Cybersecurity

Cyber threat intelligence per gestire i rischi cyber: una strategia per le aziende

Home Sicurezza digitale
Indirizzo copiato

La valutazione dei rischi e l’analisi delle minacce sono componenti fondamentali per un efficace sistema di sicurezza informatica. La Cyber Threat Intelligence è uno strumento in grado di fornire informazioni strategiche per una migliore comprensione delle minacce, identificare potenziali attacchi e prendere decisioni informate

Pubblicato il 14 nov 2023
Chiara Chiariello

Consultant di BCG Platinion

Alessandro Miracca

Manager presso BCG Platinion

Francesco Perna

Principal di BCG Platinion

nis 2 decreto italiano

Il processo di analisi e valutazione dei rischi è alla base di un sistema di gestione della sicurezza delle informazioni e costituisce uno degli elementi chiave per prioritizzare gli investimenti volti a mantenere adeguata la postura di sicurezza di un’organizzazione. In questo contesto, la Cyber Threat Intelligence è uno strumento fondamentale per la gestione dei rischi e la sicurezza informatica, attraverso identificazione dei rischi, analisi e trattamento, per la protezione degli asset aziendali.

Cyber threat intelligence: presente e futuro, in Italia ed Europa

Sicurezza delle informazioni: le tre fasi principali

Il processo di analisi e valutazione dei rischi, di norma, si articola in tre macrofasi principali:

  • Identificazione: In questa fase vengono definiti il contesto e Il perimetro, identificate le minacce e le vulnerabilità, censiti i rischi
  • Analisi: vengono valutati i rischi identificati, determinando la probabilità e l’impatto di accadimento. Questa analisi aiuta a classificare i rischi in base alla loro gravità e a stabilire le priorità di trattamento
  • Trattamento: si sviluppano e implementano le strategie per affrontare i rischi identificati. La gestione dei rischi può comportare varie opzioni, tra cui l’accettazione, la mitigazione, il trasferimento e altre strategie

La valutazione dei rischi

La valutazione dei rischi è un processo continuo che soffre di degradazione costante e, pertanto, deve essere aggiornato regolarmente per riflettere i cambiamenti nel panorama delle minacce relative al contesto in cui opera l’organizzazione.

In questo contesto la Cyber Threat Intelligence (CTI) si rivela uno strumento essenziale per supportare il processo di valutazione dei rischi, essa infatti, fornisce alle organizzazioni le informazioni strategiche necessarie per acquisire una migliore comprensione del panorama delle minacce, individuare i gruppi criminali interessati a colpire l’organizzazione, identificare le modalità e gli strumenti per compiere gli attacchi, e abilitare l’organizzazione a prendere decisioni informate.

Nell’ambito del processo di valutazione dei rischi, il primo elemento utile a fornire informazioni di contesto più accurate è l’identificazione dei gruppi criminali. Considerando la complessità e le dimensioni del fenomeno, che conta centinaia di gruppi criminali attivi che effettuano attacchi cyber ogni anno, è essenziale stabilire dei criteri di selezione utili a comprendere quali di essi potrebbero essere interessati a prendere di mira l’organizzazione.

I criteri da considerare per identificare i gruppi criminali

I principali criteri da considerare per identificare i gruppi criminali rilevanti sono:

  • Motivazione del gruppo: i gruppi criminali hanno motivazioni differenti, alcuni perseguono il profitto finanziario, altri mirano ad appropriarsi in maniera illecita della proprietà intellettuale, altri ancora sono mossi da scopi politici o ideologici. È importante analizzare attentamente le motivazioni del gruppo criminale per comprendere se l’organizzazione potrebbe essere considerata o meno un bersaglio
  • Geografia di appartenenza: i gruppi criminali agiscono in contesti geografici diversificati, alcuni concentrano la loro attenzione su organizzazioni che operano a livello globale, mentre altri prediligono specifiche geografie per selezionare i propri bersagli. Le organizzazioni dovrebbero valutare gli interessi commerciali all’interno delle aree geografiche rilevanti per determinati gruppi criminali come uno dei criteri per determinale la propria appetibilità
  • Industria di riferimento: l’affinità del gruppo criminale con l’industria di appartenenza della propria organizzazione costituisce un ulteriore elemento da valutare nel processo di identificazione. I gruppi criminali hanno adottato una strategia di “verticalizzazione” rispetto a specifiche industrie per commoditizzare le proprie capacità di attacco e monetizzazione. La specializzazione fa leva su combinazione di fattori, tra cui la facilità di ottenere un profitto a seguito dell’attacco, il valore della proprietà intellettuale, delle informazioni o dei dati dell’azienda attaccata ed il livello di vulnerabilità delle organizzazioni appartenenti ad uno specifico settore
  • Stato di attività del gruppo criminale: l’ecosistema della cyber criminalità è estremamente fluido, i gruppi criminali possono essere considerati come delle vere e proprie aziende che prosperano seguendo le logiche di mercato. Alcuni gruppi emergono, prosperano per un certo periodo e poi seguono una fase di declino o si sciolgono, mentre altri possono restare attivi per anni evolvendo le proprie capacità o affiliandosi ad altre organizzazioni. Quando si valutano i rischi legati ai gruppi criminali, è importante concentrarsi sulle operazioni effettuate in un periodo temporale che copre ultimi 12-18 mesi al fine di considerare le minacce più recenti e rilevanti e supportare lo sviluppo di una strategia di sicurezza efficace.

Identificare tecniche, tattiche e procedure

Una volta selezionati i gruppi criminali che potrebbero avere interesse ad attaccare l’organizzazione, risulta essenziale identificare le tecniche, le tattiche e le procedure che questi gruppi impiegano per effettuare i propri attacchi:

  • Le tecniche rappresentano l’insieme degli strumenti specifici utilizzati dai gruppi criminali per compromettere un’organizzazione. Questi possono includere malware sofisticati, attacchi di phishing mirati, sfruttamento di vulnerabilità note e altri mezzi
  • Le strategie che i criminali adottano per raggiungere i loro obiettivi sono definite come tattiche, esse possono sostanziarsi in attacchi diretti verso soggetti specifici fino ad attacchi su larga scala nei confronti di un’organizzazione
  • Le procedure rappresentano i processi specifici che i gruppi criminali seguono durante gli attacchi. Questi possono includere la sequenza di azioni per la distribuzione dei malware impiegati per realizzare l’attacco, i movimenti laterali effettuati per accedere ai vari comparti dell’organizzazione o l’esfiltrazione dei dati rubati

Creare una strategia di sicurezza informatica efficace

La conoscenza delle tecniche tattiche e procedure utilizzate dai gruppi criminali consente dunque alle organizzazioni di concentrare i propri sforzi nella creazione di una strategia di sicurezza informatica efficace, focalizzata nel contrasto dei temi rilevanti per l’organizzazione e in grado di supportare i processi di readiness necessari per affrontare le minacce in continua evoluzione. Questo approccio supporta in particolare il processo di analisi dei rischi, permettendo alle organizzazioni di valutare e trattare in modo migliore le minacce e le vulnerabilità abilitando diversi benefici per l’organizzazione:

  • Anticipazione delle minacce: la comprensione delle tecniche, tattiche e procedure (utilizzate dai criminali informatici consente alle organizzazioni di anticipare le minacce e adottare misure preventive in grado di ridurre la superficie d’attacco e la relativa esposizione ai rischi cyber
  • Adattività della strategia di cyber security: la strategia di difesa adottata dall’organizzazione evolve di pari passo con le tecniche, le tattiche e le procedure utilizzate dai criminali consentendo di rispondere efficacemente agli attacchi informatici mantenendo un vantaggio competitivo nel contrasto delle minacce attuali e rilevanti
  • Ottimizzazione e prioritizzazione degli investimenti: gli investimenti in cyber security possono essere ottimizzati e rivalutati in funzione delle priorità stabilità attraverso la comprensione delle modalità di attacco dei criminali

Come attuare una strategia di valutazione dei rischi basata sulla threat intelligence

Per implementare una strategia di valutazione dei rischi basata sulla threat intelligence, è necessario pianificare una trasformazione dei processi aziendali per la gestione dei rischi in modo da garantire che la threat intelligence sia efficace e ben integrata. Per l’implementazione di una strategia di successo sono fondamentali i seguenti elementi:

  • Identificazione delle fonti di threat intelligence strategica rilevanti per l’organizzazione: le fonti di intelligence strategica devono essere selezionate considerando i driver di identificazione delle minacce e dei gruppi criminali alla base del processo di valutazione dei rischi. La scelta delle fonti costituisce un elemento cruciale che influenzerà la qualità delle analisi dei rischi per tale motivo è fondamentale rivolgersi a provider di threat intelligence che godono di una reputazione forte sul mercato
  • Revisione del modello operativo: per trarre massimo beneficio dall’impiego della cyber threat intelligence all’interno dei processi di valutazione dei rischi è opportuno rivedere il modello operativo per identificare ed assegnare ruoli, responsabilità e interazioni tra le funzioni che producono intelligence, le funzioni responsabili di effettuare le valutazioni dei rischi e quelle che responsabili per l’implementazione delle opzioni di trattamento
  • Upskilling e reskilling delle risorse: le risorse impiegate per l’esecuzione dei processi di valutazione dei rischi devono essere formate adeguatamente per comprendere come utilizzare ed integrare correttamente le informazioni di intelligence sulle minacce all’interno dei modelli esistenti. È cruciale che tali risorse sappiano interpretare le informazioni e sappiano correlare le tecniche, le tattiche e le procedure ai controlli di sicurezza necessari per trattare i rischi identificati

Conclusioni

In conclusione, la cyber threat intelligence costituisce un pilastro della gestione dei rischi cyber, attraverso la comprensione approfondita delle minacce e dei gruppi criminali, le organizzazioni possono adottare un approccio proattivo alla sicurezza, mitigare i rischi e garantire la protezione dei propri asset ottimizzando gli investimenti in cyber security.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Realtà aumentata, le innovazioni dell'interazione digitale: tutte le applicazioni