Le caratteristiche peculiari degli attacchi informatici e la “geopolitica” dei bad actor comportano la necessità di un approccio integrato, tattico e strategico, attivando tutti i possibili canali di ascolto, compreso l’ambito web ed in particolare il deep e dark web. Secondo alcune stime, oltre il 94-96% delle informazioni sulla rete non è recuperabile dai motori di ricerca ovvero in quello che viene definito “surface” web.
Figura 1 – Rappresentazione del Surface, deep e dark web
Il gap tra i pochi giorni di un data breach ed i mesi per l’identificazione media di un attacco APT consente agli attaccanti un vantaggio considerevole. Informazioni che spesso trovano proprio nel dark web un black market ottimale per far incontrare domanda/offerta, per comprare vulnerabilità, dati di clienti, etc e pagare in criptomoneta.
L’impatto di alcuni recenti attacchi non si è limitato alla tecnologia o alle informazioni trafugate, ma ha aperto un più serio allarme sulle ripercussioni rispetto all’incolumità delle persone. Solo a mero titolo di esempio, nel 2016, la Food and Drug Administration (FDA) degli USA ha evidenziato problemi di sicurezza in un sistema di regolazione della somministrazione dei medicinali (che avevano la caratteristica di poter essere controllati da remoto, ovvero via internet). La vulnerabilità consentiva ad un attaccante in rete di cambiare il dosaggio di somministrazione del medicinale.
Ma come è possibile accelerare il processo di detection e ridurre questo gap? Una soluzione, secondo gli analisti, è implementare un approccio cosiddetto “Intelligence Driven“, che risulterebbe più efficace per ridurre i tempi di detection, proponendo quindi una modalità “proactive”.
Ma cosa si intende per Intelligence? In Italia, secondo il glossario della Presidenza del consiglio dei ministri, per Intelligence si intende “il prodotto dell’elaborazione di una o più notizie di interesse per la sicurezza nazionale. In questa accezione, corrisponde al termine informazione, come utilizzato dal Legislatore italiano nella legge istitutiva del Sistema di informazione per la sicurezza della Repubblica“.
In base alla tipologia di fonte informativa, possiamo distinguere:
- Osint (Open Source intelligence – attività di raccolta delle informazioni mediante l’analisi di fonti aperte)
- Imint (Imagery intelligence – attività di raccolta delle informazioni mediante l’analisi di fotografie aeree o satellitari)
- Humint (Human intelligence – attività di raccolta delle informazioni mediante contatti interpersonali)
- Sigint (Signal intelligence – attività di raccolta delle informazioni mediante l’intercettazione e analisi di segnali, sia tra persone sia tra macchine)
- Techint (Technical intelligence – riguardante armi ed equipaggiamenti militari)
- Masint (Measurement and Signature intelligence – attività di raccolta delle informazioni non classificabili nelle precedenti categorie)
Se guardiamo il tema sotto il profilo del processo, l’Intelligence risponde ad un “bisogno”, ovvero ad una domanda e segue un processo ben delineato che di seguito rappresentiamo:
La Cyber Threat Intelligence, di contro, è un concetto che innanzitutto va correttamente inquadrato dal punto di vista terminologico: ci sono varie interpretazioni a seconda dell’interlocutore. A titolo esemplificativo ci sono topic di cyber intelligence per la sicurezza nazionale, per il monitoraggio di informazioni in rete o sui social network, sul deep web e sul dark web, con un approccio per “semantica” multilingua, dove OSINT e HUMINT possono trovare un punto di sintesi. Un altro discorso ancora è l’intelligence per prevenire ed identificare le frodi, verificare se ci sono “campagne di phishing” che stanno attaccando i servizi bancari, o se c’è vendita di credenziali e carte di credito nell’underground dei black market (oggi si direbbe nel dark web). Avere prima queste informazioni (ovviamente analizzandole ed utilizzandole efficacemente) permette di prevenire gli usi illeciti, a tutela di clienti, dipendenti, cittadini, asset.
Una definizione più specifica di Cyber Threat Intelligence potrebbe essere questa: disporre di un “knowledge” basato su evidenze tecniche (ad esempio dati, meccanismi, modalità, IoC, etc) in ordine a minacce emergenti o attuali alla cybersecurity dei propri asset.
La Cyber Threat Intelligence ha l’obiettivo pertanto di fornire agli analisti ed incident responder una “actionable intelligence”, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva.
I processi di Cyber Threat Intelligence, quindi, consentono ai team di analisti di mettere a fuoco strategicamente le loro risorse per ottenere il massimo effetto, anticipando in modo proattivo l’identificazione delle minacce all’interno della propria organizzazione, la cosiddetta Cyber Threat Hunting.
Secondo Gartner, esistono 3 tipologie di approccio relative al «cyber threat hunting» (anche parzialmente sovrapponibili):
La Cyber Threat Intelligence ha diversi scenari d’uso quali ad esempio:
- SOC: warning per attacchi targettizzati, IoC, blacklist, data breach noti, vulnerabilità recenti, metodologie e “profiling” dei bad actor etc.
- Anti-Frode: phishing, monitoraggio sul mercato nero di carte di credito clonate, e-commerce fraud, atm skimming etc.
- AML: soggetti utilizzati come «muli» per il riciclaggio, black list di high risk AML bad actor, etc.
- Reputation: «sentiment» negativi in termini di sicurezza e frodi sui social network e web, report customizzati per gli «executive», alert via sms/email su topic interni o sulle terze parti, etc.
Come accennato, i sistemi tradizionali come SOC, AML, Anti-Fraud & Internal Control System devono evolversi verso un modello “Intelligence-Driven”, in cui si utilizzano fonti diversificate, esterne ed interne (Logs, IoC, Attaccanti, Eventi AML) per rendere più proattiva l’attività di threat hunting.
I threat feed restano il primo valore della Cyber Threat Intelligence, in quanto sono le informazioni di base, che possono essere sia in formato «grezzo» che più «strutturato» e disponibili in varie tipologie o su georeferenziazioni diverse.
Possiamo identificare i seguenti feed:
- Threat feeds per Malware Analysis forniscono IoC come sorgenti IP, Command and Control (C&C), valori di hashe del payload del codice malevolo e delle sue componenti e altri dati fondamentali per la fase di detection.
- Threat feed di Bad Actor (o Threat Actor) forniscono informazioni per tracciare cyber criminals, hacktivist groups o team legati ad azioni cyber-espionage. Insieme alle informazioni sui cyber criminals sono fornite anche fondamentali informazioni di Tactics Techniques and Procedures (TTP)
- Threat feeds per Brand Reputation aiutano ad identificare organizzazioni o persone diventati obiettivi di attacchi. L’individuazione delle minacce è realizzato attraverso l’analisi su fonti OSINT (monitorando, ad esempio, pastebin, chat channels, anonymous sites presenti sul Deep e Dark Web).
- Threat feeds per Fraud Analysis and Prevention forniscono URLs Phishing, informazioni su leaks, credenziali rubate, indirizzi email compromesse, banking mule accounts, compromissione di carte di credito, informazioni a supporto di attività di Anti Money Laundering, compromissione di POS.
- Threat feeds per Network Infrastructure & ICS/SCADA forniscono molti IoC come, ad esempio, sistemi infetti, dettagli sui Domini, Indirizzi IP, dettagli e vulnerabilità su sistemi ICS e SCADA, etc.
- Feeds per analisi sui Social Networks forniscono informazioni aggregate e correlate su organizzazioni, gruppi o persone su quanto presente sui Social Network (ad esempio, facebook, linkedIn, twitter, etc) e permettono di ottenere i dati per svolgere analisi di tipo sentiment e semantic.
Gartner stima che attualmente meno del 10% del SOC esistenti possiede caratteristiche intelligence-driven, mentre questo valore salirà al 40% entro il 2020, portando così le aziende sempre più verso un concetto di I-SOC – Intelligence driven Security Operation Center, in grado di integrare capacità di prevent, detect, respond e predict. Questo, mutatis mutandis, vale anche per gli altri settori citati, quali ad esempio l’antifrode e gli internal control.
Inoltre, il costante cambiamento dello scenario delle minacce e la crescente proliferazione di Internet of Things (IoT), le tecnologie cloud, del mobile ed i fenomeni legati allo spionaggio, saranno i veri driver che spingeranno le aziende ad adottare strategie innovative di Cyber Threat Intelligence su base continuativa. La disponibilità e la maturità delle tecnologie di supporto unita alla capacità interna degli specialisti di Threat Hunting, permetterà di migliorare ulteriormente il livello di sicurezza ed aumentare le capacità di contenimento e contrasto degli attacchi interni ed esterni.
