Le minacce informatiche di oggi sono molto più sofisticate rispetto a quelle di qualche tempo fa. Sono infatti pensate per eludere il rilevamento, dirottare il software, mascherarsi da traffico legittimo e persino disabilitare i dispositivi di rete e di sicurezza. La prevenzione, così come la detection e la response, richiedono soluzioni di sicurezza attive in grado di identificare gli schemi di attacco, rilevare comportamenti insoliti e scoprire le minacce prima che possano causare danni. Per farlo, hanno bisogno di una threat intelligence efficace e affidabile.
Quasi ogni dispositivo di sicurezza odierno fa affidamento su un feed di abbonamento esterno che fornisce aggiornamenti regolari a set di signature, algoritmi di rilevamento e dati sulle minacce più recenti. Senza di esso, il valore di un tool per la sicurezza diminuisce rapidamente nel tempo, man mano che i cybercriminali perfezionano e rivedono le proprie tattiche e strategie. La sfida è data dal fatto che, indipendentemente dalla sofisticazione del device, le aziende fanno affidamento sull’expertise dei ricercatori che lavorano per il vendor e la completezza e l’accuratezza dei dati che forniscono come update.
Spesso è proprio in questa fase che viene a mancare la sicurezza. Secondo il Ponemon “Institute’s 2018 Cost of Data Breach Report”, il tempo medio di una violazione del network è di 266 giorni, che comprende il tempo per identificare una violazione dei dati, pari a 197 giorni, e quello necessario per contenere tale violazione, che costa un ulteriore lasso di tempo di 69 giorni. La maggior parte di questo ritardo può essere attribuito alla scarsa qualità delle informazioni o dell’analisi delle minacce.
Da cosa dipende il valore della threat intelligence
Il valore della threat intellicence dipende da fattori come ad esempio i dati disponibili per il vendor. Fattori critici sono, ad esempio, il numero di sensori implementati, la loro distribuzione e la tipologia di dati che vengono raccolti.
Chi ha la responsabilità della smart security sa perfettamente di non poter fare affidamento esclusivamente sui dati forniti dai vendor per intercettare le attività dei cyber criminali. Ecco perché i responsabili della sicurezza si iscrivono anche a threat feed esterni con lo scopo di integrare i dati che utilizzano per l’analisi interna. E poiché questo tipo di feed sono soggetti alle stesse limitazioni di quelli provenienti dai loro fornitori, spesso si iscrivono a più di uno. I vendor ovviamente fanno la stessa cosa. Questo è uno dei motivi per cui Fortinet ha contribuito a fondare la Cyber Threat Alliance (CTA) – per garantire che i ricercatori abbiano accesso a molteplici feed di dati per migliorare l’accuratezza dei propri servizi di threat intelligence.
In aggiunta a quella derivante dalla raccolta di dati grezzi, una preoccupazione parallela deriva da quanto il dato fornito sia effettivamente utilizzabile. Può essere facilmente integrato negli strumenti di sicurezza esistenti, che è la soluzione migliore, oppure necessita di qualche manipolazione per poter essere utile? Se è così, si dispone degli strumenti adeguati per farlo?
Come analizzare e correlare la threat intelligence interna
La capacità di raccogliere, correlare e analizzare la threat intelligence è importante tanto quando i dati prevenienti dall’esterno. La sfida in questo caso è data dal fatto che la maggior parte dei dispositivi per la sicurezza operano in maniera isolata. Possono generare molti log file, così come avere delle capacità di reporting elaborate, ma non correlano o condividono facilmente i propri dati con gli altri device. Se il NGFW non comunica con il WAF o con il Secure Email Gateway, è possibile che questo possa causare la perdita degli insight critici che esistono unicamente tra questi tool. La maggior parte delle organizzazioni finisce per correlare manualmente file di registro e report tra diversi strumenti, il che significa che i dettagli che possono indicare un rischio o una violazione possono essere facilmente trascurati.
Il livello minimo prevede che i security tool siano in grado di interoperare, raccogliendo nativamente, condividendo e correlando la threat intelligence. Ciò garantisce una rapida identificazione delle criticità, così come che questi strumenti sono in grado di intraprendere una risposta coordinata a un evento. Inoltre, tali dati e dettagli, devono poter essere condivisi e correlati tra tutti i segmenti della rete distribuita, comprese le connessioni SD-WAN, le reti SD-Branch, gli utenti mobile finali e dispositivi IoT e ogni istanza dell’ ambiente multi-cloud.
Perché la threat intelligence è fondamentale
Affinché le risposte avvengano alla velocità degli attacchi, i dati non devono solo essere raccolti e analizzati localmente, ma devono anche essere prese decisioni in autonomia a livello locale. In secondo luogo, queste informazioni devono essere condivise con il sistema centrale in modo da poter essere ulteriormente verificate e le risposte iniziali perfezionate e aggiornate. In questo modo gli alert e le risposte potranno essere orchestrati su tutto il perimetro del network.
Se si vuole davvero fare in modo di risolvere il problema dei cybercriminali che prendono di mira le aziende, è necessario che tutti prendano seriamente la condivisione delle informazioni a ogni livello: dalle singole aziende a quelle cross-vendor come la Cyber Threat Alliance. Man mano che la threat intelligence diventa più raffinata, potrà non solo proteggere il network aziendale, ma anche estendere tale protezione alle reti e affinare l’intelligenza artificiale di terze parti. Come minimo, si può pensare di prendere in considerazione l’idea di entrare a far parte di una delle coalizioni ISAC del settore o del territorio in cui si opera, oltre ad assicurarsi che gli eventi che riguardano la sicurezza vengano condivisi con i security vendor, in modo che essi possano perfezionare anche i loro processi.
Perché conviene puntare su un approccio security-driven
Stiamo assistendo a diversi cambiamenti nella rete e a livello di business dovuti alla digital transformation in corso; è importante che una threat intelligence affidabile da una varietà di fonti sia eventualmente integrata direttamente nel network stesso.
Questo approccio security-driven consentirà alla sicurezza di potersi adattare automaticamente e di rispondere dinamicamente e in tempo reale alle modifiche che si verificano anche negli ambienti di rete più fluidi e altamente distribuiti. La preparazione a questa nuova generazione di strategie inizia oggi costruendo un security fabric interconnesso e profondamente integrato, che sia progettato per funzionare come un unico insieme senza soluzione di continuità anziché consistere in un gruppo di singoli dispositivi fisici e virtuali
Come riferito in una nota ufficiale da Filippo Monticelli, Regional Business Manager Centre & South Italy in Fortinet: «Ogni elemento della prossima generazione di strumenti per la sicurezza richiede l’analisi approfondita e la correlazione della threat intelligence. Ma i sistemi odierni basati sui feed sono ancora piuttosto primitivi. I sistemi di machine learning, se forniti di adeguate quantità di dati e del relativo training, saranno in grado di rilevare i pattern delle minacce e sviluppare strategie offensive e difensive. Se combinati con l’IA, tali sistemi non solo potranno di anticipare le mosse di un intruso al fine di disattivare le minacce in maniera proattiva e automatica, ma anche prevedere a quali attacchi potrebbe essere soggetto un sistema e quali vettori potrebbero essere utilizzati, così da fermare un attacco ancora prima che inizi».