La natura in continua evoluzione della sicurezza informatica ha sfidato le aziende e le organizzazioni di tutte le dimensioni ad adattarsi e migliorare le difese per impedire l’accesso ai dati sensibili e lo sfruttamento delle vulnerabilità della rete. I professionisti della sicurezza informatica utilizzano l’intelligence tattica sulle minacce per acquisire preziose conoscenze per proteggere dalla criminalità informatica.
Questo articolo discuterà l’intelligence tattica sulle minacce e come viene raccolta, compresa e applicata.
Comprensione dell’intelligence sulle minacce informatiche (CTI)
Cyber threat intelligence (CTI) si riferisce a tutte le informazioni che possono essere raccolte su potenziali attacchi informatici. Questo può variare da informazioni curate dai principali fornitori di sicurezza, perlustrare forum di hacking e dark web, a collaborare con altre organizzazioni e identificare le vulnerabilità internamente.
La raccolta di quante più informazioni e dati rilevanti possibile può aiutare i team di sicurezza informatica a comprendere e monitorare l’esposizione della loro superficie di attacco. La superficie di attacco riguarda l’infrastruttura software e le vulnerabilità di rete che un criminale informatico può sfruttare per accedere a informazioni sensibili. Conoscere la superficie di attacco significa costruire difese migliori e mitigare qualsiasi rischio.
Debolezze e vulnerabilità possono assumere molte forme e forme, con i sistemi finanziari e di pagamento una delle aree più mirate. Per una maggiore protezione, dovresti sempre assicurarti che i tuoi sistemi di pagamento siano conformi agli standard moderni.
I quattro tipi principali di intelligence sulle minacce informatiche
L’intelligence sulle minacce informatiche è disponibile in quattro tipi principali:
- Strategico
- Tattico
- Operativo
- Tecnico
Riassumeremo gli altri tre tipi di CTI prima di approfondire l’intelligence tattica sulle minacce informatiche.
Strategico
Strategic CTI si riferisce all’intelligence di alto livello sul mondo in continua evoluzione della criminalità informatica. Questa intelligence viene spesso utilizzata dai responsabili delle decisioni senior all’interno di un’organizzazione per allocare meglio il proprio budget per la sicurezza e la difesa.
L’intelligence viene raccolta da documentazione altamente informata, come report sulla sicurezza dedicati, report di settore, white paper, documenti politici e pubblicazioni rispettate.
Operativo
Il CTI operativo si riferisce a informazioni utilizzabili relativamente nuove che soddisfano le esigenze dell’azienda. Tali informazioni sono prioritarie e richiedono una rapida attenzione da parte del responsabile della sicurezza e del team di difesa della rete.
Tecnico
L’intelligence tecnica sulle minacce informatiche copre gli indicatori che potrebbero compromettere il controllo di un centro operativo di sicurezza centralizzato (SOC). Ciò potrebbe riferirsi a specifici processi organizzativi e utenti che possono concedere l’accesso non autorizzato agli attori delle minacce.
Che cos’è l’intelligence tattica sulle minacce informatiche?
L’intelligence tattica sulle minacce informatiche è la raccolta di informazioni per determinare in che modo un attore di minacce attacca in genere un’infrastruttura e una rete software e l’uso di questa intelligence per rilevare potenziali attacchi simili e ridurre la probabilità o gli effetti di tali eventi. Questo approccio alla sicurezza informatica è proattivo, garantendo che tutte le parti interessate siano completamente aggiornate sugli sviluppi o le tendenze recenti.
In particolare, il CTI tattico si riferisce a “tattiche, tecniche e procedure (TTP)” incentrate sui punti di forza e di debolezza della rete di un’organizzazione e sulla sua capacità di prevenire gli attacchi informatici. Pertanto, le persone che agiscono in base a queste informazioni sono in genere i gestori SOC e gli amministratori dei servizi IT.
Tactical CTI va anche oltre la rete interna e considera le vulnerabilità sul sito Web dell’organizzazione e sugli account dei social media, assicurando che l’integrità del marchio non sia compromessa.
Esempi di CTI tattiche includono:
- Liste nere di URL e IP
- Tendenze e firme del malware
- ransomware
- Truffe di phishing
- Modelli di traffico
- File di registro di attacchi noti
- Credenziali APT ( Advanced Persistent Threats ).
Queste informazioni sono ottenute dall’intelligence open source (OSINT), che può includere, ma non si limita a:
- Campioni di malware e rapporti sugli incidenti
- Rapporti del gruppo di attacco
- Rapporti sulla campagna
- Intelligenza umana
- Il dark (deep) web, come forum e chat room
Come viene utilizzata la CTI tattica?
Tactical CTI sarà utilizzato principalmente da professionisti tecnici che comprendono a fondo come la rete dell’organizzazione può essere infiltrata utilizzando tecniche moderne e avanzate. Come accennato, i professionisti della sicurezza possono includere responsabili di centri operativi di sicurezza, responsabili IT, gestori di centri operativi di rete e qualsiasi dipendente senior correlato a queste aree.
L’intelligence tattica sulle minacce informatiche può aiutare a rispondere a molte domande, ad esempio a quali tattiche, tecniche e procedure l’attaccante può avere accesso e come contrastarle.
Qual è il vantaggio della CTI tattica dal punto di vista aziendale?
L’intelligence tattica sulle minacce informatiche è molto importante per le aziende e le organizzazioni e può essere suddivisa in quattro vantaggi chiave, di cui parleremo di seguito.
1. Crea un sistema di sicurezza informatica strutturato e proattivo
La creazione di un sistema di sicurezza informatica proattivo può ridurre drasticamente i rischi e le vulnerabilità. Tactical CTI fornisce informazioni su come un attore di minacce può tentare di attaccare una rete, identificare potenziali punti di accesso e misurare la superficie di attacco complessiva di un sistema.
Se un attacco ha successo, questo tipo di CTI può anche aiutare a fermare gli attaccanti nel loro percorso, impedendo loro di raggiungere i loro obiettivi e mitigando l’impatto generale dell’intrusione.
2. Aiuta a rendere più digeribili i dati complessi
La tua intelligence sulla sicurezza informatica probabilmente arriverà in schede dati grandi e non organizzate. Tactical CTI può aiutare a dare un senso a questi dati in modo strutturato in modo da poter intraprendere azioni per proteggere efficacemente la rete aziendale.
Questa quantità di dati sarà probabilmente troppo ampia per essere ordinata manualmente, quindi la tecnologia di apprendimento automatico viene spesso utilizzata per estrarre informazioni importanti e utilizzabili.
3. Migliore reattività agli attacchi
Il tuo team di sicurezza utilizza l’intelligence tattica sulle minacce informatiche per identificare rapidamente gli attacchi e lanciare una risposta immediata ed efficace. CTI consente loro di determinare se le difese attuali sono adatte allo scopo e che le loro procedure investigative possono individuare gli attacchi più recenti e avanzati.
Le ultime informazioni sui TTP possono migliorare significativamente i metodi di rilevamento e il team può dare la priorità ai propri sforzi per monitorare le aree più vulnerabili su una rete. Gli aggressori sono costantemente alla ricerca di nuovi modi per prendere di mira le vittime, dal tentativo di estrarre le credenziali bancarie aziendali alle informazioni di identificazione personale dei tuoi clienti.
3. Procedure e difese a prova di futuro
I sistemi di sicurezza non possono più essere reattivi. Devono essere posizionati per rilevare eventuali minacce in tempo reale e per lanciare le difese necessarie per ridurre al minimo l’impatto di qualsiasi attacco. Ciò richiede un framework adattabile progettato per resistere a una serie di minacce alla sicurezza informatica.
Raccogliere attivamente le CTI più aggiornate è fondamentale per preparare un’organizzazione agli exploit più recenti e sofisticati. L’implementazione di sistemi di verifica zero trust e avanzati sono tra i modi migliori per proteggere le reti.
Conclusione
Tactical CTI si concentra sulla raccolta di quanti più dati possibili sulle ultime minacce alla sicurezza informatica . Queste informazioni possono essere raccolte da varie fonti, tra cui il dark web, i rapporti sugli incidenti e l’intelligence umana verificata.
Utilizzando questi dati, i responsabili della sicurezza possono identificare le vulnerabilità nella rete di un’organizzazione, quindi implementare processi e difese in modo da identificare rapidamente gli attacchi e mitigare i danni.
FONTE: https://businessinsights.bitdefender.com/tactical-threat-intelligence-everything-you-need-to-know
