Cyber Threat Intelligence: conoscere e anticipare le minacce
Il successo nell’era digitale dipende dalla capacità di validare informazioni complesse e sfruttarle per governare il cambiamento.
Per le organizzazioni è oggi necessario dotarsi di strumenti in grado di valorizzare dati interni ed esterni, in modo metterli a disposizione dei decision maker.
Cos’è la Cyber Threat Intelligence?
Secondo la definizione di Gartner, la Cyber Threat Intelligence (CTI) è una conoscenza basata sull’evidenza relativa a una minaccia esistente o emergente, o ad un pericolo per gli asset.
Questa intelligence può essere utilizzata per avvalorare le decisioni riguardanti la risposta e/o la prevenzione contro la relativa minaccia o rischio.
Possiamo intendere la CTI come una conoscenza che consente di prevenire e mitigare le minacce cyber al fine di migliorare la security posture delle organizzazioni, abilitando le opportune strategie di difesa.
La Cyber Threat Intellicence di Telsy
Telsy, centro di competenza in cybersecurity e crittografia del Gruppo TIM, operante in TIM Enterprise, attraverso il proprio iSOC (Intelligence Security Operation Center) e i propri esperti offre una Suite di Cyber Threat Intelligence dotata di professionisti dedicati e tecnologie proprietarie sviluppate internamente.
La Suite si compone di quattro moduli comprensivi di tecnologie e capacità operative nell’analisi e gestione degli eventi:
- Company Threat Intelligence
- Early Warning
- Threat Investigation
- Treat Intelligence Feed & Platform
Company Threat Intelligence
Il Servizio di Company Threat Intelligence offre un monitoraggio completo del dominio per proteggere le organizzazioni da vulnerabilità e/o data lake.
È finalizzato ad individuare le eventuali informazioni disponibili sia a livello OSINT (Open Source Intelligence, pubblicamente accessibili) che CLOSINT (Close Source Intelligence, accessibili su sottoscrizione o derivanti da knowledge base riservate).
L’attività di Threat Intelligence Gathering viene effettuata attraverso un processo di ricerca, individuazione, selezione e raccolta delle informazioni disponibili sia pubblicamente che nel dark web e deep web.
I cyber defense analyst dedicati elaborano poi un report che fornisce una visione delle criticità e delle esposizioni al rischio di data breach sui domini aziendali.
Il processo di Company Threat Intelligence viene erogato attraverso 5 fasi:
- Setup – Mappatura assets associati al dominio (sottodomini, IP, e-mail compromesse, vulnerabilità su servizi e applicativi esposti);
- Research & Data Enrichment – Ricerca effettuata su fonti OSINT e CLOSINT per individuare informazioni confidenziali compromesse;
- Data Analysis – Osservazione condotta tool automatici e valutazioni dell’analista (Severity and Confidence Rating);
- Reporting – Creazione di un report che fornisce le evidenze ottenute dall’analisi;
- Cyber Specialist Feed & Support – Il cliente può richiedere una riunione con i cyber specialist di Telsy per approfondire tutte le tematiche contenute nel report.
Early Warning
Il servizio permette di ridurre l’esposizione al rischio cyber con report tempestivi sulle vulnerabilità software e/o hardware relative alle tecnologie nel perimetro del cliente.
I report settimanali, tipicamente in anticipo rispetto alle comunicazioni dei vendor, riducono i tempi di analisi, rilevamento ed estinzione delle vulnerabilità.
Fasi di erogazione del servizio:
- Setup – Creazione della lista di tecnologie del cliente;
- Analisi – Matching tra tecnologie e banche dati pubbliche (OSINT);
- Report – Notifiche tempestive, report settimanali ed executive summary con il dettaglio delle vulnerabilità riscontrate, i potenziali impatti e suggerimenti sulle azioni da attuare.
Threat Investigation
La Threat Investigation è un’attività difensiva che consente di rilevare ed isolare quelle cosiddette “minacce avanzate” (in quanto nuove e non conosciute) che sfuggono ai rilevamenti delle tradizionali soluzioni di sicurezza, permettendo di rispondere ed anticipare le azioni di cyber criminali o insiders.
Il servizio di Threat Investigation di Telsy consiste in un’attività specialistica finalizzata a raccogliere evidenze riconducibili ad una specifica anomalia o artefatto riscontrato dal cliente, con l’obiettivo di ripristinare la business continuity attraverso convalidazione, comprensione e reazione agli eventi, così da prevenirli o mitigarne l’impatto.
Anche qui, l’erogazione del servizio segue un processo composto da:
- Manifestazione da parte del cliente di problemi, anomalie o artefatti sui propri sistemi;
- Indagine che combina analisi automatizzate e approfondimenti degli esperti;
- Report tecnico con descrizione evento, data enrichment, indicatori di compromissione (IoC) e modalità di attacco (Kill Chain);
- Programmazione di una strategia di difesa e garanzia di supporto al ripristino della business continuity.
Threat Intelligence Feed & Platform
Un modulo della Suite di Cyber Threat Intelligence di Telsy che si compone di due elementi interoperanti:
Feed
Fornisce agli incident responder un flusso informativo sulle metodologie adottate e gli attacchi portati da threat actors dotati di notevole expertise tecnica.
Il servizio consiste in un’attività di raccolta e validazione delle informazioni a livello globale riguardante minacce, target sotto attacco o incidenti occorsi.
Prevede la produzione e l’invio di feed/stream di informazioni da caricare sul SIEM o sulle piattaforme di Threat Intelligence.
Platform
Una dashboard interattiva alimentata dai feed elaborati dal team di Threat Intelligence con il dettaglio su attori, minacce, modelli di attacco, dati esfiltrati e incidenti cyber occorsi.
Il servizio di Threat Intelligence Feed & Platform è suddiviso in tre distinti livelli dedicati a specifiche tipologie di stakeholder:
- Strategico – CISO, CIO, CTO e Executive Board
- Operativo – Threat Hunter, SOC Analyst, Vulnerability Management, Incident Response
- Tattico – SOC Analyst, SIEM, Firewall, Endpoint, IDS/IPS
Scopri di più su www.telsy.com