Threat intelligence è un termine che va di moda, nel campo della cyber security, ma spesso viene declinato in contesti così diversi, e in modo così variopinto, da perderne i concetti fondanti e la sua vera utilità. Forse perché dietro la threat intelligence si cela un mercato sul quale tutti, in un modo o nell’altro, vogliono mettere un piede: da una ricerca di Markets and Markets, infatti, emerge che il mercato globale della threat intelligence è destinato a passare dai 11,6 miliardi di dollari del 2022 a ben 15,8 miliardi nel 2026, con una crescita annuale del 6,5%.
Cifre da capogiro dovute, sempre secondo lo studio, ai grandi investimenti che si fanno nel campo della ricerca e sviluppo. Un passo dovuto, per far fronte alle tante criticità nate da due tendenze in continua crescita: il passaggio allo smart working, nel post pandemia, e quello alle infrastrutture cloud. Ma cosa c’entra la threat intelligence con tutto questo? La spiegazione ci offre il modo migliore per capire meglio di cosa si tratta.
Indice degli argomenti
Una definizione di threat intelligence
Le definizioni sul tema si sprecano, ma c’è un fil rouge che le lega e ci offre i tratti distintivi di questo delicato settore della cyber security. Come threat intelligence si definisce la raccolta di informazioni utili a delineare le cyber minacce che colpiscono o colpiranno, con probabilità più o meno elevata, una certa organizzazione. E sulla base di queste informazioni si andrà poi a sviluppare, o migliorare, un piano di prevenzione e contrasto di queste minacce.
Da questa definizione si ricavano i pilastri del settore. Innanzitutto la threat intelligence vuole fonti di qualità. Fonti, cioè, che devono essere attendibili, aggiornate e ricche di dati. E poi, appunto, ci sono i dati. Virtù e maledizione della threat intelligence sono i dati, perché se da una parte ne rappresentano la linfa vitale, dall’altra, per essere efficaci, devono essere normalizzati e interpretati in modo corretto.
Per fare questo, nel corso del tempo sono stati sviluppati algoritmi, tecniche e tecnologie legate a doppio filo a data science e intelligenza artificiale. Da qui, ecco il costante bisogno di ricerca e le promettenti cifre economiche viste poco sopra.
Perché ci serve la threat intelligence
A questo punto, una normale PMI italiana potrebbe chiedersi perché la threat intelligence la riguardi da vicino. Non si parla di grandi aziende, che in genere hanno ben chiaro l’importanza dell’analisi dei dati e viene naturale pensare alla sua applicazione anche in ambito security.
Si parla, invece, di quelle aziende che, secondo il “Website Security Survey” di GoDaddy vengono colpite dal cybercrime in un caso su cinque.
Se convincere una grossa azienda a investire nella threat intelligence è piuttosto semplice, quindi, lo stesso non si può dire di realtà che la vedono alla stregua di un costoso optional. Compiendo due errori di valutazione. Il primo sul costo, perché una buona threat intelligence non necessariamente ha costi esorbitanti. Il secondo, più grave, è considerarla un optional.
Prevenire è meglio che curare
Partiamo proprio dall’ultima considerazione. Il fulcro del discorso è un vecchio mantra che si sposa alla perfezione con la cyber security: “prevenire è meglio che curare”. In questo settore, tuttavia, c’è una solida base di dati a dimostrarlo. Solida almeno quanto la semplice considerazione secondo la quale una visita dal dentista costa circa un terzo di curare una singola carie.
Nello studio “The Economic Value of Prevention in the Cybersecurity Lifecycle”, infatti, emerge che il costo totale derivato da un attacco di phishing tocca in media gli 832.500 dollari, di cui l’82% è imputabile a rilevamento, contenimento e ripristino.
Il 18%, invece, sarebbe il costo di tecnologie e campagne di prevenzione. Che non hanno certo la pretesa di scongiurare al 100% le possibilità di un attacco, ma le riducono notevolmente. Quanto le riducono? La threat intelligence entra in gioco proprio in questo punto specifico.
Cyber security: le migliori quattro tecnologie che funzionano contro il cyber crime
Soli contro tutti
Il concetto di base è che il cyber crime si espande in tutte le direzioni: tipologia e quantità dei target, strumenti, investimenti e tecniche. La singola azienda non può riuscire a tenere testa a uno sviluppo simile e deve per questo concentrare le proprie risorse su obiettivi specifici anche in fase di prevenzione.
È qui che entra in gioco la threat intelligence, che consente di raccogliere e contestualizzare informazioni utili a concentrare l’arsenale di cyber security verso le minacce più pericolose per uno specifico contesto aziendale.
Un concetto che ha a che fare con le tattiche militari tradizionali, tanto che in un passaggio di “L’arte della guerra” di Sun Tzu troviamo: “Se conosci il nemico e te stesso, la tua vittoria è sicura. Se conosci te stesso ma non il nemico, le tue probabilità di vincere e perdere sono uguali. Se non conosci il nemico e nemmeno te stesso, soccomberai in ogni battaglia”.
Se Sun Tzu si fosse trovate nella nostra epoca non avrebbe avuto difficoltà a declinare questa considerazione nel ramo della threat intelligence digitale. Perché la threat intelligence è il modo con cui un’azienda può conoscere sé stessa e il nemico, andando a oliare i meccanismi di protezione sia a livello tattico, con gli Indicator of Compromise (IoC), che operativo, agendo su monitoraggio, vulnerability management e incident response.
Pochi ambiti, come la threat intelligence, hanno un’influenza su così tanti e diversificati aspetti della cyber security. Da qui, il tema dei costi.
Iniziare con la threat intelligence
La threat intelligence si affronta su vari livelli e per questo è molto scalabile. L’importante è partire, anche con poco, e imparare a inserirla nei processi aziendali. Si penserà in un secondo momento, semmai, a espanderla. La buona notizia è che un approccio soft con la threat intelligence (che però non significa “fare threat intelligence”) ha costi davvero ridotti.
Un ottimo punto di partenza è la piattaforma ATT&CK del MITRE. Si tratta di un un insieme di servizi che aiutano a classificare e analizzare le minacce al fine di ottenere informazioni con cui alimentare il proprio sistema di threat intelligence, e pianificare le strategie di cyber security.
Un approccio che per molte aziende e professionisti rappresenta una novità da cui, fin a oggi, si sono tenuti alla larga. E se la famosa “matrice”, vale a dire il meraviglioso schema di classificazione che è un po’ il cuore dai ATT&CK, può spaventare chi è a digiuno dell’argomento, ecco che ci sono esempi molto pratici coi quali salta subito all’occhio l’importanza della threat intelligence. Come un bel post di Mandiant, che è un rapporto sviluppato sui precetti della matrice e che si conclude con un elenco di IoC rilevati.
Threat intelligence a basso costo
Del resto, il sito di ATT&CK è pieno zeppo di utili informazioni per partire col piede giusto. E partire col piede giusto, in questo settore, significa soprattutto imparare a scegliere le fonti, raccogliere i dati giusti e classificarli come si conviene.
Perché di dati da raccogliere, poi, ce ne sono a bizzeffe e il vero problema diventa proprio saperli scremare. Ce ne rendiamo conto spolliciando con Pulsedive, una community dedicata a diffondere una threat intelligence aperta, facile e versatile. Superate le perplessità iniziali con questo approccio morbido, si è quindi pronti per consultare e scegliere tra tante altre fonti.
Col passare del tempo si comprenderà se la threat intelligence può essere gestita con un approccio abbastanza manuale, o se invece sarà il caso di affidarsi a tool e competenze più strutturate. Nel frattempo, tuttavia, si sarà capito come oggi non possiamo più fare a meno della threat intelligence.
