Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’Arte della Cyber Threat Intelligence: Oltre la Superficie dei Servizi di Terza Parte

Massimiliano Brolli : 27 Giugno 2024 08:45

La Cyber Threat Intelligence (CTI) diventa giorno dopo giorno una componente essenziale della sicurezza informatica aziendale. Tuttavia, c’è un malinteso comune tra le imprese: l’idea che affidarsi a fornitori di servizi di CTI, anche di alto livello, sia sufficiente per garantire una protezione completa contro le minacce cibernetiche.

Questo approccio può risultare limitato e potenzialmente pericoloso, poiché la vera efficacia della CTI risiede nella capacità di analizzare e contestualizzare le informazioni fornite, andando ben oltre la superficie dei servizi offerti.

La CTI, in definitiva è immergersi profondamente nella complessità e nell’oscurità del panorama digitale. Significa esplorare le minacce nei recessi più oscuri del dark web, conoscerle a fondo, infiltrarsi in ambienti underground e clandestini, camuffarsi da uno di loro per ottenere informazioni di prima mano.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    In sintesi, è l’arte di assumere l’identità dei malintenzionati senza mai perdere di vista la propria integrità e la propria etica. Essere a contatto con le minacce, interpretarle e anticipare le mosse di un avversario.

    Informazione vs Interpretazione. La Necessità di una Valutazione Critica delle Informazioni

    Ogni notizia o segnalazione proveniente da fonti di Cyber Threat Intelligence (CTI) deve essere accuratamente esaminata. Non basta ricevere una news e agire immediatamente senza un’analisi approfondita e contestualizzata. È fondamentale distinguere tra “informazione” e “Interpretazione”.

    Un’informazione, per quanto dettagliata, è un dato grezzo. Essa descrive un fatto, come l’identificazione di una nuova vulnerabilità, una malware, uno 0day o una minaccia specifica. Tuttavia, non fornisce automaticamente indicazioni su quanto tale minaccia sia rilevante o su quali azioni l’azienda dovrebbe intraprendere per proteggersi. Pertanto trattare una informazione come un’istruzione operativa può portare a interpretazioni inappropriate e attività operative successive inefficaci.

    Interpretare delle informazioni invece, implica un processo di valutazione molto più complesso. In un contesto specifico, occorre valutare una serie di indicazioni come ad esempio:

    • Chi ha fornito questa informazione?
    • E’ autorevole?
    • E’ accurata o potrebbe avere interessi nascosti?
    • I campioni (samples) sono completi?
    • Sono recenti?
    • Sono afferenti all’organizzazione colpita?
    • In che percentuale?
    • Sono rilevanti per la nostra organizzazione o il nostro settore?
    • Rispetto alle informazioni di carattere interno (che il fornitore di terza parte non conosce), quanto sono strategiche per il contesto aziendale?

    Effettuare interpretazioni di informazioni richiede competenze avanzate e la capacità di leggere tra le righe per individuare dettagli che potrebbero non essere affatto evidenti. Questo perché, nella maggior parte dei casi, le informazioni sulla minaccia non sono complete e possono contenere dati imprecisi o fuorvianti.

    Un fatto recente

    Un esempio recente ha evidenziato un problematica di questa natura. Un noto threat actor ha dichiarato di aver violato una grande azienda Fortune 500, generando il panico in molte aziende clienti, comprese numerose attività in Italia.

    Tuttavia, un’analisi dettagliata della fonte e dei samples messi a disposizione ha rivelato che l’affermazione era infondata sebbene il Threat Actors avesse una corretta reputazione. I dati contenevano pochissime email appartenenti all’azienda violata e la maggior parte di queste erano vecchie di anni e di dipendenti non più in azienda.

    Questa situazione ha evidenziato che la fiducia cieca nei servizi di Threat Intelligence non è più sufficiente. È necessario possedere competenze specifiche per valutare adeguatamente le minacce, effettuando un’analisi critica che va oltre la semplice accettazione delle informazioni fornite da terze parti. È essenziale accedere direttamente alle fonti specifiche, analizzare i campioni e monitorare i thread successivi alla pubblicazione delle note di avviso per comprendere appieno il movimento delle informazioni, incluso il contesto underground. Solo confermando la validità di tali informazioni attraverso un’analisi approfondita, esse possono essere utilizzate operativamente in modo sicuro ed efficace.

    La Scarsità di Esperti di CTI in Italia

    In Italia, c’è una carenza significativa di esperti di Cyber Threat Intelligence all’interno delle aziende, soprattutto se si parla di personale dipendente dell’azienda stessa. La maggior parte delle imprese si affida esclusivamente a fornitori esterni di CTI per ottenere informazioni sulle minacce e agire operativamente. Questa mancanza di “filtraggio”, porta ad un fenomeno indesiderato che è la mancanza di capacità di verificare l’accuratezza delle informazioni fornite e l’incapacità di contestualizzare correttamente le minacce. In sintesi Interpretare.

    Gli esperti interni sono essenziali per analizzare i dati e comprendere la vera natura delle minacce. Tali esperti – se formati adeguatamente utilizzando strumenti specifici – possono accedere alle underground in modo anonimo e protetto e contribuire efficacemente all’interpretazione dei dati (spesso grezzi) forniti dai servizi di threat intelligence.

    Questo è necessario in quanto una azienda di terze parti non può conoscere con precisione le necessità specifiche di un approfondimento di intelligence per una specifica azienda, poiché non è al corrente di “informazioni di contesto” e delle “dinamiche interne dell’azienda” che non è possibile esportare verso l’esterno che sono essenziali per una corretta interpretazione.

    Occorre quindi dare la possibilità di accedere a fonti diverse, comprese quelle underground, e verificare la validità delle informazioni. Questo livello di analisi consente alle aziende di prendere decisioni informate e di sviluppare strategie di sicurezza più efficaci e di avere un monitoraggio della minaccia contestualizzato all’ambiente.

    Inoltre, se ci limitiamo ai soli fornitori italiani, sono pochi quelli che fanno Cyber Threat Intelligence e sono pochissimi quelli che l fanno davvero bene.

    La Cyber Threat Intelligence è l’Arte di Collegare i Puntini

    La CTI non è solo una questione di raccogliere dati, ma di interpretare e collegare i puntini per riuscire ad osservare un disegno completo. Se ci limitiamo solo ad alcuni “puntini” o ci fidiamo ciecamente di una singola fonte di intelligence, rischiamo di avere una visione distorta della minaccia. La capacità di analizzare varie fonti e di collegare informazioni differenti è ciò che distingue una vera pratica di CTI.

    Dobbiamo considerare una minaccia come un mosaico: ogni pezzo è un’informazione e solo mettendole tutte assieme – e nel giusto verso – possiamo vedere una immagine completa. Se ci manca anche un piccolo frammento o ci affidiamo ad un pezzo sbagliato, l’immagine finale sarà distorta, incompleta o errata.

    La CTI richiede quindi una costante pratica “in campo” e una capacità critica di analisi per connettere correttamente tutti i pezzi del puzzle, attraverso specifiche operazioni mirate di approfondimento e monitoraggio delle minacce stesse.

    Conclusione

    La Cyber Threat Intelligence è un’arte che richiede più della semplice raccolta di informazioni da fornitori di servizi. Richiede una profonda comprensione delle minacce e la capacità di interpretare criticamente le informazioni per determinare la loro accuratezza e rilevanza.

    Le aziende devono investire in esperti interni che possano effettuare attività operative e andare oltre la superficie dei servizi acquistati e sviluppare una strategia di sicurezza informatica che sia operativa e basata su una valutazione accurata delle minacce reali.

    Solo attraverso un approccio approfondito e critico alla CTI, le aziende possono sperare di mantenere una posizione difensiva efficace nel panorama delle minacce cibernetiche in continua evoluzione.

    Facendo un paragone con le attività di Red Team, una grande azienda non si fida ciecamente di un fornitore di Security Assessment. Svolge con il proprio team interno delle attività di valutazione del fornitore, oltre ad utilizzare tale team per attività di carattere strategico e confidenziale.

    E se non vai in campo per verificare se il fornitore sta lavorando bene o male, come fai a valutarne il suo operato?

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Ma quale Agenda 2030! 9 reattori nucleari per un chatbot è l’altra faccia dell’intelligenza artificiale

    Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...