Cyber threat intelligence per gestire i rischi cyber: una strategia per le aziende

Il processo di analisi e valutazione dei rischi è alla base di un sistema di gestione della sicurezza delle informazioni e costituisce uno degli elementi chiave per prioritizzare gli investimenti volti a mantenere adeguata la postura di sicurezza di un’organizzazione. In questo contesto, la Cyber Threat Intelligence è uno strumento fondamentale per la gestione dei rischi e la sicurezza informatica, attraverso identificazione dei rischi, analisi e trattamento, per la protezione degli asset aziendali.

Sicurezza delle informazioni: le tre fasi principali

Il processo di analisi e valutazione dei rischi, di norma, si articola in tre macrofasi principali:

• Identificazione: In questa fase vengono definiti il contesto e Il perimetro, identificate le minacce e le vulnerabilità, censiti i rischi

• Analisi: vengono valutati i rischi identificati, determinando la probabilità e l’impatto di accadimento. Questa analisi aiuta a classificare i rischi in base alla loro gravità e a stabilire le priorità di trattamento

• Trattamento: si sviluppano e implementano le strategie per affrontare i rischi identificati. La gestione dei rischi può comportare varie opzioni, tra cui l’accettazione, la mitigazione, il trasferimento e altre strategie

La valutazione dei rischi

La valutazione dei rischi è un processo continuo che soffre di degradazione costante e, pertanto, deve essere aggiornato regolarmente per riflettere i cambiamenti nel panorama delle minacce relative al contesto in cui opera l’organizzazione.

In questo contesto la Cyber Threat Intelligence (CTI) si rivela uno strumento essenziale per supportare il processo di valutazione dei rischi, essa infatti, fornisce alle organizzazioni le informazioni strategiche necessarie per acquisire una migliore comprensione del panorama delle minacce, individuare i gruppi criminali interessati a colpire l’organizzazione, identificare le modalità e gli strumenti per compiere gli attacchi, e abilitare l’organizzazione a prendere decisioni informate.

Nell’ambito del processo di valutazione dei rischi, il primo elemento utile a fornire informazioni di contesto più accurate è l’identificazione dei gruppi criminali. Considerando la complessità e le dimensioni del fenomeno, che conta centinaia di gruppi criminali attivi che effettuano attacchi cyber ogni anno, è essenziale stabilire dei criteri di selezione utili a comprendere quali di essi potrebbero essere interessati a prendere di mira l’organizzazione.

I criteri da considerare per identificare i gruppi criminali

I principali criteri da considerare per identificare i gruppi criminali rilevanti sono:

• Motivazione del gruppo: i gruppi criminali hanno motivazioni differenti, alcuni perseguono il profitto finanziario, altri mirano ad appropriarsi in maniera illecita della proprietà intellettuale, altri ancora sono mossi da scopi politici o ideologici. È importante analizzare attentamente le motivazioni del gruppo criminale per comprendere se l’organizzazione potrebbe essere considerata o meno un bersaglio

• Geografia di appartenenza: i gruppi criminali agiscono in contesti geografici diversificati, alcuni concentrano la loro attenzione su organizzazioni che operano a livello globale, mentre altri prediligono specifiche geografie per selezionare i propri bersagli. Le organizzazioni dovrebbero valutare gli interessi commerciali all’interno delle aree geografiche rilevanti per determinati gruppi criminali come uno dei criteri per determinale la propria appetibilità

• Industria di riferimento: l’affinità del gruppo criminale con l’industria di appartenenza della propria organizzazione costituisce un ulteriore elemento da valutare nel processo di identificazione. I gruppi criminali hanno adottato una strategia di “verticalizzazione” rispetto a specifiche industrie per commoditizzare le proprie capacità di attacco e monetizzazione. La specializzazione fa leva su combinazione di fattori, tra cui la facilità di ottenere un profitto a seguito dell’attacco, il valore della proprietà intellettuale, delle informazioni o dei dati dell’azienda attaccata ed il livello di vulnerabilità delle organizzazioni appartenenti ad uno specifico settore

• Stato di attività del gruppo criminale: l’ecosistema della cyber criminalità è estremamente fluido, i gruppi criminali possono essere considerati come delle vere e proprie aziende che prosperano seguendo le logiche di mercato. Alcuni gruppi emergono, prosperano per un certo periodo e poi seguono una fase di declino o si sciolgono, mentre altri possono restare attivi per anni evolvendo le proprie capacità o affiliandosi ad altre organizzazioni. Quando si valutano i rischi legati ai gruppi criminali, è importante concentrarsi sulle operazioni effettuate in un periodo temporale che copre ultimi 12-18 mesi al fine di considerare le minacce più recenti e rilevanti e supportare lo sviluppo di una strategia di sicurezza efficace.

Identificare tecniche, tattiche e procedure

Una volta selezionati i gruppi criminali che potrebbero avere interesse ad attaccare l’organizzazione, risulta essenziale identificare le tecniche, le tattiche e le procedure che questi gruppi impiegano per effettuare i propri attacchi:

• Le tecniche rappresentano l’insieme degli strumenti specifici utilizzati dai gruppi criminali per compromettere un’organizzazione. Questi possono includere malware sofisticati, attacchi di phishing mirati, sfruttamento di vulnerabilità note e altri mezzi

• Le strategie che i criminali adottano per raggiungere i loro obiettivi sono definite come tattiche, esse possono sostanziarsi in attacchi diretti verso soggetti specifici fino ad attacchi su larga scala nei confronti di un’organizzazione

• Le procedure rappresentano i processi specifici che i gruppi criminali seguono durante gli attacchi. Questi possono includere la sequenza di azioni per la distribuzione dei malware impiegati per realizzare l’attacco, i movimenti laterali effettuati per accedere ai vari comparti dell’organizzazione o l’esfiltrazione dei dati rubati

Creare una strategia di sicurezza informatica efficace

La conoscenza delle tecniche tattiche e procedure utilizzate dai gruppi criminali consente dunque alle organizzazioni di concentrare i propri sforzi nella creazione di una strategia di sicurezza informatica efficace, focalizzata nel contrasto dei temi rilevanti per l’organizzazione e in grado di supportare i processi di readiness necessari per affrontare le minacce in continua evoluzione. Questo approccio supporta in particolare il processo di analisi dei rischi, permettendo alle organizzazioni di valutare e trattare in modo migliore le minacce e le vulnerabilità abilitando diversi benefici per l’organizzazione:

• Anticipazione delle minacce: la comprensione delle tecniche, tattiche e procedure (utilizzate dai criminali informatici consente alle organizzazioni di anticipare le minacce e adottare misure preventive in grado di ridurre la superficie d’attacco e la relativa esposizione ai rischi cyber

• Adattività della strategia di cyber security: la strategia di difesa adottata dall’organizzazione evolve di pari passo con le tecniche, le tattiche e le procedure utilizzate dai criminali consentendo di rispondere efficacemente agli attacchi informatici mantenendo un vantaggio competitivo nel contrasto delle minacce attuali e rilevanti

• Ottimizzazione e prioritizzazione degli investimenti: gli investimenti in cyber security possono essere ottimizzati e rivalutati in funzione delle priorità stabilità attraverso la comprensione delle modalità di attacco dei criminali

Come attuare una strategia di valutazione dei rischi basata sulla threat intelligence

Per implementare una strategia di valutazione dei rischi basata sulla threat intelligence, è necessario pianificare una trasformazione dei processi aziendali per la gestione dei rischi in modo da garantire che la threat intelligence sia efficace e ben integrata. Per l’implementazione di una strategia di successo sono fondamentali i seguenti elementi:

• Identificazione delle fonti di threat intelligence strategica rilevanti per l’organizzazione: le fonti di intelligence strategica devono essere selezionate considerando i driver di identificazione delle minacce e dei gruppi criminali alla base del processo di valutazione dei rischi. La scelta delle fonti costituisce un elemento cruciale che influenzerà la qualità delle analisi dei rischi per tale motivo è fondamentale rivolgersi a provider di threat intelligence che godono di una reputazione forte sul mercato

• Revisione del modello operativo: per trarre massimo beneficio dall’impiego della cyber threat intelligence all’interno dei processi di valutazione dei rischi è opportuno rivedere il modello operativo per identificare ed assegnare ruoli, responsabilità e interazioni tra le funzioni che producono intelligence, le funzioni responsabili di effettuare le valutazioni dei rischi e quelle che responsabili per l’implementazione delle opzioni di trattamento

• Upskilling e reskilling delle risorse: le risorse impiegate per l’esecuzione dei processi di valutazione dei rischi devono essere formate adeguatamente per comprendere come utilizzare ed integrare correttamente le informazioni di intelligence sulle minacce all’interno dei modelli esistenti. È cruciale che tali risorse sappiano interpretare le informazioni e sappiano correlare le tecniche, le tattiche e le procedure ai controlli di sicurezza necessari per trattare i rischi identificati

Conclusioni

In conclusione, la cyber threat intelligence costituisce un pilastro della gestione dei rischi cyber, attraverso la comprensione approfondita delle minacce e dei gruppi criminali, le organizzazioni possono adottare un approccio proattivo alla sicurezza, mitigare i rischi e garantire la protezione dei propri asset ottimizzando gli investimenti in cyber security.