Cyber Threat Intelligence Platform: requisiti per scegliere

18 Febbraio 2021

Cyber attacchi e minacce informatiche sono in crescita per numero, incidenza e danni arrecati alle aziende. L’intelligence sulle minacce è la conoscenza che consente di prevenire o mitigare tali attacchi. In particolare, Gartner definisce l’intelligence sulle minacce come “una conoscenza basata sull’evidenza, inclusi contesto, meccanismi, indicatori, implicazioni e consigli orientati all’azione su una minaccia esistente o emergente o un pericolo per le risorse. Questa intelligence può essere utilizzata per informare le decisioni riguardanti la risposta del soggetto a quella minaccia o rischio”.

Avvalersi di una Cyber Threat Intelligence Platform non deve essere considerata come una dotazione “d’élite”, bensì come un mezzo capace di aggiungere valore alle funzioni di sicurezza per le organizzazioni di tutte le dimensioni.

Ma come scegliere la soluzione più appropriata alle proprie esigenze e soprattutto allineata alle proprie capacità di spesa?

Stabilire requisiti o priorità è la base di partenza per giungere alla decisione e l’ultimo report realizzato dall’ENISA può costituire un vademecum di linee guida a cui ispirarsi per avviare questa valutazione.

Scegliere una Cyber Threat Intelligence Platform: le indicazioni dell’ENISA

Il documento Cyber Threat Intelligence overview dell’ENISA fornisce una panoramica ampia e articolata dello stato di avanzamento della Cyber Threat Intelligence (CTI) come dominio dinamico della sicurezza informatica, sia in riferimento alle best practice, sia in termini di capacità delle piattaforme in commercio ovvero delle Cyber Threat Intelligence Platforms.

La survey condotta sui sistemi Cyber Threat Intelligence ha evidenziato alcune caratteristiche importanti:

  • Necessità dell’introduzione della semi-automazione nella produzione di Cyber Threat Intelligence: attualmente solo l’inserimento automatico di informazioni è in aumento, mentre le attività manuali sono ancora il nucleo della produzione CTI delle organizzazioni. Per aumentare la semi-automazione è necessario ricorrere a Cyber Threat Intelligence Platforms che già la utilizzano.
  • Evoluzione verso strumenti analisi, gathering, collection e sharing di più alto profilo: le soluzioni CTI analizzate non sono vere Cyber Threat Intelligence Platforms, perché sfruttano componenti come fogli di calcolo, posta e piattaforme di gestione open source (cioè soluzioni a basso costo) per aggregazione, analisi e diffusione delle informazioni.
  • Specializzazione delle piattaforme Cyber Threat Intelligence Platforms secondo requisiti non solo operativi, ma anche di business dei dirigenti a dimostrazione che la disciplina CTI sta diventando parte del processo decisionale a livello aziendale e gestionale.
  • Integrazione di dati da fonti aperte, specifici alert sulla minaccia, raw data e analisi condotte dai team interni, possono insieme, concorrere alla costituzione della base di conoscenza della Cyber Threat Intelligence Platform. 
  • Utilizzo massivo di strumenti di information gathering open source e di crawler per la fase di “ingestion” dei dati, unitamente all’adozione di feed spesso forniti dai vendor di security.
  • Capacità di threat detection come caso d’uso principale, coniugato all’individuazione di indicatori di compromissione (IoC) per il rilevamento e la risposta alle minacce.
  • Adozione di framework come ATT&CK per la comprensione del comportamento su minacce e tattiche avversarie (TTPs).
  • Misurazione di parametri di efficacia della Cyber Threat Intelligence Platform.

I maggiori gap identificati da ENISA per le Cyber Threat Intelligence Platform riguardano l’applicabilità e la capacità delle soluzioni di essere settoriali per tipologie di ambiti di mercato o “verticali” rispetto ad alcuni tipi di use cases come, ad esempio, gli attacchi su Cloud, o emergenti come gli attacchi in ambito 5G.

Particolare interesse riveste la tipologia di Cyber Threat Intelligence Platform: le piattaforme possono avere, infatti, un approccio operativo, tattico o strategico. Non da meno il concetto di aggiornamento rispetto al tipo di attacco in continua evoluzione (TTPs) specializzando le corrispondenti tecniche di prevenzione, individuazione (detection), mitigazione e recupero per specifici settori critici.

Per la chiusura dei gap, ENISA suggerisce il miglioramento delle comunicazioni e del coordinamento con quei processi aziendali che potrebbero ottimizzare la base di conoscenza della Cyber Threat Intelligence Platform e che troppo spesso restano invece asincroni rispetto al funzionamento. Sono, ad esempio, la gestione delle crisi di sicurezza, la gestione degli incidenti e la risposta data a questi eventi, la ricerca delle minacce e la gestione delle vulnerabilità.

La creazione di un programma di Cyber Security Resiliente e vigile

L’adozione di una Cyber Threat Intelligence Platform dovrebbe abilitare le decisioni sulla base di informazioni e valutazioni di tipo predittivo scaturite dal monitoraggio del dominio cibernetico sulle proprie informazioni.

Una Cyber Threat Intelligence Platform ideale sfrutta le metodologie e le tecnologie dell’intelligence per sviluppare un programma di cyber security di monitoraggio predittivo, focalizzando la protezione attorno ai dati sensibili aziendali soggetti a maggior rischio, consentendo la conoscenza delle minacce imminenti verso l’organizzazione e valutando il loro impatto potenziale sui processi e prodotti critici aziendali.

Questa conoscenza permette all’azienda di “prepararsi al peggio” ma in anticipo, introducendo misure di mitigazione del rischio, di contrasto alla minaccia e pianificando azioni di contenimento e remediation in condizioni di emergenza.