Quando si parla di prevenzione nel settore della cyber-security, si è portati automaticamente a pensare alla creazione di una sorta di “barriera” insormontabile per proteggere i sistemi informatici dalle minacce esterne. È un retaggio di una vecchia concezione della sicurezza informatica, che molti responsabili IT faticano a superare. Nel panorama attuale, la prevenzione degli attacchi avviene attraverso un atteggiamento proattivo, di cui la cyber threat intelligence è parte integrante. Ma che cosa si intende con questo termine e che tipo di attività svolgono gli esperti di sicurezza dedicati all’intelligence?
Cyber threat intelligence, studia il tuo nemico
Cyber threat intelligence, studia il tuo nemico
L’attività di cyber threat intelligence si muove su due livelli: uno globale e uno più specifico a livello di singola struttura. Quello a livello globale coinvolge, in sintesi, l’attività di tutte le società di sicurezza informatica, le organizzazioni che si dedicano al contrasto del cyber crimine (comprese le forze di polizia) e gli esperti di cyber security indipendenti. Si tratta, in pratica, di una gigantesca attività di acquisizione di informazioni che viene portata avanti attraverso lo studio di ciò che accade nei “bassifondi del web”, come i forum dedicati all’hacking i siti e le chat frequentate dai pirati informatici nel dark web.
Collaborazione e condivisione
L’obiettivo è sia quello di monitorare le tendenze e le attività dei gruppi criminali, sia quello di individuare tempestivamente nuove tecniche di attacco ed esemplari di malware prima che vengano utilizzati nel mondo “reale”. Gli strumenti sono rappresentati dalla messa in comune delle informazioni, dalla condivisione dei dati e da uno scambio continuo di informazioni che consente di migliorare le capacità di risposta dei responsabili di sicurezza nei confronti delle nuove minacce. Non solo: negli scorsi anni la cronaca ha registrato numerosi casi di azioni congiunte tra società private e forze di polizia che hanno permesso di smantellare le infrastrutture utilizzate dai pirati, fermandone l’attività.
Le attività di intelligence “mirate”
Le attività di intelligence “mirate”
Se nella dimensione globale la cyber threat intelligence ha obiettivi generici, nella sua declinazione a livello di SOC (Security Operation Center) aziendale assume una dimensione molto più specifica e “mirata”. Il team di sicurezza, infatti, può (e deve) concentrare l’attenzione sui temi specifici riguardanti la security della propria organizzazione, sia per quanto riguarda le specificità a livello di attività (per esempio riguardanti il settore in cui opera) sia a livello delle soluzioni tecnologiche che adotta.
Un aspetto di questo tipo di attività è il costante monitoraggio delle vulnerabilità che emergono e che interessano i software utilizzati. Conoscere con tempestività quali nuove tipologie di attacco possono essere utilizzate dai pirati informatici nei confronti dei sistemi, infatti, permette di implementare tutti quegli accorgimenti che consentono di mitigare il rischio di un data breach.
Controllare l’attività dei pirati
Controllare l’attività dei pirati
Nel panorama attuale, uno dei maggiori rischi che corre un’azienda è quello di finire vittima di un attacco mirato. I gruppi di cyber-criminali più preparati, infatti, adottano ormai strategie estremamente sofisticate e prediligono azioni su bersagli specifici rispetto ai classici attacchi “a pioggia”. Azioni di questo tipo prevedono un’attenta pianificazione e una fase preparatoria che può impegnare i pirati anche per molto tempo.
In un’ottica di cyber threat intelligence, questo offre un vantaggio ai responsabili della security. Controllare forum e market del dark web permette, ad esempio, di intercettare eventuali attività sospette o indizi del fatto che qualcuno stia collezionando informazioni sull’azienda o (cosa che accade di frequente) sui suoi impiegati. In quest’ottica, poter contare su un team di professionisti dedicati all’intelligence permette di mantenere una posizione di vantaggio sui cyber-criminali e, di conseguenza, garantire un migliore livello di sicurezza dei sistemi.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.