Abbiamo a che fare con l'intelligence sulle minacce in a serie di correlati qui sul blog. In precedenza, abbiamo parlato di come funziona questa strategia; indichiamo il ciclo da percorrere per raggiungerlo.
Oggi ti aiuteremo a pensare ai diversi tipi di intelligence sulle minacce. Vedrai che ognuno di loro risponde a un obiettivo, o una realtà aziendale in termini di sicurezza delle informazioni.
Azione supplementare!
3 tipi di intelligence sulle minacce
L'intelligence sulle minacce è generalmente suddivisa in tre sottocategorie:
- Strategico — tendenze più ampie normalmente rivolte a un pubblico non tecnico;
- tattica — schemi di tattiche, tecniche e procedure degli attori delle minacce per un pubblico più tecnico;
- operativo — dettagli tecnici su attacchi e campagne specifici.
Dai un'occhiata a una ripartizione di ciascuna di queste sottocategorie di seguito!
1. Intelligence strategica sulle minacce
L'intelligence strategica sulle minacce fornisce un'ampia panoramica del panorama delle minacce dell'organizzazione. Ha lo scopo di informare le decisioni di alto livello prese da dirigenti e altri responsabili delle decisioni in un'organizzazione: in quanto tale, il contenuto è spesso meno tecnico e viene presentato attraverso rapporti o briefing.
Una buona intelligence strategica dovrebbe fornire informazioni su aree quali i rischi associati a determinate linee d'azione, modelli generali nelle tattiche e negli obiettivi degli attori delle minacce ed eventi e tendenze geopolitiche.
Le fonti comuni di informazioni per l'intelligence strategica sulle minacce includono:
- documenti politici di stati-nazione o organizzazioni non governative;
- notizie da media locali e nazionali, pubblicazioni del settore e specifiche per argomento o altri esperti in materia;
- white paper, rapporti di ricerca e altri contenuti prodotti da organizzazioni di sicurezza.
La produzione di una forte intelligence strategica sulle minacce inizia con domande specifiche e mirate per definire i requisiti di intelligence. Sono necessari anche analisti con esperienza al di fuori delle tipiche competenze di sicurezza informatica, in particolare una profonda comprensione dei concetti socio-politici e aziendali.
Sebbene il prodotto finale non sia tecnico, produrre un'intelligence strategica efficace richiede una ricerca approfondita attraverso grandi volumi di dati, spesso in più lingue.
Ciò può rendere molto difficile la raccolta iniziale e l'elaborazione dei dati da eseguire manualmente, anche per quei rari analisti che hanno le giuste competenze linguistiche, background tecnico e abilità.
Quindi una soluzione di intelligence sulle minacce che automatizza la raccolta e l'elaborazione dei dati aiuta a ridurre questo onere e consente agli analisti meno esperti di lavorare in modo più efficiente.
2. Intelligence tattica sulle minacce
L'intelligence tattica sulle minacce descrive le tattiche, le tecniche e le procedure degli attori delle minacce. Dovrebbe aiutare i difensori a comprendere, in termini specifici, come la loro organizzazione può essere attaccata e i modi migliori per difendersi o mitigare tali attacchi.
In genere include il contesto tecnico e viene utilizzato dal personale direttamente coinvolto nella difesa di un'organizzazione, come architetti di sistema, amministratori e personale di sicurezza.
I report prodotti dai fornitori di sicurezza sono spesso il modo più semplice per ottenere informazioni tattiche sulle minacce.
Ricerca attiva di informazioni nei rapporti sui vettori di attacco, sugli strumenti e sull'infrastruttura utilizzati dagli aggressori. Includendo dettagli su quali vulnerabilità vengono prese di mira e quali exploit sfruttano gli aggressori, nonché quali strategie e strumenti potrebbero utilizzare per evitare o ritardare il rilevamento.
3. Intelligence operativa sulle minacce
L'intelligence operativa è la conoscenza di attacchi informatici, eventi o campagne. Fornisce approfondimenti di esperti che aiutano i team di risposta agli incidenti a comprendere la natura, l'intento e la tempistica di attacchi specifici.
Poiché spesso include informazioni tecniche, ad esempio quale vettore di attacco viene utilizzato, quali vulnerabilità vengono sfruttate o quali domini di comando e controllo vengono utilizzati, questo tipo di intelligence è anche chiamato intelligence tecnica sulle minacce.
Una fonte comune di informazioni tecniche sono i feed di dati sulle minacce, che spesso si concentrano su un singolo tipo di indicatore, come hash malware o domini sospetti.
Ma se l'intelligence tecnica sulle minacce è strettamente pensata come derivata da informazioni tecniche, come i feed di dati sulle minacce, l'intelligence sulle minacce tecniche e operative non sono del tutto sinonimi, più come un diagramma di Venn con grandi sovrapposizioni.
Altre fonti di informazioni su attacchi specifici possono provenire da fonti chiuse, come l'intercettazione delle comunicazioni da gruppi di minacce, attraverso l'infiltrazione o l'intrusione di questi canali di comunicazione.
Di conseguenza, ci sono alcuni ostacoli alla raccolta di questo tipo di intelligenza:
- accesso — I gruppi di minacce possono comunicare tramite canali criptati privati o richiedere una prova di identificazione. Esistono anche barriere linguistiche con gruppi di minacce situati in paesi stranieri.
- rumore — Può essere difficile o impossibile raccogliere manualmente una buona informazione da fonti ad alto volume come chat room e social media.
- Offuscazione — Per evitare il rilevamento, i gruppi di minacce possono utilizzare tattiche di offuscamento, come l'utilizzo di alias.
Le soluzioni di intelligence sulle minacce che si basano su processi di apprendimento automatico per la raccolta automatizzata di dati su larga scala possono superare molti di questi problemi quando si tenta di sviluppare un'intelligence operativa sulle minacce efficace.
Una soluzione che utilizza l'elaborazione del linguaggio naturale, ad esempio, sarà in grado di raccogliere informazioni da fonti in lingua straniera senza che sia necessaria la conoscenza umana per decifrarle.
Come viene gestito il tema dell'intelligence sulle minacce nella tua azienda? Approfondisci questo concetto scaricando l'eBook che abbiamo appena rilasciato!
