[section_title title=Parte due]
Anche il modo in cui l’intelligence viene presentata fa la sua differenza. Un singolo elemento di intelligence può essere vincolato a un particolare malware, ma quello che è ancora più utile è capire come questo malware possa essere correlato a campagne di attacchi in corso. Questo contesto può aiutare i team di sicurezza a capire se un evento debba essere passato in cima alle priorità per l’ulteriore indagine. Non fa male nemmeno disporre di un certo concetto di ‘fiducia’ relativamente all’intelligence che utilizziamo, dato che possiamo ottimizzare le nostre tecnologie di rilevamento affinché sfruttino intelligence a maggiore o minore grado di fiducia in base alle sensibilità o alle minacce percepite del momento.
E dunque, da dove proviene questa intelligence di qualità? Idealmente dovremmo poterla acquisire da più fonti differenti che abbiano la visibilità e le capacità di ricerca che sono pertinenti alla nostra attività. Chi si occupa di sicurezza dispone spesso di team che producono intelligence in base all’analisi di quanto osservato – e ‘quel che viene osservato’ è importante. Se un’organizzazione possiede un buon livello di visibilità in un particolare spazio e questo corrisponde alle nostre esigenze, allora l’intelligence prodotta da quell’organizzazione sarà per noi estremamente utile. Ecco perché i team CERT dedicati a particolari regioni e settori possono essere ottime fonti a fianco di produttori specializzati e società di sicurezza. Altre organizzazioni, come la RedSky Alliance, esistono per fornire gruppi di utenti verificati che agevolino la condivisione di informazioni tra organizzazioni senza i rischi associati alla diffusione pubblica.
L’intelligence è enormemente importante nella lotta contro le minacce moderne. Il tempo è una moneta che va spesa con saggezza nella maggior parte delle organizzazioni specializzate. Dobbiamo massimizzare l’efficacia delle nostre risorse di sicurezza in modo che possano proteggere le nostre aziende al meglio delle loro capacità. Per fare questo abbiamo bisogno di minimizzare i falsi positivi e fornire contesto intorno agli eventi rilevati così da concentrare il tempo a nostro vantaggio.
