Attacchi sempre più frequenti e complessi, una superficie di attacco che cresce ogni giorno in proporzione con l’adozione dei nuovi strumenti digitali e la sensazione che la cyber security sia sempre più rilevante a livello della competitività delle imprese.

In questo quadro, la nuova frontiera per le aziende che hanno a cuore la sicurezza dei loro sistemi IT è rappresentata dalla Cyber Threat Intelligence (CTI), che consente di analizzare l’attività dei cyber criminali per fornire insights utili alla pianificazione delle contromisure mirate agli attacchi.

Ma cosa serve per sfruttare questo tipo di attività e qual è il rapporto tra costi e benefici nella sua adozione? “L’implementazione di sistemi orientati alla CTI consentono di migliorare drasticamente la postura di sicurezza” spiega Vasil Kononov, Threat Intelligence Team Leader di Cyberoo. “L’entità dell’investimento dipende dal livello di implementazione che si desidera ottenere, dalle caratteristiche dell’azienda e dallo status quo degli strumenti di cybersecurity già presenti”.

Ottenere la consapevolezza del rischio, grazie alla CTI

Il vero elemento differenziale nell’applicazione di strumenti di CTI riguarda il livello di consapevolezza del livello di rischio a cui è sottoposta l’organizzazione.

In altre parole,la Cyber Threat Intelligence segna il confine tra una strategia di difesa in cui non è disponibile alcuna visibilità delle minacce e uno scenario in cui è possibile sapere da dove (e come) arriveranno gli attacchi.

“Grazie alla CTI è possibile sapere come si stanno muovendo gli attaccanti” spiega Kononov. “Questo offre un margine di vantaggio per l’azienda che, in questo modo, è in grado di predisporre le difese più opportune e, in alcuni casi, bloccare sul nascere i tentativi di attacco”.

Le informazioni raccolte spaziano dalla comparsa di informazioni riguardanti gli specifici sistemi dell’azienda, come credenziali o informazioni sensibili relative a dipendenti o utenti VIP dell’organizzazione, alla segnalazione di vulnerabilità sfruttate attivamente dai criminal hacker e che possono avere un impatto sui sistemi aziendali.

L’analisi comprende anche altri elementi che rappresentano indizi di un potenziale attacco, come attività di cybersquatting (la registrazione di domini simili a quelli dell’azienda – ndr) o il reperimento di dati esfiltrati da account lavorativi o privati che possono rappresentare una minaccia potenziale per la sicurezza dei sistemi.

Un capitolo a parte merita la protezione dell’identità digitale delle figure apicali dell’azienda.

“I cyber criminali sono in grado di sfruttare con la massima efficacia qualsiasi spiraglio gli si offra” spiega Kononov. “Anche un semplice documento o una comunicazione riconducibile a un dirigente può essere manipolata e sfruttata per attacchi di tipo social engineering o frodi di pagamento”.

Un’implementazione a geometrie variabili

L’efficacia della CTI in ambito security dipende dall’ecosistema di security a disposizione dell’azienda.

Gli insight di intelligence, infatti, hanno valore anche a livello minimo, quando cioè si limitano a report periodici che contengono informazioni specifiche sull’esposizione dell’azienda e che vengono forniti agli esperti di security dell’organizzazione.

Tuttavia, il vero salto di qualità si ottiene quando queste informazioni vengono integrate con gli strumenti di difesa aziendali.

“Questa valutazione deve tenere conto di diversi aspetti, come le dimensioni dell’azienda e gli strumenti a disposizione degli addetti alla sicurezza informatica” sottolinea Kononov. “L’efficacia aumenta proporzionalmente al livello di integrazione che è possibile attuare”.

Il collegamento con strumenti come SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) offrono il massimo dell’efficacia. Il vero elemento che consente di fare un salto di qualità, secondo Kononov è l’integrazione con il sistema MDR (Managed Detection and Response) che rappresenta una componente centrale dell’ecosistema di sicurezza gestita.

“Se l’aspetto tecnologico è fondamentale, l’impatto della CTI è altrettanto rilevante anche quando si fa riferimento all’attività delle risorse umane dedicate alla protezione delle infrastrutture” prosegue l’esperto di Cyberoo.

L’attività del SOC (Security Operation Center), infatti, è quella che può godere dei maggiori vantaggi legati alla Cyber Threat Intelligence. Secondo Kononov, la sua implementazione permette di ridurre i falsi positivi in media fino al 60%.

“Grazie al contributo della CTI, gli operatori del SOC possono concentrarsi sugli alert realmente significativi e non sprecare tempo a indagare su segnalazioni che rappresentano solo un rumore di fondo” spiega.

Dalla prevenzione alla remediation

Se i vantaggi più intuitivi dell’uso di strumenti di Cyber Threat Intelligence riguardano la prevenzione e li contrasto degli attacchi, l’esperto di Cyberoo sottolinea come la CTI consenta di ottenere una maggiore efficacia anche in fase di remediation.

“Quando si subisce un incidente informatico, i tempi di reazione sono fondamentali” sottolinea Kononov. “Avere informazioni puntuali sulle tecniche di attacco dei cyber criminali e dati, che consentano di individuare tempestivamente i canali attraverso i quali si verificano i data breach, permette di reagire con maggiore incisività. La CTI supporta la fase di remediation attraverso l’analisi post-incidente e la correlazione delle cause radice, piuttosto che intervenire direttamente per “contenere l’attacco”.

L’uso di piattaforme dedicate, che prevedono sistemi di automatizzazione e prioritizzazione delle azioni necessarie per contenere l’attacco, rappresentano in questo senso un vantaggio strategico che si traduce in un minor costo dell’attività di remediation.

“Se teniamo conto di tutti questi aspetti, ci rendiamo conto di come ogni euro investito in Cyber Threat Intelligence consenta di risparmiare decine di migliaia di euro in fase di remediation” conclude l’esperto di Cyberoo.

Contributo redazionale realizzato in collaborazione con Cyberoo.