Difendersi da un attacco informatico significa agire con anticipo per prevenirlo e scongiurarlo, nell’ottica di quella che viene comunemente definita proactive cyberdefence.12
Dall’information security alla intelligent security
Non basta essere informati genericamente sui rischi e sugli incidenti, è ora necessario fare intelligence e addentrarsi con approfondimenti specialistici all’interno del panorama della minaccia. L’obiettivo è quello di evolvere dall’information security ad una intelligent security.
In tale prospettiva, la Cyber Threat Intelligence è divenuta parte integrante del processo di gestione del rischio Cyber, tanto quanto la condivisione di informazioni tra i diversi operatori del sistema.
Affinché la Cyber Intelligence sia efficace c’è bisogno di una forte conoscenza degli asset aziendali, oltre che di professionisti che abbiano le competenze per studiare l’evoluzione delle minacce cyber e per analizzare gli eventi accaduti, raccogliere informazioni, individuare nuove vulnerabilità, così da approntare risposte efficaci e soprattutto tempestive. L’obiettivo è sviluppare un approccio dinamico e capace di tenere sotto controllo il fattore tempo, cruciale per l’efficacia degli interventi di mitigazione e remediation.
Secondo il “Cyber Threat Intelligence in Security Operations”, uno studio realizzato quest’anno dal Sans Institute, fornitore di certificazione e formazione per i professionisti della sicurezza informatica, l’81% degli intervistati ha dichiarato che le proprie implementazioni di intelligence sulle minacce informatiche hanno portato a sensibili miglioramenti, un dato in crescita rispetto al 78% del 2017 e al 64% del 2016. Il sondaggio rivela un crescente utilizzo della Cyber Threat Intelligence per il rilevamento delle minacce (79%), la risposta agli incidenti (71%), il blocco delle minacce (70%) e l’eliminazione delle minacce (62%).
Le risposte al sondaggio confermano che potersi avvalere di informazioni dettagliate è fondamentale per migliorare le regole del firewall, gli elenchi di controllo degli accessi alla rete e gli elenchi di reputazione.
Il 68% degli intervistati ha inoltre dichiarato di aver implementato la CTI quest’anno e un altro 21% prevede di introdurla in futuro. Solo l’11% delle aziende non ha intenzione di adottare alcuna iniziativa a propria tutela. Ciò indica che la Cyber Threat Intelligence sta diventando globalmente più utile, in particolare per le aziende che si occupano di sicurezza e che stanno lavorando duramente per integrare queste informazioni nelle loro strategie di prevenzione, rilevamento e risposta.
Lo skill gap nella gestione dei nuovi sistemi di CTI
Nonostante queste tendenze assai incoraggianti, risulta ancora molto difficile trovare figure professionali specializzate e qualificate nella gestione dei nuovi sistemi di CTI. Il 62% degli intervistati ha infatti indicato la mancanza di professionisti con competenze qualificate come uno dei principali ostacoli, con un aumento di quasi 10 punti percentuali rispetto al 2017 (53%).
Prevenire ed identificare le minacce, dunque, ma anche condividere tra gli operatori strategie e risultati.
In quest’ottica, la Cyber Threat Information Sharing realizza una condivisione di un’informazione di Cyber Threat analizzata, contestualizzata e tempestiva, in grado di incrementare le difese di un’organizzazione in un’ottica di prevenzione della minaccia Cyber.
La Cyber Threat Information Sharing in Italia
Nel panorama italiano il percorso per addivenire all’elaborazione di una strategia difensiva condivisa è in timida ma costante evoluzione, sia nel settore pubblico che in quello privato.
Tra le principali iniziative si evidenzia l’Agenzia per l’Italia Digitale con la Computer Emergency Response Team Pubblica Amministrazione (CERT-PA), che supporta le amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica.
L’Agenzia per l’Italia Digitale è l’agenzia tecnica della Presidenza del Consiglio che ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale italiana e contribuire alla diffusione dell’utilizzo delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica.
CERT-PA è in grado di fornire alle amministrazioni richiedenti servizi di analisi e di indirizzo, finalizzati a supportare la definizione dei processi di gestione della sicurezza; servizi reattivi per la gestione degli allarmi di sicurezza; servizi relativi alla raccolta e l’elaborazione di dati; formazione e comunicazione per promuovere la cultura della sicurezza cibernetica.
Il CERT-PA interviene a seguito di segnalazioni provenienti da pubbliche amministrazioni, organizzazioni di sicurezza informatica italiane ed internazionali. Il CERT-PA è censito presso ENISA (European Network and Information Security Agency), l’agenzia dell’Unione Europea che supporta la creazione della rete Europea dei CERT e la loro collaborazione e dal 19 Luglio 2016 ha ottenuto lo status di “Team accreditato” presso Trusted Introducer, la rete di fiducia dei CERT mondiali fondata in Europa nel 2000.
Un capitolo a parte è il CertFin (per gli attori finanziari).
Si tenga conto che elementi fondamentali alla base di un processo di sharing sono rappresentati anche dal livello di maturità dell’organizzazione ricevente e dal grado di fiducia rispetto alla fonte da cui proviene l’informazione; a ciò si aggiunga la capacità tecnologica di ogni singola organizzazione nel recepire e utilizzare le informazioni nella modalità più corretta per renderle efficaci all’interno della propria struttura operativa.
Gli standard MISP e TIP
Proprio su quest’ultimo settore la comunità internazionale di Cybersecurity ha delineato un suo standard, rappresentato dalle piattaforme di Cyber Threat Intelligence MISP (Malware Information Sharing Platform) o TIP (Threat Intelligence Platform). In particolare, la MISP è usata principalmente per lo scambio delle informazioni e l’arricchimento e correlazione dei dati esterni, mentre la TIP viene utilizzata per la condivisione di informazioni e l’analisi e investigazione di dati interni ed esterni di un’organizzazione.
In un panorama caratterizzato dalla costante evoluzione delle minacce informatiche e da una crescente proliferazione di Internet of Things (IoT), la disponibilità e la maturità delle tecnologie di supporto unita alla capacità interna degli specialisti di Threat Hunting permetteranno di migliorare ulteriormente il livello di sicurezza ed aumentare le capacità di contenimento e contrasto degli attacchi informatici.
Per far ciò, sarà fondamentale da un lato potenziare un’attività di intelligence che consenta di addentrarsi con approfondimenti specialistici all’interno del panorama della minaccia, identificando i cd. bad actors per ogni specifico settore di mercato, dall’altro sarà necessario non interrompere il processo di arricchimento e condivisione di tali informazioni, lavorando sulla costruzione di canali di interconnessione solidi e formalizzati tra i differenti comparti e agevolando l’idea di circolarità alla base degli scambi informativi tra diversi apparati nazionali e sovranazionali pubblici e privati.
