La Cyber Threat Intelligence (CTI) si basa sulle fondamenta dell’intelligence tradizionale e rappresenta un sottoinsieme di quest’ultima. Ma, prima di esplorare l’ambito della CTI, è importante comprendere cosa sia l’intelligence nel senso tradizionale del termine.
Che cos’è l’intelligence?
Questa è una domanda complessa che può avere molte risposte, ed alcune di queste vanno molto indietro nel tempo. Il concetto, infatti, è antico: più si conosce il nemico e il modo in cui pianifica ed esegue i suoi attacchi, più si può essere preparati ad affrontarli.
Parafrasando Sun Tzu ne L’Arte della Guerra:
Se conosci il nemico e conosci te stesso,
Nemmeno in cento battaglie ti troverai in pericolo.
Se non conosci il nemico ma conosci te stesso,
Le tue possibilità di vittoria sono pari a quelle di sconfitta.
Se non conosci né il nemico né te stesso,
Ogni battaglia significherà per te sconfitta certa.
Tornando invece a tempi più recenti, nel contesto dell’analisi dell’intelligence, ci interessa una definizione che catturi l’essenza delle informazioni necessarie per sostenere gli obiettivi dei nostri Stati-nazione (militari, economici o geopolitici).
Una definizione esauriente dell’intelligence è stata fornita dall’analista della CIA Martin T. Bimfort che ha raggruppato una serie di definizioni, in un dibattito oggi desecretato, per formularne una che descrive l’intelligence nel contesto dell’analisi classica dell’intelligence:
L’intelligence è la raccolta e l’elaborazione delle informazioni sui Paesi stranieri e sui loro agenti necessarie a un governo per la sua politica estera e per la sicurezza nazionale, la conduzione di attività non attribuibili all’estero per facilitare l’attuazione della politica estera e la protezione sia del processo che del prodotto, nonché delle persone e delle organizzazioni interessate, contro la divulgazione non autorizzata.
In sintesi, comprendere l’intelligence tradizionale è un passo fondamentale per comprendere la Cyber Threat Intelligence e il suo ruolo nella protezione delle informazioni digitali.
Le fonti dell’Intelligence tradizionale
L’intelligence classica ha diverse specializzazioni, ognuno con abbreviazioni associate alle fonti di intelligence. In generale, queste possono essere suddivise in raccolta e analisi (o intelligence derivata) con mezzi umani e tecnologici.
Gli acronimi più comuni sono:
- HUMINT: raccolta di intelligence umana (interpersonale).
- GEOINT: raccolta di informazioni geospaziali (dai satelliti).
- MASINT: intelligence su misure e firme (da firme radar, firme di detonazioni nucleari e così via).
- OSINT: raccolta di intelligence open-source (da biblioteche, archivi pubblici o Internet).
- SIGINT: intelligence derivata da intercettazioni di segnali (comunicazioni via cellulare o intercettazioni di linee di comunicazione).
- ALL SOURCE: Intelligence derivata da ogni fonte disponibile su un soggetto o un argomento.
Nel passato, l’intelligence era suddivisa in base alle aree di raccolta. Tuttavia, in materia di minacce informatiche, non sempre è possibile sfruttare metodi come HUMINT o SIGINT. In questo caso, l’attenzione è rivolta a tutte le fonti disponibili e a come fonderle insieme per ottenere una valutazione complessiva.
È importante sottolineare che i diversi tipi di raccolta possono influire sulla percezione dei dati da parte delle comunità di intelligence in tutto il mondo. Ad esempio, gli analisti HUMINT e SIGINT possono avere opinioni contrastanti sui dati raccolti. Questo può essere vero anche tra le diverse agenzie di intelligence di uno stesso governo. È importante evitare pregiudizi basati sulla fonte dei dati e valutare l’intelligence in base a una visione complessiva. Risulta necessario, quindi, evitare bias cognitivi. Un analista di malware e un analista HUMINT potrebbero avere opinioni diverse, ma è importante considerare i dati per quello che sono: un contributo alla valutazione complessiva dell’intelligence.