In un mondo iper-connesso come quello attuale, tutte le organizzazioni, rischiano di finire nel mirino dei cyber criminali. Con l’aumento di quantità e gravità degli attacchi cyber, le difese di tipo reattivo, tipiche della IT Security, non sono più sufficienti.
La minaccia informatica, sempre più dannosa e persistente, ha raggiunto livelli di sofisticazione tali da dover essere trattata in modo preventivo. Dunque, piuttosto che aspettare di subire l’attacco, è importante implementare attivamente pratiche di intelligence. Ovvero, le organizzazioni devono adottare un approccio proattivo verso i rischi che la minaccia informatica eleva ed aumentare la consapevolezza verso tali rischi.
Una parte considerevole di conoscenza e consapevolezza deriva da pratiche di intelligence sul Dark Web. Ovvero dallo studio degli avversari che si nascondono nel dark web. L’ intelligence sul Dark Web può garantire l’accesso a informazioni strategiche e tattiche sulle intenzioni avverse dei cyber criminali. Ciò consente di calcolare il rischio imminente o quello potenziale ed il suo tempo di accadimento. L’uso dell’ intelligence Dark Web per valutare il rischio consente di innalzare il livello di fiducia nelle informazioni tratte dal panorama della sicurezza informatica e contribuisce alla creazione di un processo decisionale più efficiente.
Concetti introduttivi alla Open Source Intelligence e al Dark e Deep Web
Ma cosa significa fare intelligence? Fare intelligence significa usare tecniche e metodologie, un tempo appartenenti esclusivamente al mondo dei servizi segreti governativi e militari, per l’analisi delle minacce.
Le informazioni di intelligence sono spesso rese disponibili da singole fonti aperte, le cosiddette OSINT (Open Source Intelligence), come il Web Surface, il Deep Web e il Dark Web. A volte però devono essere tratte dalla combinazione, correlazione e analisi di tutte le fonti insieme, considerando anche uno o più feed ed eventuali dati tecnici. Non è tuttavia possibile affrontare manualmente questi task di analisi considerando il tempo necessario e le risorse per raccogliere, analizzare e combinare tutte le informazioni.
L’ideale è potersi avvalere di piattaforme di intelligence con capacità di crawling e gathering di dati, capaci anche di link analysis ed eventualmente di analisi deduttiva a supporto degli analisti umani. Quando il focus delle ricerche di intelligence riguarda la minaccia informatica, si parla di soluzioni di Cyber Threat Intelligence. Le analisi di intelligence sono utilizzate per valutare in modo preventivo i rischi che incombono sulla propria organizzazione. Attraverso la loro conoscenza e comprensione, è possibile introdurre contromisure che possano contribuire a mitigare i rischi, rendendoli accettabili per l’organizzazione stessa. Conoscere il proprio nemico, insomma, come chiave per prepararsi ad affrontarlo.
Il Dark Web non ha un’unica definizione, ma rappresenta il luogo digitale dove si incontrano le communities dell’underground, sostanzialmente dedite ad attività illecite di qualsiasi genere. Il raffronto con il mondo reale è l’equivalenza con il mercato nero dell’illegalità. Alcune communities potrebbero essere solo siti onion accessibili tramite Tor, e altre potrebbe avere solo un indirizzo IP, ma nessuna ha mai un nome.
Il Dark Web come fonte per la Cyber Threat Intelligence e i suoi vantaggi
Gli analisti d’intelligence usano il Dark Web per ottenere informazioni preziose sulle minacce e sui potenziali target, che non sarebbero accessibili con le ricerche convenzionali. Oltre a tutte le informazioni sottratte nei data breach, che svelano alle ignare vittime di essere state oggetto di esfiltrazione dei dati, vi sono anche codici informatici trafugati e vendita di vulnerabilità informatiche 0-day. Tutto questo, rende visibile agli analisti le modalità con cui un attacco informatico potrebbe presentarsi verso un determinato target.
Riuscire a infiltrarsi digitalmente nelle community del mercato nero digitale ed effettuare attività di intelligence sul Dark Web, conferisce un indiscutibile vantaggio competitivo alla difesa di una azienda. Ciò permette di conoscere gli intenti del nemico digitale e anticipare le azioni di difesa per ogni mossa nota dell’avversario, rafforzando in modo mirato quegli ambiti che risultano a rischio maggiore.
Se è possibile riuscire a intervenire in modo più efficace ed efficiente, qualora dovesse presentarsi proprio la minaccia che si temeva, è altrettanto plausibile che nel migliore dei casi sia possibile evitarla del tutto.
Per utilizzare al meglio l’intelligence sul dark web, è consigliabile attivare delle notifiche dagli strumenti e piattaforme di supporto alla Cyber Threat Intelligence in modo tale da essere avvisati solo quando emergono nuove e rilevanti informazioni. Tuttavia, essere in grado di intervenire rapidamente al bisogno è altrettanto cruciale, qualora la notifica ricevuta evidenzi l’esigenza di effettuare ulteriori indagini o attivare un’escalation.
Potenziali problemi dell’intelligence sul dark web e sul deep web
Nonostante il grande potenziale che l’intelligence sul Dark Web può liberare in termini di tipi e qualità delle informazioni, è necessario tenere presente le sfide correlate.
La maggiore difficoltà nel Dark Web riguarda principalmente l’enorme quantità di conversazioni delle comunità sotterranee da controllare, filtrare e setacciare. Sono infatti molteplici le informazioni irrilevanti che possono far sprecare tempo alle risorse dedicate a questo task.
Un ulteriore complessità da non sottovalutare è che non tutte le community sono di interesse per una specifica ricerca, quindi è necessario saper discernere e riconoscere le community che parlano degli elementi di interesse. È anche necessario farsi accettare e quindi dimostrare le proprie capacità o le proprie motivazioni per entrare e vincere l’iniziale diffidenza che circonda l’ultimo arrivato. Ultimo, ma non meno importante è l’idioma specifico parlato in certi gruppi ristretti, può essere una lingua o un dialetto locale della zona geografica dove particolare mercato nero si svolge. Questo tipo di linguaggio può rendere complessa la comprensione piena dei riferimenti, delle minacce e della identità stessa degli obiettivi target di attacco.
