Esistono diverse definizioni di Cyber Threat Intelligence. Tuttavia, comprendendo che cos’è l’intelligence e che cosa sono le minacce, è possibile elaborare una definizione semplice. Le varie definizioni vanno bene, purché si tenga ben a mente che l’attenzione si concentra sulla minaccia – l’uomo.
Il focus, infatti, non è su attività come l’identificazione delle vulnerabilità e il loro patching. Le vulnerabilità rappresentano un’opportunità per l’avversario, ma da sole non sono minacce, così come il malware da solo non è una minaccia.
In poche parole, la CTI fornisce alle organizzazioni dati e informazioni su come gli aggressori hanno sfruttato le vulnerabilità, su cosa hanno fatto nei sistemi informatici dopo la compromissione iniziale e talvolta sull’attribuzione degli attacchi a specifici attori. Le minacce condotte dai criminali pià comuni possono includere varie categorie di malware, lo sfruttamento di vulnerabilità, attacchi DDoS (Distributed Denial of Service) e attacchi di social engineering. Naturalmente c’è anche un grande interesse per le informazioni sugli attaccanti stessi – chi sono, dove sono localizzati, se sono State-sponsored o sono un’organizzazione criminale indipendente, e dettagli sul loro modus operandi dagli attacchi passati. Ci sono intere aziende che hanno fatto della richiesta di attribuzione e di informazioni sugli attori delle minacce un business vero e proprio.
Le fonti della Cyber Threat Intelligence
I fornitori di CTI raccolgono e analizzano i dati da fonti di dati. Esistono molte fonti potenziali di dati che i fornitori di CTI possono utilizzare. Ad esempio, i dati sulle minacce malware possono provenire da prodotti e servizi anti-malware in esecuzione su endpoint, reti, server di posta elettronica, browser web, servizi cloud, honeypot, ecc. I dati sulle credenziali deboli, trapelate e rubate possono provenire non solo da fornitori di identità come Microsoft Azure Active Directory, ma anche dal monitoraggio di forum illeciti dove tali credenziali vengono acquistate e vendute. I dati sugli attacchi di social engineering possono provenire dai servizi di filtraggio del phishing e dello spam, nonché dai servizi di social networking.
Esiste anche l’Open Source Threat Intelligence (OSINT) che sfrutta le fonti di dati disponibili pubblicamente, come i social media, i feed di notizie, i documenti dei tribunali e i registri degli arresti, le informazioni divulgate dagli aggressori sulle loro vittime, l’attività nei forum sul dark web e molti altri.
L’OSINT può aiutare chi si occupa di cyber defense e prevenzione in almeno un paio di modi. In primo luogo, può aiutare a comunicare all’utente che il suo ambiente IT è stato compromesso. Osservare gli attaccanti che mettono i vostri dati in vendita o che parlano di accesso illecito ad una determinata rete può essere un indicatore importante di una violazione non rilevata. Un altro modo in cui molte organizzazioni utilizzano l’OSINT è per ricercare gli aggressori e le tattiche che utilizzano.
Naturalmente, i criminali possono utilizzare l’OSINT per effettuare ricerche e ricognizioni sui loro potenziali obiettivi. Esiste una vasta pletora di strumenti che aiutano a trovare OSINT, tra cui Maltego, Shodan, theHarvester e molti altri.
Utilizzo della Cyber Threat Intelligence
Nel mondo della cybersecurity la CTI viene utilizzata in diversi modi. Ecco alcuni esempi:
- I Security Operation Center (SOC), che valgono quanto la CTI di cui dispongono.
- Fornire informazioni nelle indagini dei Computer Emergency Response Team (CERT).
- Fornire informazioni nelle attività di threat hunting e dei team Red, Blue e Purple.
- Profilare gli aggressori per essere meglio preparati ad affrontarli.
- Fornire informazioni per i programmi di protezione dei dirigenti e delle loro famiglie
- Fornire informazioni per la gestione del rischio (risk management)
Condividere la Threat Intelligence
I team di sicurezza si trovano spesso in situazioni in cui desiderano condividere le informazioni di intelligence in loro possesso con i team di sicurezza di altre organizzazioni o viceversa. Gli scenari in cui ciò accade sono molteplici. Un esempio è quello di un Information Sharing and Analysis Center (ISAC) che facilita la condivisione di CTI tra le organizzazioni che ne fanno parte. La condivisione di CTI tra le organizzazioni dello stesso settore potrebbe rendere più difficile per gli aggressori colpire i singoli membri, perché tutti dispongono dei TTP (Tactics, Techniques, and Procedures) che gli attori delle minacce utilizzano per colpire il settore. Per questo motivo, sia il settore dei servizi finanziari che quello sanitario dispongono di ISAC.
Il NIST ha pubblicato la Special Publication 800-150, Guide to Cyber Threat Information Sharing, che fornisce alcune linee guida per la condivisione di CTI, oltre a un buon elenco di scenari in cui la condivisione di CTI può essere utile.
I vantaggi della condivisione delle CTI citati dagli autori sono numerosi, tra cui la condivisione della consapevolezza della situazione, il miglioramento della postura di sicurezza, la maturazione delle conoscenze e una maggiore agilità difensiva.
Protocolli di condivisione CTI
Non si può parlare di condivisione di CTI senza menzionare almeno alcuni dei protocolli per farlo. Ricordiamo che i protocolli servono a stabilire le regole per una comunicazione efficace. Alcuni protocolli sono ottimizzati per la comunicazione da uomo a uomo, mentre altri sono ottimizzati per la comunicazione da macchina a macchina (automatizzata), da macchina a uomo e così via. I tre protocolli che interessano la CTI sono: il Traffic Light Protocol (TLP), lo Structured Threat Information eXpression (STIX) e il Trusted Automated eXchange of Indicator Information (TAXII).