L'intelligence delle minacce è costituita da informazioni su potenziali attacchi. L'intelligence delle minacce aiuta le organizzazioni ad agire per difendersi da questi attacchi.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Cos'è il cross-site scripting?
Cos'è un buffer overflow?
Cos'è l'SQL injection?
Firewall
Feed di intelligence delle minacce
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
L'intelligence delle minacce è costituita da informazioni sui potenziali attacchi a cui un'organizzazione potrebbe andare incontro e su come rilevarli e fermarli. Talvolta le forze dell'ordine distribuiscono manifesti con la scritta "Ricercato" e informazioni sui sospettati; allo stesso modo, l'intelligence delle minacce informatiche contiene informazioni su come si presentano le minacce attuali e da dove provengono.
In termini di sicurezza digitale, una "minaccia" è un'azione con intenti dannosi che potrebbe comportare il furto, la perdita o l'alterazione dei dati senza autorizzazione. Il termine si riferisce sia agli attacchi potenziali che a quelli effettivi. L'intelligence delle minacce consente alle organizzazioni di agire contro le minacce, anziché limitarsi a fornire dati. Ogni elemento di intelligence delle minacce consente di rilevare e prevenire gli attacchi.
Alcuni tipi di intelligence delle minacce possono essere inseriti in firewall, Web Application Firewall (WAF), sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM) e altri prodotti di sicurezza, consentendo loro di identificare e bloccare le minacce in modo più efficace. Altri tipi di intelligence delle minacce sono più generali e aiutano le organizzazioni a prendere decisioni strategiche più ampie.
La maggior parte dell'intelligence delle minacce rientra in una di queste tre categorie:
Una firma è un modello univoco o una sequenza di byte in base al quale è possibile identificare il malware. Allo stesso modo in cui le impronte digitali vengono utilizzate per identificare le persone sospettate di un crimine, le firme aiutano a identificare il software dannoso.
Il rilevamento delle firme è una delle forme più comuni di analisi del malware. Per essere efficace, il rilevamento delle firme deve essere costantemente aggiornato con le ultime firme malware identificate in circolazione.
Un indicatore di compromissione (IoC) è un dato che aiuta a identificare se un attacco ha avuto luogo o è in corso. Un IoC è come una prova fisica che un detective potrebbe raccogliere per stabilire chi era presente sulla scena del crimine. Allo stesso modo, alcune prove digitali (attività insolite registrate nei log, traffico di rete verso server non autorizzati, ecc.) aiutano gli amministratori a determinare quando un attacco si è verificato (o è in corso) e di che tipo di attacco si è trattato.
Senza IoC, a volte può essere difficile determinare se si è verificato un attacco; spesso è vantaggioso per l'attaccante rimanere inosservato (ad esempio, se desidera utilizzare un dispositivo compromesso in una botnet).
Un feed di intelligence delle minacce è un flusso esterno di dati di intelligence delle minacce. Analogamente a un feed RSS per i blog, le organizzazioni possono iscriversi a un feed di intelligence delle minacce per fornire aggiornamenti costanti sulla sicurezza dei propri sistemi.
Alcuni feed di threat intelligence sono gratuiti, altri sono a pagamento e forniscono informazioni proprietarie non disponibili da sistemi open source.
Cloudflare è posizionato in modo univoco per raccogliere informazioni sulle minacce su vasta scala. Milioni di siti Web sono protetti dalla rete Cloudflare. Analizzando il traffico da e verso questi siti Web, Cloudflare può identificare modelli di traffico dannoso da bot, exploit di vulnerabilità e altri attacchi.
Cloudflare utilizza queste informazioni per proteggere meglio i clienti. Ad esempio, Cloudflare crea regole WAF e le distribuisce per tutti i clienti del WAF ogni volta che viene rilevata una nuova minaccia. Cloudflare Bot Management sfrutta l'intelligence delle minacce proveniente dai miliardi di richieste che Cloudflare riceve ogni giorno per imparare a identificare i bot dannosi.
Per ulteriori informazioni sulle minacce informatiche, consulta Cos'è la sicurezza delle applicazioni Web?