Cos'è l'intelligence delle minacce?

Cos'è l'intelligence delle minacce nella sicurezza informatica?

L'intelligence delle minacce è costituita da informazioni sui potenziali attacchi a cui un'organizzazione potrebbe andare incontro e su come rilevarli e fermarli. Talvolta le forze dell'ordine distribuiscono manifesti con la scritta "Ricercato" e informazioni sui sospettati; allo stesso modo, l'intelligence delle minacce informatiche contiene informazioni su come si presentano le minacce attuali e da dove provengono.

In termini di sicurezza digitale, una "minaccia" è un'azione con intenti dannosi che potrebbe comportare il furto, la perdita o l'alterazione dei dati senza autorizzazione. Il termine si riferisce sia agli attacchi potenziali che a quelli effettivi. L'intelligence delle minacce consente alle organizzazioni di agire contro le minacce, anziché limitarsi a fornire dati. Ogni elemento di intelligence delle minacce consente di rilevare e prevenire gli attacchi.

Alcuni tipi di intelligence delle minacce possono essere inseriti in firewall, Web Application Firewall (WAF), sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM) e altri prodotti di sicurezza, consentendo loro di identificare e bloccare le minacce in modo più efficace. Altri tipi di intelligence delle minacce sono più generali e aiutano le organizzazioni a prendere decisioni strategiche più ampie.

Quali sono i tre tipi principali di intelligence delle minacce?

La maggior parte dell'intelligence delle minacce rientra in una di queste tre categorie:

1. L'intelligence strategica descrive le tendenze generali e i problemi a lungo termine. Può includere anche le motivazioni, gli obiettivi e i metodi di autori di attacchi noti.
2. L'intelligence operativa descrive le tattiche, le tecniche e le procedure (TTP) utilizzate dagli autori di attacchi, ad esempio quali toolkit di malware o kit di exploit utilizzano gli autori di attacchi, da dove provengono i loro attacchi o i passaggi che in genere seguono per eseguire un attacco.
3. L'intelligence tattica è costituita da dettagli specifici sul campo sulle minacce; consente alle organizzazioni di identificare le minacce caso per caso. Le firme dei malware e gli indicatori di compromissione (IoC) sono esempi di intelligence tattica. Entrambi questi termini sono spiegati più avanti.

Cos'è una firma malware?

Una firma è un modello univoco o una sequenza di byte in base al quale è possibile identificare il malware. Allo stesso modo in cui le impronte digitali vengono utilizzate per identificare le persone sospettate di un crimine, le firme aiutano a identificare il software dannoso.

Il rilevamento delle firme è una delle forme più comuni di analisi del malware. Per essere efficace, il rilevamento delle firme deve essere costantemente aggiornato con le ultime firme malware identificate in circolazione.

Cosa sono gli indicatori di compromissione (IoC)?

Un indicatore di compromissione (IoC) è un dato che aiuta a identificare se un attacco ha avuto luogo o è in corso. Un IoC è come una prova fisica che un detective potrebbe raccogliere per stabilire chi era presente sulla scena del crimine. Allo stesso modo, alcune prove digitali (attività insolite registrate nei log, traffico di rete verso server non autorizzati, ecc.) aiutano gli amministratori a determinare quando un attacco si è verificato (o è in corso) e di che tipo di attacco si è trattato.

Senza IoC, a volte può essere difficile determinare se si è verificato un attacco; spesso è vantaggioso per l'attaccante rimanere inosservato (ad esempio, se desidera utilizzare un dispositivo compromesso in una botnet).

Cos'è un feed di intelligence delle minacce?

Un feed di intelligence delle minacce è un flusso esterno di dati di intelligence delle minacce. Analogamente a un feed RSS per i blog, le organizzazioni possono iscriversi a un feed di intelligence delle minacce per fornire aggiornamenti costanti sulla sicurezza dei propri sistemi.

Alcuni feed di threat intelligence sono gratuiti, altri sono a pagamento e forniscono informazioni proprietarie non disponibili da sistemi open source.

Cosa rende unico l'approccio adottato da Cloudflare per raccogliere l'intelligence delle minacce?

Cloudflare è posizionato in modo univoco per raccogliere informazioni sulle minacce su vasta scala. Milioni di siti Web sono protetti dalla rete Cloudflare. Analizzando il traffico da e verso questi siti Web, Cloudflare può identificare modelli di traffico dannoso da bot, exploit di vulnerabilità e altri attacchi.

Cloudflare utilizza queste informazioni per proteggere meglio i clienti. Ad esempio, Cloudflare crea regole WAF e le distribuisce per tutti i clienti del WAF ogni volta che viene rilevata una nuova minaccia. Cloudflare Bot Management sfrutta l'intelligence delle minacce proveniente dai miliardi di richieste che Cloudflare riceve ogni giorno per imparare a identificare i bot dannosi.

Per ulteriori informazioni sulle minacce informatiche, consulta Cos'è la sicurezza delle applicazioni Web?