Cyber threat intelligence: perché la proattività è la prima linea di difesa
A cura di Claudio Mercuri, Advanced Cybersecurity Advisor, Alessandro Di Lorenzo, Cybersecurity Advisor e Noemi Nardi, Cybersecurity Advisor
In un processo mirato a porre in sicurezza un ecosistema digitale, conoscere le caratteristiche di un potenziale o effettivo avversario, permette di adottare i migliori strumenti di difesa e risposta. In questo contesto in continua evoluzione, la cyber threat intelligence (CTI) è il servizio che condivide informazioni ad ogni livello aziendale in maniera proattiva, sistemica e aggiornata in merito al rischio correlato ad un attacco informatico. Infatti, operando su più livelli, da quello prettamente strategico a quello operativo, la CTI struttura fasi di raccolta ed acquisizione costante di dati, che sono poi oggetto di processazione, analisi, comparazione e correlazione, fino a giungere alla diffusione di informazioni.
Garantire la sicurezza digitale implica però non solo rilevare gli attacchi, ma anche individuarne l’impatto, lo scopo e le modalità di perpetrazione. Le organizzazioni possono essere in grado di rispondere efficientemente a tali eventi grazie ad analisi e studio costanti delle caratteristiche e tecniche dei cosiddetti Threat Actor, individui o gruppi malintenzionati che rappresentano un rischio concreto per la sicurezza di un'organizzazione.
In questa sfida al rafforzamento dei sistemi digitali il regolamento DORA, che sarà in vigore da gennaio 2025, individua nella profilazione dei threat actor una strategia chiave per anticipare gli attacchi futuri, consentendo di prevederne i probabili obiettivi, metodi e impatti.
Comprendere le ragioni di attacco di un determinato attore, permette inoltre di ben individuare la gerarchia di priorità d’intervento per la protezione ottimale di specifiche risorse.
Cos’è il threat actor profiling e perché è importante
Il threat actor profiling è il processo di identificazione, correlazione e analisi delle caratteristiche, motivazioni, tecniche e comportamenti di individui o gruppi che rappresentano una minaccia per la sicurezza informatica. Per ogni potenziale aggressore si definiscono obiettivi e metodologie d’attacco. Utilizzando queste informazioni, le aziende possono sviluppare strategie di difesa più efficaci e personalizzate per proteggere i loro asset. Infatti, nonostante i sistemi di difesa di cybersecurity implementino nuovi metodi di rilevamento e mitigazione, gli aggressori sono rapidi nel modificare tecniche e comportamenti per eludere tali tentativi di protezione.
La cyber threat intelligence agisce proprio in funzione di questo rischio, definendo un servizio di investigazione puntuale di tattiche, tecniche e procedure (TTPs) dei threat actor.
Per una comprensione del contesto e delle modalità operative, la CTI fa utilizzo di risorse di open-source intelligence (OSINT) così come di report finalizzati e notizie da sorgenti informative, analisi di operatività (TTPs), studio approfondito e monitoraggio di advanced persistent threats (APTs) e dati contestuali, come fattori politici, sociali, economici e culturali. Con tali informazioni in possesso, si procede alla mappatura delle caratteristiche rilevanti rispetto a uno specifico Threat Actor, con la definizione ad esempio della motivazione, rilevanza, vettore d’attacco a cui l’attore è spesso associato.
Nello specifico, la CTI fa utilizzo di framework che diano spazio alla categorizzazione e descrizione dell’intelligence relativa ai threat actor, tramite modellazione delle minacce informatiche con accuratezza. Tra i più importanti, il MITRE ATT&CK risulta il riferimento per conferire agli analisti un linguaggio comune per strutturare la Threat Intelligence in materia di TTPs. Il framework si basa sulla cyber kill chain, ovvero uno dei modelli concettuali che descrivono un attacco informatico in base a fasi standard in cui collocare le attività degli attaccanti.
Il threat actor profiling contribuisce inoltre all’efficienza di altri anelli della catena di montaggio difensiva, come il Red Team. La necessità richiesta è quella di avere un aggiornamento costante di TTPs realistiche per emulare campagne di attacco che rispecchino il reale rischio di minaccia informatica e per supportare lo sviluppo di un solido ICT Risk Management.
Nel contesto di una threat intelligence di alto livello, la profilazione dei threat actor rappresenta uno strumento essenziale per le strategie decisionali manageriali. In breve, il processo di analisi e valutazione dei rischi è alla base di un sistema di gestione della sicurezza delle informazioni e costituisce uno degli elementi chiave per prioritizzare gli investimenti volti a mantenere adeguata la security posture di un’organizzazione.
Il quinto pilastro del regolamento DORA
Sebbene per ogni azienda il crimine informatico sia potenzialmente un rischio, gli attori delle minacce spesso selezionano le loro vittime in base a due criteri: massimo guadagno e massimo impatto. Le istituzioni finanziarie soddisfano esattamente questi due criteri, diventando quindi gli obiettivi principali dei criminali informatici.
Le istituzioni finanziarie negli ultimi anni si sono trovate di fronte a un’evoluzione della minaccia informatica. La disponibilità dei dati è spesso compromessa da parte di threat actor con specifici obiettivi finanziari, ad esempio con attacchi ransomware con cui richiedere pagamento di riscatto in seguito a crittografia dei dati, o compromissione dei servizi attraverso attacchi Denial of Service (DDoS), con cui le risorse di un sistema vengono sovraccaricate fino a renderlo incapace di rispondere a legittime richieste di servizio.
Si sta procedendo a una trasformazione digitale che, congiuntamente al complicato ambiente normativo e il complesso ecosistema della catena di fornitura, sta aumentando l'opportunità per gli avversari informatici di ottenere e monetizzare dati sensibili.
Tra i principi cardine del regolamento DORA, approvato il 16 gennaio 2023 e in vigore dal 17 gennaio 2025, il threat actor profiling viene collocato nel quinto pilastro, quello che riguarda la creazione e adozione di un sistema di condivisione di informazioni e intelligence. Il fine è quello di promuovere la stabilizzazione del settore finanzario tramite adozione di strategie di resilienza operativa collettiva, rafforzando la cooperazione tra gli Stati membri della Comunità Europea. Di fatto, il regolamento DORA definisce un framework vincolante con standard tecnici che le entità finanziarie devono implementare nei propri sistemi ICT entro il 17 gennaio 2025.