minacce
L'intelligence sulle minacce continuerà a evolversi e sarà una funzione di sicurezza chiave. L'integrazione dell'intelligence sulle minacce tattica, operativa e strategica fornirà informazioni preziose sugli IOC e sulle metodologie degli attori delle minacce. Ciò porterà a ambienti più sicuri in cui potrai identificare i tuoi avversari. Un numero crescente di organizzazioni del settore pubblico e privato utilizza ora l'intelligence sulle minacce informatiche. Una recente ricerca pubblicata dal Ponemon Institute ha rivelato che l'80% delle organizzazioni la utilizza e che una percentuale ancora più elevata la considera fondamentale.
Le organizzazioni che utilizzano l'intelligence sulle minacce informatiche stanno affrontando numerose sfide di sicurezza. Rilevano e rispondono alle minacce avanzate. Stanno prevenendo le violazioni dei dati e proteggendo le informazioni sensibili. Stanno riducendo i costi relativi alla criminalità informatica e alle frodi. Soprattutto, stanno riducendo il rischio aziendale complessivo.
