Intelligence sul Dark Web: come si fa e perché aiuta l’azienda a difendersi

9 Febbraio 2021

Con l’incremento di incidenza e gravità degli attacchi Cyber, le difese di tipo “reattivo”, tipiche della IT Security, non sono più sufficienti. La minaccia informatica sempre più dannosa, persistente se non anche asimmetrica, ha raggiunto livelli di sofisticazione tali da dover essere trattata in modo preventivo. Dunque, piuttosto che aspettare l’attacco, effettuare attivamente intelligence sulla minaccia informatica e avere un approccio proattivo ai rischi che la minaccia eleva è la sola strada possibile, coniugata all’aumento di consapevolezza degli utenti verso i rischi.

Una parte considerevole della conoscenza deriva da pratiche di intelligence sul Dark Web, ovvero dallo studio degli avversari che si nascondono nel “mercato nero digitale”. E proprio l’intelligence sul Dark Web può garantire l’accesso a informazioni strategiche e tattiche sulle intenzioni avverse dei criminali che consente di calcolare il rischio imminente o quello potenziale e il suo tempo di accadimento. L’uso dell’intelligence sul Dark Web per valutare il rischio consente di innalzare il livello di fiducia nelle informazioni tratte dal panorama della sicurezza informatica e contribuisce alla creazione di un processo decisionale più efficiente.

Concetti introduttivi alla Open Source Intelligence e al Dark Web

Ma cosa significa “fare intelligence”? Le informazioni di intelligence sono spesso disponibili da singole fonti aperte, le cosiddette OSINT (Open Source Intelligence), come il Web Surface, il Deep Web e il Dark Web, ma a volte devono essere tratte dalla combinazione, correlazione e analisi di tutte le fonti insieme, considerando anche uno o più feed ed eventuali dati tecnici. Non è tuttavia possibile affrontare manualmente questi task di analisi considerando il tempo necessario e le risorse per raccogliere, analizzare e combinare tutte le informazioni. 

L’ideale è potersi avvalere di piattaforme di intelligence con capacità di crawling e gathering di dati, capaci anche di link analysis ed eventualmente di analisi deduttiva a supporto degli analisti umani.  Quando il focus delle ricerche di intelligence riguarda la minaccia informatica, si parla di soluzioni di Threat Intelligence. Le analisi di intelligence sono utilizzate per valutare in modo preventivo i rischi che incombono sulla propria organizzazione. Attraverso la loro conoscenza e comprensione, è possibile introdurre contromisure che possano contribuire a mitigare i rischi, rendendoli accettabili per l’organizzazione stessa. Conoscere il proprio nemico, insomma, come chiave per prepararsi ad affrontarlo. 

Il Dark Web non ha un’unica definizione, ma rappresenta il luogo digitale dove si incontrano le communities dell’underground, sostanzialmente dedite ad attività illecite di qualsiasi genere. Il raffronto con il mondo reale è l’equivalenza con il “mercato nero” dell’illegalità. Alcune communities potrebbero essere solo siti onion accessibili tramite Tor, e altre potrebbe avere solo un indirizzo IP, ma nessuna ha mai un nome.

Il Dark Web come fonte per la Threat Intelligence e i suoi vantaggi

Gli analisti di intelligence possono utilizzare il Dark Web per ottenere informazioni qualitativamente preziose sulle minacce e sui potenziali target, che altrimenti non sarebbero accessibili tramite mezzi di ricerche di tipo convenzionale. Oltre a tutte le informazioni sottratte nei data breach, che svelano alle ignare vittime di essere state oggetto di esfiltrazione dei dati, vi sono anche codici informatici trafugati e vendita di vulnerabilità informatiche 0-day o nuovi vettori di attacco utilizzabili, rendendo visibile agli analisti le modalità con cui un attacco informatico potrebbe presentarsi verso un determinato target.

Riuscire a “infiltrarsi digitalmente” nelle community del “mercato nero digitale” ed effettuare attività di intelligence sul Dark Web, conferisce un indiscutibile vantaggio competitivo alla difesa di una organizzazione.  Ciò permette di conoscere gli intenti del nemico digitale e anticipare le azioni di difesa per ogni mossa nota dell’avversario, rafforzando in modo mirato quegli ambiti che risultano a rischio maggiore. Se è possibile riuscire a intervenire in modo più efficace ed efficiente, qualora dovesse presentarsi proprio la minaccia che si temeva, è altrettanto plausibile che nel migliore dei casi sia possibile evitarla del tutto.

Per utilizzare al meglio l’intelligence sul dark web, è consigliabile attivare delle notifiche dagli strumenti e piattaforme di supporto alla Threat Intelligence in modo tale da essere avvisati solo quando emergono nuove e rilevanti informazioni. Tuttavia, essere in grado di intervenire rapidamente al bisogno è altrettanto cruciale, qualora la notifica ricevuta evidenzi l’esigenza di effettuare ulteriori indagini o attivare un’escalation.

Potenziali problemi dell’intelligence sul dark web

Nonostante il grande potenziale che l’intelligence sul Dark Web può liberare in termini di tipi e qualità delle informazioni, è necessario tenere presente anche le sfide correlate.

La maggiore difficoltà nel Dark Web riguarda principalmente l’enorme quantità di conversazioni delle comunità “sotterranee” da controllare, filtrare e “setacciare”. Sono infatti molteplici le informazioni irrilevanti che possono far sprecare tempo alle risorse dedicate a questo task.

Un ulteriore complessità da non sottovalutare è anche il fatto che non tutte le community sono di interesse per una specifica ricerca e quindi è necessario saper discernere, riconoscendo quelle “community” che parlano di elementi di interesse. È anche necessario farsi accettare e quindi dimostrare le proprie capacità o le proprie motivazioni per entrare o addirittura vincere l’iniziale diffidenza che circonda “l’ultimo arrivato”. Ultimo, ma non meno importante, l’idioma specifico parlato in certi gruppi ristretti che spesso può essere una lingua o un dialetto locale alla zona geografica dove il particolare “mercato nero” si svolge. Questo tipo di linguaggio può rendere complessa la comprensione piena dei riferimenti, delle minacce e della identità stessa degli obiettivi target di attacco.