A cura di Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks
Le cyberminacce che le aziende devono affrontare continuano a evolversi, in parte per via dell’ampliamento delle motivazioni che le muovono e in parte a causa della crescente complessità degli attacchi stessi. Negli ultimi anni abbiamo assistito a un’estensione delle motivazioni che spingono i cyber attaccanti ad agire: estorsione, vandalismo, hacktivismo ideologico, sottrazione di dati e frodi finanziarie appaiono regolarmente sui titoli dei giornali. Dal punto di vista tecnico, invece, toolkit e tecniche di offuscamento sono ormai largamente disponibili all’interno dell’underground cyber-criminale. E poi, ovviamente, abbiamo anche le minacce sponsorizzate da stati sovrani che mettono a disposizione risorse significative per sviluppare e sfruttare nuovi tool e vulnerabilità.
Proteggere le nostre aziende da queste minacce richiede, nella maggior parte dei casi, di fare leva sulla visibilità e sulle competenze esistenti all’esterno delle aziende stesse per ottenere intelligence sui pericoli che dobbiamo affrontare. Intelligence è un termine di moda nel settore della sicurezza, e tutti i produttori di apparecchiature, i partner e altri team di ricercatori specializzati dispongono di propri feed che possiamo consumare a nostra volta. Ma cosa rende i dati di intelligence più validi di altri?
Per prima cosa cerchiamo di capire perché ci occorre un’intelligence di buona qualità. Dall’intelligence dipendono alcune delle funzionalità di rilevamento che compongono molti dei nostri controlli preventivi (per esempio gli IDS, Intrusion Detection System) e senza un feed di intelligence regolarmente aggiornato l’efficacia di queste soluzioni si riduce. La veridicità di questa intelligence è parimenti importante: minimizzare i falsi positivi (e i falsi negativi) e fornire informazioni di contesto intorno agli eventi rilevati ci può aiutare a massimizzare l’efficacia delle nostre risorse di sicurezza permettendoci di concentrarle sui rischi più gravi o sugli eventi prioritari.
In secondo luogo dobbiamo definire quali sono le caratteristiche di un’intelligence di qualità. Idealmente i dati che utilizziamo devono essere validi, pertinenti e tempestivi. Le informazioni di intelligence vengono generate in molti modi diversi, dall’analisi del malware al monitoraggio del traffico o al feedback ricavato dai produttori specializzati attraverso i sistemi installati presso i loro clienti – e tutte queste informazioni sono parimenti valide. Nel caso degli indicatori di compromissione basati su rete, le informazioni devono essere le più granulari possibili: come minimo occorrono indirizzo IP, protocollo e numero di porta, ma idealmente ci occorrerebbero anche nomi dei domini e URL dal momento che maggiore è la granularità dei dati e minori sono le possibilità di incorrere in un falso positivo o falso negativo.
Anche il modo in cui l’intelligence viene presentata fa la sua differenza. Un singolo elemento di intelligence può essere vincolato a un particolare malware, ma quello che è ancora più utile è capire come questo malware possa essere correlato a campagne di attacchi in corso. Questo contesto può aiutare i team di sicurezza a capire se un evento debba essere passato in cima alle priorità per l’ulteriore indagine. Non fa male nemmeno disporre di un certo concetto di ‘fiducia’ relativamente all’intelligence che utilizziamo, dato che possiamo ottimizzare le nostre tecnologie di rilevamento affinché sfruttino intelligence a maggiore o minore grado di fiducia in base alle sensibilità o alle minacce percepite del momento.
E dunque, da dove proviene questa intelligence di qualità? Idealmente dovremmo poterla acquisire da più fonti differenti che abbiano la visibilità e le capacità di ricerca che sono pertinenti alla nostra attività. Chi si occupa di sicurezza dispone spesso di team che producono intelligence in base all’analisi di quanto osservato – e ‘quel che viene osservato’ è importante. Se un’organizzazione possiede un buon livello di visibilità in un particolare spazio e questo corrisponde alle nostre esigenze, allora l’intelligence prodotta da quell’organizzazione sarà per noi estremamente utile. Ecco perché i team CERT dedicati a particolari regioni e settori possono essere ottime fonti a fianco di produttori specializzati e società di sicurezza. Altre organizzazioni, come la RedSky Alliance, esistono per fornire gruppi di utenti verificati che agevolino la condivisione di informazioni tra organizzazioni senza i rischi associati alla diffusione pubblica.
L’intelligence è enormemente importante nella lotta contro le minacce moderne. Il tempo è una moneta che va spesa con saggezza nella maggior parte delle organizzazioni specializzate. Dobbiamo massimizzare l’efficacia delle nostre risorse di sicurezza in modo che possano proteggere le nostre aziende al meglio delle loro capacità. Per fare questo abbiamo bisogno di minimizzare i falsi positivi e fornire contesto intorno agli eventi rilevati così da concentrare il tempo a nostro vantaggio.