Durante la pandemia, i criminali informatici hanno migliorato le loro capacità, adattandosi rapidamente e prendendo di mira gruppi di vittime in modo più efficace. Lo ha rilevato l’ENISA, l’Agenzia dell’Unione europea per la sicurezza informatica, con il supporto della Commissione europea, degli Stati membri dell’UE e del CTI Stakeholders Group, nell’ottava relazione annuale ENISA Threat Landscape (ETL), identificando e valutando le principali minacce cyber.
Nella relazione viene posto anche l’accento sullo stato di avanzamento della cyber threat intelligence (CTI) come dominio dinamico della sicurezza informatica. Questa analisi mira, infatti, a indicare le principali tendenze nello sviluppo rapido della CTI fornendo riferimenti pertinenti e riassumendo i passi necessari da portare avanti nei prossimi anni, sia in campo EU che a livello nazionale.
Le principale tendenze nel campo della cyber threat intelligence
Le tecnologie digitali oggi sono al centro di quasi tutti i settori. L’automazione e la maggiore connessione che offrono hanno rivoluzionato le istituzioni economiche e culturali del mondo, ma hanno anche portato rischi sotto forma di attacchi informatici. La cyber threat intelligence (CTI) è la conoscenza che ti consente di prevenire o mitigare tali attacchi. Radicata nei dati, fornisce un contesto in cui si può capire chi ti sta attaccando, quali sono le sue motivazioni e capacità e quali indicatori di compromissione nei sistemi cercare, aiuta a prendere, dunque, decisioni sulla sicurezza di qualunque ente.
Oggi il settore della cyber security deve affrontare numerose sfide: attori di minacce sempre più persistenti e subdoli, un flusso quotidiano di dati pieni di informazioni estranee e una grave carenza di professionisti qualificati. Alcune organizzazioni cercano di incorporare i feed di dati sulle minacce nella propria rete, ma non sanno cosa fare con tutti quei dati extra, aumentando il peso degli analisti che potrebbero non avere gli strumenti per decidere a cosa dare la priorità e cosa ignorare.
Una soluzione di cyber threat intelligence può affrontare ciascuno di questi problemi, soprattutto se si utilizzano elementi come il machine learning. Infatti, diversi studi fatti da Recorded Future, società specializzata nella raccolta, elaborazione, analisi e diffusione della cyber threat intelligence, dimostrano come le migliori soluzioni CTI utilizzano il machine learning per automatizzare la raccolta e l’elaborazione dei dati, integrarsi con le soluzioni esistenti, acquisire dati non strutturati da fonti disparate e quindi collegare i punti fornendo il contesto sugli indicatori di compromissione (IoC) e sulle tattiche, tecniche e procedure (TTP) degli attori delle minacce.
Il CTI-EU forum
A quanto pare la stessa Unione Europea si e posta questo quesito, ma con esiti un po’ diversi. Infatti la semi-automazione della produzione della cyber threat intelligence è uno strumento importante, sempre più in crescita, eppure le attività manuali stanno ancora costituendo il nucleo della produzione delle organizzazioni. Le attività di aggregazione, analisi e diffusione delle informazioni sono gestite utilizzando strumenti ampiamente disponibili come fogli di calcolo e piattaforme di gestione open source, che è indicativo di efficienza delle soluzioni a basso costo. Inoltre, nel gennaio 2020 l’ENISA ha organizzato il CTI-EU forum, evento che mira a riunire esperti, professionisti, ricercatori, mondo accademico e individui interessati agli sviluppi nell’area della cyber threat intelligence. Gli argomenti trattati sono stati i più disparati dalle best practices ai nuovi sviluppi in ambito CTI, tutti i vari strumenti, servizi e tecnologie del settore, per non parlare degli sviluppi nel panorama delle minacce cyber fino alle ultime piattaforme intelligence. Le presentazioni, le discussioni e le dimostrazioni dei fornitori hanno trattato lo stato dei prodotti e dei vari approcci. Sembra che la prossima sfida sarà consolidare e diffondere i tools esistenti al fine di ottenere un uso più esteso di efficienza in termini di costi e sinergia. Secondo l’ENISA, infatti, le principali opportunità a tale riguardo sono la condivisione di pratiche, requisiti, strumenti e informazioni non concorrenziali.
A parte questo, l’individuazione di nuove parti interessate che entrano nell’attività – produttori e consumatori – migliorerà le capacità, identificherà i requisiti standard e creerà condivisione in modo tempestivo. Inoltre vari feed e strumenti open source che supportano OpenCTI (piattaforma open source che consente alle organizzazioni di archiviare, organizzare, visualizzare e condividere le proprie conoscenze sulle minacce informatiche), sono stati giudicati molto importanti per i produttori e consumatori, consentendo il libero accesso a preziosi strumenti a basso costo. Si parla sempre di più di una quantità significativa di requisiti della materia che riflette le esigenze del business e dei dirigenti. Ciò indica che la cyber threat intelligence sta diventando parte del processo decisionale a livello aziendale e gestionale. Infatti, la combinazione di consumo e produzione della cyber threat intelligence è il metodo migliore per costruire delle conoscenze della materia all’interno della propria organizzazione.
Mancanze nel CTI: alcuni esempi
Nonostante i livelli di maturità più elevati raggiunti nelle pratiche, negli strumenti, nella fornitura e nel consumo, vi sono ancora lacune in questo settore. In particolare, per quanto riguarda vari casi d’uso, CTI settoriali e tipi di CTI (operativo, tattico, strategico). È stato convenuto che gli elementi inclusi in varie best practice e framework internazionali devono evolversi per includere l’intelligence da un più ampio spettro di applicazione. Un esempio è la mancanza di enfasi sugli attacchi al cloud computing. Richieste simili possono arrivare da infrastrutture che stanno emergendo (ad esempio 5G), o che hanno natura specializzata, ma svolgono ancora un ruolo essenziale nei sistemi industriali critici, ad esempio i sistemi di controllo industriale (ICS) e i sistemi di controllo e acquisizione dei dati (SCADA). Oltre a questo, gli elementi che richiederanno ulteriori considerazioni sono le linee guida sulla prevenzione, il rilevamento e le pratiche di mitigazione. Ciò faciliterà lo sviluppo delle capacità necessarie e consentirà l’uso della cyber threat intelligence appositamente predisposta per questi settori.
Altro elemento critico è il tempo che intercorre tra un incidente, la produzione di strumenti CTI e l’inserimento di queste informazioni in open source tools. Sarà un più stretto coordinamento e cooperazione tra le parti coinvolte che ridurrà il problema. Costruire la fiducia tra le entità partecipanti, infatti, è la chiave per accelerare la supply chain del settore. Dunque si può evincere che le carenze descritte non sono dovute a una mancanza di conoscenza della materia di per sé, ma piuttosto ai lunghi cicli di comunicazione e coordinamento intersettoriali e intra-settoriali per lo scambio di conoscenze. Questo ha l’effetto che, quando un consumatore CTI desidera creare un’ambiente degno di nota, la selezione di elementi adeguati non è semplice. Ciò è dovuto principalmente al fatto che la fornitura di servizi e il panorama degli strumenti esistenti sono alquanto frammentati. Nel tentativo di creare un ambiente di questo tipo, gli utenti dovranno farlo selezionando un sistema “best of breed” dalle offerte esistenti. La loro selezione deve soddisfare i requisiti e le pratiche e i processi applicati, tenendo conto dei loro obiettivi di maturità attuali e futuri.
Contesto italiano della cyber threat intelligence
In Italia, tutti gli operatori di servizi essenziali hanno deciso di porre l’accento sulla importanza della cyber threat intelligence. Lo stesso rapporto CLUSIT del 2020 evince che un’adeguata profilazione delle minacce non può prescindere dall’analisi dello scenario geopolitico e internazionale, specie per un’organizzazione complessa. Questo tipo di analisi, unitamente ad una attività di all-source intelligence, costituisce il complemento necessario all’analisi e all’investigazione tecnica degli eventi (che riguarda “il cosa” e in parte “il come” di un evento cibernetico), per indagare – e possibilmente comprendere – chi può sferrare un attacco (il chi) e per quali motivazioni (il perché). Lo stesso vale per eventi esogeni e naturali, con riguardo all’esame delle cause a monte.
Un sistema compiuto di cyber intelligence prevede l’impiego di analisi strategica unitamente ad analisi tecnico-tattica e operativa. Il threat model e il cyber threat model sono strumenti essenziali per lo svolgimento di attività di cyber intelligence. Tali modelli e le loro evoluzioni costituiscono, infatti, la stella polare da seguire nelle attività di prevenzione e contrasto delle minacce.
Il threat model rappresenta uno strumento indispensabile per l’identificazione e la definizione delle potenziali minacce e per la loro prioritizzazione; il suo aggiornamento deve tuttavia ancorarsi al concreto lavoro di indagine. L’assunto teorico che sottende alla profilazione trova validazione nella sperimentazione quotidiana sul campo, fatta di analisi e investigazione su casi concreti. Lo sviluppo di un threat model deve tener conto del complesso dei trend in atto e della specificità della minaccia cibernetica, anche per fornire una base adeguata per la definizione di un cyber threat model. Entrambi questi modelli vanno continuamente aggiornati, seguendo un approccio di tipo evolutivo e adattativo verso il contesto esterno. Il cyber threat model ha la funzione primaria di offrire un benchmark sempre aggiornato sull’evoluzione delle minacce cyber rilevanti per l’organizzazione: esso consente lo svolgimento di adeguate attività di cyber intelligence.
Le aziende continuano sopratutto in questo contesto di pandemia a sottolineare come la profilazione delle minacce e lo scambio di informazioni sono azioni essenziali per l’efficace svolgimento di attività di cyber intelligence. È fondamentale potenziare strumenti idonei per individuare le minacce che possono avere impatti su patrimonio, compiti e reputazione di un’organizzazione complessa. La modellazione delle minacce deve seguire un approccio adattativo ed evolutivo, stimolando driver quali mutazione e auto-organizzazione. Elemento basilare nelle attività di cyber intelligence è anche l’information sharing: occorre promuovere uno scambio informativo allargato, per accrescere il grado di conoscenza collettiva della minaccia e per aumentare la capacità sistemica di prevenzione e contrasto.
Più in generale, alla luce delle recenti evoluzioni dello scenario internazionale, la complessità delle sfide con cui il Sistema Paese dovrà confrontarsi nei prossimi anni si presenta particolarmente impegnativa. Il prossimo futuro dovrà pertanto essere contraddistinto da un cambio di passo, in termini di avanguardia tecnologica, interoperabilità e digitalizzazione, per dotare il Sistema Paese di capacità e livelli di prontezza adeguati a fronteggiare le nuove minacce, comprese quelle ad oggi soltanto ipotizzabili.
Infatti il nuovo piano pluriennale 2020-2022 pubblicato dal Ministero della Difesa sottolinea come bisogna dare strumenti alla Italia per operare in tutti i domini, allargando sempre di più il campo d’azione anche all’ambiente cibernetico ed in tutti gli scenari, con particolare attenzione alla minaccia ibrida. Il documento sottolinea inoltre come si debba giocare in veste di sistema‐Paese nell’ottica del cambiamento di investimenti urgenti nei nuovi domini Cyber e Spazio, delle reti, del Tactical Cloud, Intelligenza Artificiale, Robotica, Big Data, Edge/Quantum Computing e Digital Collaboration, tutti settori di prioritario potenziamento.
Machine learning e Analisti CTI: combo perfetta?
Proprio sull’utilizzo di queste nuove tecnologie, una cyber threat intelligence che utilizza funzioni di machine learning può apportare diversi vantaggi, motivo per il quale diverse aziende italiane la stanno mettendo in atto. Se prendiamo come esempio le categorie nel quale viene suddivisa la cyber threat intelligence, possiamo evincerne alcuni. L’intelligence strategica ha lo scopo di informare le decisioni di alto livello prese dai dirigenti e da altri responsabili delle decisioni in un’organizzazione – in quanto tale, il contenuto è generalmente meno tecnico e viene presentato tramite rapporti o briefing.
Una buona intelligence strategica dovrebbe fornire informazioni su aree come i rischi associati a determinate linee di azione, ampi modelli di tattiche e obiettivi degli attori della minaccia. Le fonti comuni di informazione includono dunque documenti politici di stati-nazione o organizzazioni non governative, notizie dai media locali e nazionali, pubblicazioni specifiche di settore e tematiche, White paper, rapporti di ricerca e altri contenuti prodotti da varie organizzazioni. Sebbene il prodotto finale non sia tecnico, la produzione di un’intelligenza strategica efficace richiede una ricerca approfondita attraverso enormi volumi di dati, spesso in più lingue. Ciò può rendere la raccolta iniziale e l’elaborazione dei dati troppo difficile da eseguire manualmente, anche per quegli analisti rari che possiedono le giuste competenze linguistiche, il background tecnico e il mestiere. Una soluzione di cyber threat intelligence che automatizza la raccolta e l’elaborazione dei dati aiuta a ridurre questo onere e consente agli analisti che non hanno la stessa esperienza di lavorare in modo più efficace.
L’intelligence operativa, invece, è la conoscenza di attacchi informatici, eventi o campagne. Fornisce approfondimenti specializzati che aiutano i team di risposta agli incidenti a comprendere la natura, l’intento e la tempistica di attacchi specifici. Una fonte comune di informazioni tecniche sono i feed di dati sulle minacce, che di solito si concentrano su un singolo tipo di indicatore, come i domini sospetti. Altre fonti di informazioni su attacchi specifici possono provenire da fonti chiuse come l’intercettazione delle comunicazioni del gruppo di minacce, sia attraverso l’infiltrazione che tramite irruzione in quei canali di comunicazione. Di conseguenza, ci sono alcuni ostacoli alla raccolta di questo tipo di informazioni come ad esempio l’accesso. I gruppi di minacce possono comunicare su canali privati e crittografati o richiedere una prova di identificazione. Esistono anche barriere linguistiche con gruppi di minaccia situati in paesi stranieri.
Si pensi al rumore che può essere difficile o impossibile raccogliere manualmente da fonti ad alto volume come chat room e social media. Le soluzioni di Threat Intelligence che si basano su processi di machine learning per la raccolta automatizzata dei dati su larga scala possono superare molti di questi problemi quando si cerca di sviluppare un’efficace intelligence sulle minacce operative. Una soluzione che utilizza l’elaborazione del linguaggio naturale, ad esempio, sarà in grado di raccogliere informazioni da fonti in lingua straniera senza bisogno di competenze umane per decifrarle. Con l’elaborazione del linguaggio naturale, le entità e gli eventi sono in grado di andare oltre le semplici parole chiave, trasformando il testo non strutturato da fonti in diverse lingue in un database strutturato. L’apprendimento automatico che guida questo processo può separare la pubblicità dal contenuto principale, classificare il testo in categorie come prosa, registri di dati o codice e chiarire le ambiguità tra entità con lo stesso nome (come “Apple” l’azienda e “mela” il frutto) utilizzando indizi contestuali nel testo circostante.
In questo modo, il sistema può analizzare il testo da milioni di documenti ogni giorno in sette lingue diverse, un’attività che richiederebbe un team di analisti umani poco pratico e competente. Infine si potrebbe pensare a classificare eventi ed entità, aiutando gli analisti umani a dare la priorità agli avvisi. L’apprendimento automatico e la metodologia statistica vengono utilizzati per ordinare ulteriormente entità ed eventi in base all’importanza, ad esempio assegnando punteggi di rischio a entità dannose. I punteggi di rischio vengono calcolati attraverso due sistemi: uno guidato da regole basate sull’intuizione e l’esperienza umana e l’altro guidato dall’apprendimento automatico addestrato su un set di dati già controllato. Classificatori come i punteggi di rischio forniscono sia un giudizio (“questo evento è critico”) e il contesto che spiega il punteggio (“perché più fonti confermano che questo indirizzo IP è dannoso”). L’automazione della classificazione dei rischi consente agli analisti di risparmiare tempo nella selezione dei falsi positivi e nel decidere a cosa dare la priorità, aiutando il personale di sicurezza IT.
I diversi casi d’uso della cyber threat intelligence: prospettive future nel campo nazionale
I diversi casi d’uso della cyber threat intelligence ne fanno una risorsa essenziale per i team interfunzionali di qualsiasi organizzazione. Sebbene sia forse il valore più immediato quando aiuta a prevenire un attacco, è anche una parte utile del triage, dell’analisi dei rischi, della gestione delle vulnerabilità e del processo decisionale ad ampio raggio.
Infatti, gli analisti della sicurezza incaricati della risposta agli incidenti riportano alcuni dei più alti livelli di stress nel settore e non c’è da meravigliarsi del perché: il tasso di incidenti informatici è costantemente aumentato negli ultimi due decenni e un’alta percentuale di avvisi giornalieri risulta non veritiera.
Quando si tratta di incidenti reali, gli analisti devono spesso dedicare del tempo a smistare manualmente i dati per valutare il problema. L’utilizzo della CTI può essere di aiuto per l’identificazione e l’eliminazione automatica dei falsi positivi, confrontando di informazioni da fonti interne ed esterne. La maggior parte dei team del Security Operations Center (SOC) deve gestire enormi volumi di avvisi generati dalle reti che monitorano. Il rilevamento di questi avvisi richiede troppo tempo e molti non vengono mai esaminati. Una buona cyber threat intelligence risolve molti di questi problemi, aiutando a raccogliere informazioni sulle minacce in modo più rapido e accurato, filtrare i falsi allarmi, accelerare il triage e semplificare l’analisi degli incidenti. Sebbene il numero di vulnerabilità e minacce sia aumentato ogni anno, spesso la maggior parte delle minacce prende di mira la stessa piccola percentuale di vulnerabilità.
Gli autori delle minacce sono anche più veloci: ora ci vogliono in media solo quindici giorni tra l’annuncio di una nuova vulnerabilità e la comparsa di un exploit che la prende di mira. Ciò ha due implicazioni: o due settimane per correggere e riparare i sistemi contro un nuovo exploit oppure se una nuova vulnerabilità non viene sfruttata entro due settimane o tre mesi, è improbabile che lo sia mai; la patch può avere una priorità inferiore. La CTI aiuta a identificare le vulnerabilità che rappresentano un rischio effettivo per l’organizzazione, combinando dati di scansione delle vulnerabilità interne, dati esterni e contesto aggiuntivo sulle TTP degli attori delle minacce. La modellazione del rischio può essere un modo utile per le organizzazioni di stabilire le priorità di investimento. Ma molti modelli di rischio soffrono di risultati vaghi e non quantificati che vengono compilati frettolosamente, sulla base di informazioni parziali, sulla base di ipotesi infondate, o su cui è difficile agire. La CTI fornisce un contesto che aiuta i modelli di rischio a effettuare misurazioni del rischio definite e ad essere più trasparenti sulle loro ipotesi, variabili e risultati. Per proteggere l’organizzazione, inoltre, non è sufficiente rilevare e rispondere solo alle minacce che già sfruttano i sistemi.
È necessario prevenire usi fraudolenti dei dati o del marchio. La CTI raccolta dalle comunità criminali clandestine fornisce una finestra sulle motivazioni, i metodi e le tattiche degli attori delle minacce, specialmente quando questa intelligence è correlata con le informazioni dal clear web, inclusi feed e indicatori tecnici. Si possono dunque evitare così frodi nei pagamenti. Altro elemento di cui si parla spesso sono I CISO e gli altri leader della sicurezza che devono gestire il rischio bilanciando le limitate risorse disponibili contro la necessità di proteggere le proprie organizzazioni da minacce in continua evoluzione. La CTI può aiutare a mappare il panorama delle minacce, calcolare il rischio e fornire al personale di sicurezza il contesto per prendere decisioni migliori e più rapide.
Oggi i leader della sicurezza devono saper valutare i rischi aziendali e tecnici, comprese le minacce emergenti e le “incognite note” che potrebbero avere un impatto sul business, ma anche identificare le strategie e le tecnologie giuste per mitigare i rischi, comunicare la natura dei rischi al top management e giustificare gli investimenti in misure difensive. L’utilizzo della cyber threat intelligence può essere una risorsa fondamentale per tutte queste attività. Con un ampio set di fonti di dati esterne, i responsabili delle decisioni in materia di sicurezza ottengono una visione olistica del panorama dei rischi informatici e dei maggiori rischi per la loro azienda.
Conclusioni
Alla luce di tutti questi sviluppi nel settore si possono trarre le seguenti conclusioni. La cyber threat intelligence sarà rafforzata in conformità con il nuovo ruolo che l’ENISA ha acquisito tramite il Cyber Security Act, ma anche tenendo conto degli sviluppi osservati nelle sue comunità di stakeholders, come gli Stati membri, la Commissione europea e altri organismi, fornitori e utenti finali europei. Dato il numero crescente di parti interessate dell’UE e degli Stati membri, la cooperazione e il coordinamento delle attività a livello dell’UE sono fondamentali.
Sebbene la creazione di sinergie possa ridurre i costi, aumenta anche la fiducia tra gli attori, consentendo così la condivisione di best practices.
L’importanza della cyber threat intelligence per il processo decisionale strategico e politico è ben salda ma sarà sempre più evidente la sua connessione con informazioni geopolitiche e sistemi cyber-fisici. Ciò prevedrà l’inclusione della cyber threat intelligence nei processi decisionali, ma consentirà anche di ampliare il suo contesto per identificare le minacce ibride. L’integrazione della CTI con i processi di security management aiuterà la materia a proliferare in settori correlati e contribuirà alla identificazione, al rilevamento e alla prevenzione delle minacce. Un effetto immediato sarà quello di aumentare l’agilità di processi piuttosto duraturi (ad esempio certificazione, risk assessment). Allo stesso tempo, faciliterà processi come crisis management, fornendo prove sull’esposizione dei cyber risks. Per rispondere meglio al ruolo crescente della cyber threat intelligence, si lavorerà alla creazione di un programma completo europeo.
L’apprendimento automatico può anche generare modelli che prevedono il futuro, spesso in modo molto più accurato rispetto a qualsiasi analista umano, attingendo a vasti pool di dati precedentemente estratti e classificati. Questa è un’applicazione particolarmente forte della “legge dei grandi numeri” dell’apprendimento automatico: poiché continuiamo ad attingere a più fonti di dati, questi modelli predittivi diventeranno sempre più accurati. Sebbene gli strumenti possano aggiungere valore alla intera materia della cyber threat intelligence, le capacità dell’analista rimangono ancora importanti per il successo della sua attuazione, motivo per il quale ciascun paese dovrebbe sempre di più investire, compreso il nostro, nella formazione di operatori del mondo CTI.