I cambiamenti continui negli schemi di attacco dei cyber actors sfidano le difese aziendali. Ecco come la Threat Intelligence assicura protezione agile ed efficace contro gli schemi di attacco più evoluti
L’analisi del panorama delle minacce recenti conferma uno scenario estremamente mutevole, con una combinazione di tattiche, tecniche e procedure (TTP) in costante evoluzione, selezionate per eludere i meccanismi di protezione implementati. È imperativo architettare soluzioni di sicurezza in grado di adattarsi prontamente a una minaccia estremamente mutevole. Uno dei possibili approcci usa la Threat Intelligence (TI), informazioni sulle minacce informatiche, vulnerabilità, e indicatori di compromissione (IOC), per identificare i rischi e fornire una veloce risposta agli incidenti.
Ogni report di sicurezza, bollettino, notizia o post di Twitter o LinkedIn può contenere al suo interno Threat Intelligence utile. Non siamo in grado però di catturarla e utilizzarla tutta. Molta TI viene persa dopo la lettura. Parliamo di Threat Intelligence actionable (processabile) quando questa è organizzata per essere fruibile da strumenti automatici, per una prevenzione, identificazione e risposta automatica o semiautomatica alle minacce.
Tradizionalmente appannaggio degli strumenti SIEM o di alcuni dispositivi di protezione periferica come gli IDS/IPS e i firewall, adesso sempre di più la TI diventa pervasiva nelle soluzioni di sicurezza, con casi d’uso particolarmente promettenti. Le soluzioni più avanzate di Identity and Access Management (IAM) usano, già adesso, informazioni sui dispositivi già conosciuti come malevoli, la reputazione dell’IP, l’uso di VPN o sistemi di anonimizzazione, e adattano l’accesso al rischio della connessione, all’autenticazione e poi durante tutta la sessione, in un paradigma di continuous adaptive authentication.
Anche le soluzioni di Security Orchestration, Automation and Response (SOAR) e di Incident Response (IR) usano la TI per arricchire gli incidenti di sicurezza, supportare l’operatore nell’analisi e favorire triage e azioni automatiche, anche ben dopo l’individuazione dell’incidente. La Threat Intelligence, infatti, si evolve nel tempo e questo permette di seguire con la necessaria precisione l’evoluzione dell’attacco, fino al suo blocco o conclusione. Diverse tipologie di Threat Intelligence permettono di risponde ad esigenze diverse. La Threat Intelligence strategica si concentra sulle minacce o attacchi verso uno specifico settore industriale o una nazione, evidenziando i gruppi cybercriminali attivi e le operazioni in corso. Capire gli attacchi delle organizzazioni simili alle nostre ci fornisce un vantaggio competitivo indubbiamente utile verso l’attaccante.
La Threat Intelligence operazionale evidenzia le Tattiche, Tecniche e Procedure (TTP) usate negli attacchi, spesso mappate sui framework come MITRE ATT&CK, e ricostruisce il modus operandi dei threat actor. La Threat Intelligence tattica, infine, usa indicatori di compromissione (IOC – Indicators of Compromise) come ad esempio URL, indirizzi IP, hostname, hash di file, e altri costrutti per individuare negli eventi di sicurezza, segni di tentata o avvenuta compromissione. In quest’area si consuma la maggior parte di Threat Intelligence.
L’evoluzione delle tecniche di attacco evidenzia uno spostamento verso lo sfruttamento delle debolezze umane, l’inganno, la pressione psicologica o la semplice curiosità di cliccare su un link per vedere cosa c’è. La Threat Intelligence, soprattutto quella actionable, potrebbe essere la base per soluzioni tecnologiche in grado di bloccare i comportamenti rischiosi degli utenti.
I cyber actors ideano continuamente nuovi schemi di attacco in grado di evadere le soluzioni a difesa nelle nostre organizzazioni. L’uso della Threat Intelligence è indubbiamente una valida strategia per fornire ai sistemi una protezione con pari flessibilità e rapidità d’azione.
Pier Luigi Rotondo membro del comitato scientifico di CLUSIT