Intelligence sulle minacce: in termini pratici, come funziona?

Come funziona l'intelligence sulle minacce - Flexa Cloud

Come viene prodotta l'intelligence sulle minacce informatiche? Come funziona nella vita quotidiana delle aziende? Quali vantaggi hanno maggiori probabilità di ottenere le organizzazioni che lo sfruttano rispetto ai loro colleghi che non ci sono ancora arrivati?

Nella nostra serie di articoli sull'argomento, cerchiamo di aiutarti a capire perché questo concetto è fondamentale. Quindi ora proviamo a rispondere a queste domande. Guardare! 

→ Forse vuoi un'introduzione al concetto di intelligence sulle minacce. In questo caso, leggi prima questo articolo: 

Le sei fasi del ciclo di Threat Intelligence

L'intelligence sulle minacce informatiche è il prodotto finale che esce da un ciclo in sei parti di raccolta, elaborazione e analisi dei dati. Questo processo è un ciclo in cui vengono identificati nuovi problemi e lacune di conoscenza durante lo sviluppo dell'intelligence, portando alla definizione di nuovi requisiti di raccolta. 

In questo senso, un programma di intelligence efficace è iterativo, affinandosi nel tempo.

Per massimizzare il valore dell'intelligence sulle minacce che produci, è fondamentale identificare i casi d'uso e definire gli obiettivi prima di fare qualsiasi altra cosa. Segui gli argomenti che seguono!

1. Pianificazione e direzione

Il primo passo per produrre informazioni utili sulle minacce è porre le domande giuste.

Le domande che guidano al meglio la creazione di informazioni utili sulle minacce si concentrano su un singolo fatto, evento o attività: generalmente è necessario evitare domande ampie e aperte.

Dai la priorità ai tuoi obiettivi di intelligence in base a fattori quali il grado di aderenza ai valori fondamentali della tua organizzazione, l'impatto che avrà la decisione risultante e la delicatezza della decisione.

Un importante fattore guida in questa fase è capire chi consumerà e trarrà beneficio dal prodotto finale. 

Devi chiedere e rispondere: 

  • L'intelligence andrà a un team di analisti tecnicamente esperti che hanno bisogno di un rapido rapporto su un nuovo exploit? 
  • O per un dirigente che è alla ricerca di un'ampia panoramica delle tendenze per informare le proprie decisioni di investimento in sicurezza per il prossimo trimestre?

2. Raccolta

Il passaggio successivo consiste nel raccogliere dati grezzi che soddisfino i requisiti definiti nella prima fase. È meglio raccogliere risorse di informazioni da un'ampia varietà di fonti, interne, come i registri degli eventi di rete e i record di risposta agli incidenti passati; e fonti esterne dal Web aperto, dal Web oscuro e da fonti tecniche.

I dati sulle minacce sono generalmente considerati elenchi di IoC, come indirizzi IP, domini e hash di file dannosi. Ma può anche includere informazioni sulla vulnerabilità, come informazioni di identificazione personale dei clienti, codice grezzo da siti Web incollati e testo da fonti di notizie o social network.

3. Elaborazione

Dopo che tutti i dati grezzi sono stati raccolti, è necessario classificarli, organizzandoli con tag di metadati e filtrando le informazioni ridondanti o i falsi positivi e negativi.

Oggi, anche le piccole organizzazioni raccolgono dati nell'ordine di milioni di eventi di registro e centinaia di migliaia di indicatori ogni giorno. È troppo per gli analisti umani da elaborare in modo efficiente: la raccolta e l'elaborazione dei dati devono essere automatizzate per iniziare a dare un senso.

Soluzioni come SIEM sono un buon punto di partenza perché rendono la strutturazione dei dati relativamente facile con regole di correlazione che possono essere configurate per alcuni casi d'uso diversi, ma possono accettare solo un numero limitato di tipi di dati.

Se stai raccogliendo dati non strutturati da molte diverse fonti interne ed esterne, avrai bisogno di una soluzione più solida. 

4. Analisi

Il passo successivo è comprendere i dati elaborati. Lo scopo dell'analisi è cercare potenziali problemi di sicurezza e notificare i team interessati in un formato che soddisfi i requisiti di intelligence delineati nella fase di pianificazione e direzione.

L'intelligence sulle minacce può assumere molte forme, a seconda degli obiettivi iniziali e del pubblico di destinazione. Ma l'idea è quella di inserire le risorse informative in un formato comprensibile al pubblico, che può variare da semplici elenchi di minacce a report sottoposti a revisione paritaria.

5. Divulgazione

Il prodotto finito viene quindi distribuito ai consumatori previsti. Affinché l'intelligence sulle minacce sia attuabile, è necessario che raggiunga le persone giuste al momento giusto.

Deve anche essere tracciabile, in modo che ci sia continuità tra un ciclo di intelligence e l'altro. In questo modo, l'apprendimento non andrà perso. 

Si consiglia di utilizzare sistemi di ticketing che si integrino con gli altri sistemi di sicurezza per tenere traccia di ogni fase del ciclo di intelligence: ogni volta che arriva una nuova richiesta di intelligence, i ticket possono essere inviati, scritti, esaminati e compilati da più persone in team diversi .

6. Commenti

La fase finale è quando il ciclo di intelligence è completato, rendendolo strettamente correlato alla fase iniziale di pianificazione e direzione. 

Dopo aver ricevuto il prodotto di intelligence finito, il richiedente iniziale lo esamina e determina se alle sue domande è stata data risposta. Questo guida gli obiettivi e le procedure del prossimo ciclo di intelligence, rendendo essenziali la documentazione e la continuità.

Come viene gestito il tema dell'intelligence sulle minacce nella tua azienda? Approfondisci questo concetto scaricando l'eBook che abbiamo appena rilasciato!

clicca per scaricare