Da sempre la cybersecurity si basa su processi di intelligence che hanno lo scopo di potenziare gli strumenti di sicurezza informatica e contrastare l’intelligence utilizzata dai criminali informatici per creare i malware. Per comprendere il ruolo sempre più importante che la Threat Intelligence avrà nel futuro della sicurezza informatica è necessario analizzare più da vicino come si è evoluta negli ultimi due decenni.
Nei primi anni 2000 abbiamo assistito allo sviluppo di blacklist contenenti indirizzi IP e URL. Queste sono state, con il senno di poi, un’anticipazione di quella che oggi chiamiamo «Threat Intelligence», anche se il concetto vero e proprio di «threat intelligence» non era ancora stato formulato. Le blacklist sono state integrate nei prodotti di sicurezza come Security Information and Event Management (SIEM) e Next Generation Firewall (NGFW) al fine di generare avvisi e report. I ricercatori di sicurezza cercavano, quindi, le minacce «manualmente» e inviavano aggiornamenti quotidiani ai propri clienti.
Dal 2010 in poi, l’esplosione del dark web e delle attività malevole ha evidenziato i limiti di questi controlli di sicurezza che non erano stati concepiti per elaborare un numero così elevato di Indicatori di Compromissione. Negli anni successivi è apparso evidente che questi strumenti da soli non sarebbero stati efficaci nell’identificare ed elaborare decine di milioni (e oltre) di domini malevoli, indirizzi IP e altre minacce personalizzate.
I vendor di sicurezza informatica hanno risposto sfruttando il machine learning e l’Intelligenza Artificiale per automatizzare e correlare i dati su una scala senza precedenti. Sono stati messi in funzione milioni di sensori e i loro data feed hanno raccolto enormi quantità di informazioni che sono state analizzate ed elaborate da strumenti sempre più sofisticati per l’analisi dei big data. I sistemi automatizzati iniziarono ad essere impiegati per eseguire complesse rilevazioni che coprivano tutte le superfici di attacco. Ed è proprio dalla tecnologia dei big data che si è arrivati allo sviluppo del concetto di «threat intelligence».
Nel 2015 abbiamo assistito ad un’altra tappa dell’evoluzione della Threat Intelligence: la realizzazione del ruolo vitale della Human Intelligence nel fornire informazioni sulle minacce. Una conseguenza inaspettata dell’utilizzo del Machine Learning e dell’Intelligenza Artificiale è stato il numero enorme di falsi alert di sicurezza quotidiani. Divenne chiaro che l’Intelligenza Artificiale cosi come gli strumenti per l’analisi dei big data da soli non producevano informazioni utili. Gli esperti di sicurezza hanno cominciato a rivestire un ruolo sempre più cruciale non solo in qualità di supervisori della raccolta di informazioni volte a ridurre i falsi positivi, ma anche come figure fondamentali per migliorare la visibilità sulle minacce e sulle metodologie di attacco specifiche per le diverse tipologie di organizzazioni. Questo ha consentito di velocizzare l’attività di detection and response e dare maggiore enfasi al rilevamento delle vulnerabilità e alla definizione delle priorità.
A partire dal 2018 il settore della «threat intelligence» si è notevolmente ampliato e ha visto l’ingresso sul mercato di centinaia di nuove società di cybersecurity che offrono servizi specifici e mirati e che si concentrano sulla qualità delle fonti da cui vengono presi i dati con l’obiettivo di fornire linee guida rilevanti per le decisioni e le azioni da intraprendere. Inoltre, le organizzazioni che acquistano prodotti e servizi di threat intelligence hanno iniziato a concentrarsi su un’implementazione più efficace, adattando la raccolta dei dati alle specifiche esigenze di sicurezza, dando priorità alle informazioni in modo corretto e stabilendo punti di raccolta dati rilevanti.
Nel 2019 è stato formulato e accettato uno standard di «threat intelligence» riferito ad una fonte di intelligence che fornisca dati rilevanti e mirati in tempo reale. Queste fonti comunicano senza interruzioni con i controlli di sicurezza esistenti all’interno dell’organizzazione per fornire insight unici sulle minacce emergenti e consentire ai team di sicurezza di dare priorità agli alert, massimizzare le risorse e accelerare i processi decisionali.
Cosa possiamo aspettarci dal 2020 in poi? Il mercato della Threat Intelligence sta maturando e, in termini di dimensioni del mercato, si sta espandendo. Secondo le stime di MarketsandMarkets, una importante società di ricerca, questo mercato raggiungerà i 12,9 miliardi di dollari entro il 2023. Le organizzazioni di tutte le dimensioni stanno implementando attivamente la Threat Intelligence come parte del loro apparato di sicurezza informatica. I fornitori di sicurezza informatica stanno già integrando i loro prodotti e servizi con quelli di altri fornitori per offrire pacchetti completi di Threat Intelligence. La condivisione delle best practice sarà la nuova norma che porterà a difese migliori contro le crescenti minacce come, ad esempio, gli attacchi malwares.
Durante questo nuovo decennio assisteremo alla transizione dalla sicurezza informatica reattiva a quella proattiva. La collaborazione e la cooperazione saranno al centro dell’attenzione come componente essenziale per la fornitura di Threat Intelligence proattiva. Il ruolo dei team di sicurezza si espanderà, coprendo tattiche, tecniche, procedure, valutazioni strategiche e comportamenti di minaccia, tutti immediatamente accessibili a tutti i livelli e all’interno di più gruppi aziendali di un’organizzazione. I team di sicurezza diventeranno responsabili della fornitura di Threat Intelligence proattiva che non si limiterà a proteggere le organizzazioni dalle minacce, ma le aiuterà a conformare gli obiettivi aziendali, identificare i rischi (M&A, Business Intelligence, ecc.) e determinare i budget di sicurezza. L’obiettivo dal 2020 in poi è quello di rendere operativa la Threat Intelligence per prevedere e prevenire efficacemente gli attacchi nelle prime fasi. In definitiva, i programmi di Threat Intelligence saranno alla base dell’intero concetto di sicurezza informatica proattiva e del rischio organizzativo.
Nonostante si parli di mercato in rapida crescita molte organizzazioni non dispongono di informazioni sufficienti sulla Threat Intelligence e la mancanza di informazioni corrette crea false preoccupazioni nelle aziende.
Vediamo di seguito alcune domande che le aziende si pongono e quali sono le loro preoccupazioni:
1 Devo aspettare che la mia organizzazione sia matura e pronta per la Threat Intelligence?
Essere proattivi è una strategia vincente nel mondo in rapida evoluzione delle minacce informatiche. La Threat Intelligence consente alle aziende di evitare il deterioramento del loro sistema di sicurezza.
2 La Threat Intelligence aumenterà ulteriormente il carico di lavoro dei professionisti di sicurezza della mia organizzazione?
In realtà, l’utilizzo degli insight ottenuti in tempo reale grazie alla Threat Intelligence migliorerà notevolmente l’efficacia e delle attività quotidiane degli esperti di sicurezza IT e la loro capacità di dare priorità agli eventi, aiutandoli a prendere decisioni migliori e più rapide e a risparmiare tempo prezioso.
3 La mia organizzazione è già in grado di affrontare i problemi di sicurezza e non ha bisogno della Threat Intelligence.
È possibile che al momento questo sia vero ma, tenendo conto del fatto che le minacce sono in rapida evoluzione, la Threat Intelligence consente in ogni caso di prendere decisioni migliori basate sul rischio arricchendo i dati interni dell’azienda. Inoltre, aiuta le aziende a dare priorità a decisioni di sicurezza sempre più importanti e ad affrontare in modo più efficace le nuove sfide in materia di sicurezza.
4 La mia organizzazione ha troppi investimenti diretti urgenti da fare nella sicurezza (ad es. più professionisti di sicurezza) e non è in grado di investire in una soluzione indiretta.
Al contrario, la Threat Intelligence fornisce ad un’organizzazione informazioni chiare su quali sono i possibili attacchi che potrebbero prenderla di mira e su quali sono gli investimenti diretti più efficaci in materia di sicurezza. Inoltre, offre dati insight importanti su come meglio allocare le risorse per costruire un sistema di sicurezza efficace e proteggere la propria organizzazione dalle minacce del mondo reale risparmiando tempo e denaro.
5 La Threat Intelligence non è fatta su misura per le esigenze specifiche della mia organizzazione.
Una tendenza a cui stiamo assistendo è il modo in cui le organizzazioni imparano a stabilire punti di raccolta dati rilevanti e a dare priorità alle informazioni in base alle loro specifiche esigenze. Consci di questi sforzi, i principali fornitori di Threat Intelligence stanno adattando le loro capacità di ricerca alle esigenze dei propri clienti.
6 La Threat Intelligence complicherà l’attuale sistema di sicurezza della mia organizzazione.
Negli ultimi tre anni, la Threat Intelligence si è sviluppata a tal punto che diverse fonti di intelligence possono essere integrate senza che si verifichino interruzioni nelle operazioni di sicurezza di un’organizzazione, attraverso un unico punto di ingresso che comunica con i controlli di sicurezza esistenti dell’organizzazione.
7 Sto aspettando che la Threat Intelligence diventi ancora più avanzata.
Mentre molte aziende attendevano, la Threat Intelligence è già diventata molto sofisticata. È in grado di trasformare i dati in informazioni uniche sulle minacce emergenti, consentire ai professionisti di sicurezza di dare priorità agli alert, massimizzare le risorse, accelerare i processi decisionali e combattere efficacemente le nuove sfide man mano che queste si presentano.
8 La Threat Intelligence non è in grado di rilevare quale malware e quale minaccia colpirà la prossima volta.
La Threat Intelligence ha già dimostrato di essere in grado di valutare con un buon grado di precisione la probabilità di un attacco rivolto alla vostra organizzazione, la tipologia di attacco e i probabili attaccanti.
9 L’intelligence sulle minacce è una moda che sta per finire.
Al contrario, la Threat Intelligence è la prima linea di uno standard proattivo in evoluzione nella sicurezza informatica: interpretare l’intento di un criminale informatico o di una minaccia consentendo alle organizzazioni di anticipare e disarmare gli attacchi prima (e non dopo!) che si verifichino.
Autore: Giampaolo Dedola