Capita spesso di parlare tra esperti di cybersecurity, magari di paesi diversi, dando per scontato che ci si capisca solo perché si usano termini inglesi come, per esempio, "cyber threat intelligence".
La domanda che ci poniamo oggi é: quando diciamo "Cyber Threat Intelligence" tutti sanno di che si parla? Proviamo a capirlo assieme partendo dal termine "Threat".
Consultando un vocabolario bilingue scopriamo che la parola "Threat" significa "minaccia". Se ci poniamo nel mondo cyber, possiamo fare riferimento alla definizione del National Institute for Standard and Technology (USA - NIST SP 800-30 / 150 e CNSSI-4009): che definisce "Cyber Threat" come:
"Qualsiasi circostanza o evento capace di influire negativamente sulle operazioni di una organizzazione (missione, funzioni, immagine o reputazione), sui beni dell'organizzazione, sugli individui, altre organizzazioni o la Nazione attraverso un sistema informativo tramite accesso non autorizzato, distruzione, divulgazione, modifica delle informazioni e/o negazione del servizio."
"La threat intelligence consente di individuare e analizzare le minacce informatiche rivolte contro un'azienda, setacciando enormi quantità di dati, esaminandoli e contestualizzandoli alla ricerca di problemi reali e di soluzioni possibili."
Mettendo assieme i concetti, possiamo dire che per Cyber Threat Intelligence si intende "la ricerca e l'analisi delle minacce informatiche rivolte contro un'azienda, una organizzazione, uno Stato e la loro contestualizzazione alla ricerca di problemi reali e delle loro soluzioni".
I principali obiettivi della Threat Intelligence sono:
- conoscere i propri avversari (attivisti, organizzazioni criminali, governi, concorrenti... l'Attribuzione);
- quali tattiche (il perché) e tecniche (il come) possono essere utilizzate contro la nostra azienda;
- quali sono i controlli da mettere in campo in base alle minacce e come mitigare il rischio (le possibili soluzioni).
Esistono tantissimi strumenti impiegati per fare cyber threat intelligence; il MITRE ce ne fornisce diversi e per approfondire esistono alcuni ottimi articoli che consigliamo, tra i quali "Combattere i cattivi in modo strutturato" di Marco Rottigni e "Conoscere le cyber-tattiche dell'avversario" di Orazio Danilo Russo.
Chiarita la terminologia, passiamo ad un esempio pratico che aiuti a capire i concetti appena espressi.
Supponiamo di essere a capo di una società che si occupa di produzione e vendita di guanti in gomma che vendiamo sul territorio nazionale e oltre. Il CISO (Chief Information Security Officer) in coordinamento col CTO (Chief Technology Officer) dell'azienda ha scelto un antivirus per le postazioni di lavoro e per le macchine di controllo di produzione e ha stipulato un contratto con una società fornitrice di servizi di sicurezza.
Il ruolo della società fornitrice dei servizi di sicurezza è quello di raccogliere i dati di tutti i dispositivi della nostra società, di analizzarli, correlarli, contestualizzarli, alla ricerca di minacce reali e dirette contro la nostra società e suggerire le varie possibili modalità di mitigazione e/o soluzioni dei problemi e delle minacce identificate.
La scelta di una o più soluzioni, tra quelle proposte, dipende da tanti fattori, uno fra tanti il rapporto costo/efficacia.
Un esempio: supponiamo che dalla prima raccolta di dati sulle postazioni di rete emerga che alcune postazioni hanno un sistema operativo vecchio, non aggiornato o non più supportato. Tra le soluzioni che potrebbero essere suggerite troveremo sicuramente:
- aggiornare il sistema operativo;
- cambiare il sistema operativo non più supportato;
- cambiare le macchine incriminate.
Naturalmente le soluzioni elencate andranno a risolvere/mitigare solo alcune delle problematiche relative alla sicurezza aziendale, esistono infatti minacce di diverso tipo e non tutte hanno lo stesso effetto su una società od organizzazione. Dobbiamo sempre tener presente che per quanto saremo bravi e attenti non è possibile eliminare tutte le minacce!
La scelta della soluzione da mettere in atto spetterà alla società, che agisce solitamente sulla base di criteri economici ma anche contingenti. Nel nostro esempio, potrebbe capitare che le macchine individuate siano impiegate in un ciclo di produzione che non può essere interrotto senza compromettere l'intero processo e che quindi non sia possibile mettere in pratica tutte le soluzioni suggerite. La Cyber Threat Intelligence ha la sua importanza ma è solo un tassello della sicurezza aziendale.
Per questo motivo non è possibile delegare tutto all'esterno, se non in casi molto particolari. Spetta al CISO e al CTO, che conoscono la società, i processi produttivi e il contesto operativo, prendere la decisione corretta sulla base di vari fattori, tra questi anche la Cyber Threat Intelligence.
Alessandro Rugolo, Annalisa Diana
Ringraziamo tutti gli amici di SICYNT per i suggerimenti che ci hanno consentito di migliorare l'articolo, rendendolo comprensibile a tutti.
Per approfondire:
- Guide to Cyber Threat Information Sharing (nist.gov)
- SP 800-30 Rev. 1, Guide for Conducting Risk Assessments | CSRC (nist.gov)
- https://www.kaspersky.com/resource-center/definitions/threat-intelligence
