Come identificare la piattaforma giusta per le tue esigenze di intelligence sulle minacce informatiche

I team di intelligence sulle minacce informatiche (CTI) e le organizzazioni che cercano di istituire una nuova funzione CTI si trovano di fronte a una serie di sfide. Molte organizzazioni si lanciano nell’ambito della CTI senza una pianificazione sufficiente (o senza alcuna pianificazione), il che porta a una serie di problemi, come la mancanza di conoscenza su quali tipi di fonti di dati siano necessari, quale tipo di intelligence deve essere prodotta, come verrà condivisa e, alla fine, come verrà misurato e dimostrato il valore degli investimenti in CTI.

Dal punto di vista tecnico, molti team di CTI affrontano sfide legate ai big data, simili a quelle dei loro colleghi nei team di rilevamento delle minacce. Le fonti e il volume di dati e informazioni sulle minacce informatiche continuano a crescere. Si osservano varietà di informazioni, che vanno dagli indicatori alle tattiche e alle tecniche, spaziando dal web chiaro al web oscuro e profondo. La velocità con cui vengono prodotte informazioni sta accelerando. Inoltre, i team di CTI devono determinare la veridicità di tutti questi dati.

Come affrontano queste sfide i team di intelligence sulle minacce informatiche a vari livelli di maturità? Le persone e i processi sono elementi importanti, ma avere la tecnologia giusta per supportare le persone e abilitare i processi è fondamentale.

Mi piace inquadrare la discussione sulla maturità e sulla piattaforma necessaria nel contesto della “Pyramid of Pain”.

La Piramide è un metodo conveniente per valutare il valore e l’applicazione dell’intelligence sulle minacce informatiche e l’effetto che ha su un threat actor nel raggiungere i propri obiettivi contro un’organizzazione. Ad esempio, le sezioni inferiori della Piramide trattano indicatori come hash di file, indirizzi IP e nomi di dominio. Questi sono tipi comuni di indicatori che hanno utilità nel rilevare e bloccare le azioni dei threat actor. Tuttavia, il livello di utilità, ovvero la quantità di “dolore” inflitta a un attaccante durante un attacco, non è così elevato. Gli attaccanti possono cambiare facilmente l’hash di uno dei loro strumenti, utilizzare tecniche fast flux per cambiare gli indirizzi IP e utilizzare centinaia di domini per facilitare un attacco. Salendo nella Piramide, l’attenzione si sposta verso indicatori meno dinamici e più statici, come l’infrastruttura utilizzata dagli attaccanti, e in cima si trova la comprensione dei comportamenti degli attaccanti mediante il tracciamento e l’analisi delle loro tattiche, tecniche e procedure (TTP).

La maturità dei team CTI generalmente si allinea al tipo di intelligence che stanno producendo (operativa, tattica e strategica) e al tipo di dati di intelligence sulle minacce che utilizzano.

A seconda delle esigenze specifiche del team di intelligence sulle minacce e del team di cybersicurezza in generale, esistono diverse vie di soluzione disponibili: provider di servizi di dati di intelligence sulle minacce (alcuni con le proprie piattaforme), piattaforme di gestione delle minacce informatiche (TI), soluzioni di orchestrare, automatizzare e rispondere alla sicurezza (SOAR) e piattaforme operative di intelligence sulle minacce (TI Ops). Possono esserci molte variazioni tra queste piattaforme, ma una cosa è comune: possono aiutare a gestire l’intelligence sulle minacce, ma la maggior parte fatica a renderla operativa.

Le organizzazioni con bassa maturità comunemente scelgono di utilizzare una singola fonte di intelligence sulle minacce, come i provider commerciali di servizi di dati di intelligence sulle minacce. Questo è un approccio completamente valido che si allinea con i loro requisiti, casi d’uso e investimenti in CTI. I casi d’uso in questo contesto sono probabilmente orientati principalmente all’utilizzo di intelligence operativa sulle minacce (ai livelli inferiori della Piramide del Dolore) per migliorare le capacità di rilevamento e prevenzione delle minacce, ad esempio migliorare la capacità di difendersi contro le minacce attraverso il rilevamento e il blocco di indicatori tramite strumenti di sicurezza come SIEM, firewall, protezione endpoint, EDR, NDR, SSE, CNAPP, ecc. In questo scenario, le piattaforme fornite dai provider commerciali di dati di intelligence sulle minacce che consentono di distribuire l’intelligence dei provider agli strumenti di sicurezza downstream sono sufficienti per il team CTI. I report e gli avvisi che forniscono possono essere consumati e attuati manualmente utilizzando altri strumenti, che siano strumenti di collaborazione (O365, Google Workspace) o sistemi di ticketing (Jira, ServiceNow).

Le organizzazioni che stanno salendo nella curva di maturità e che stanno adottando più intelligence sulle minacce da un insieme più ampio di fonti, come servizi di dati di intelligence commerciali multipli, fonti di intelligence open source e fonti di partner fidate, avranno bisogno di una piattaforma in grado di gestire più dati di intelligence e distribuirli a una varietà più ampia di fonti. Potrebbero ancora essere principalmente focalizzate sull’intelligence operativa, ma stanno iniziando a investire nella produzione di intelligence tattiche e strategiche (ai livelli superiori della Piramide del Dolore). Si sta svolgendo più analisi, ma il focus è ancora fortemente incentrato su casi d’uso in cui l’intelligence viene condivisa principalmente in modo automatico tra macchine, ad esempio inviando indicatori a una vasta gamma di strumenti di rilevamento, prevenzione e risposta alle minacce. In questo contesto, le piattaforme di intelligence sulle minacce e gli strumenti SOAR con capacità di intelligence sulle minacce sono popolari perché possono generalmente gestire l’aggregazione, l’elaborazione e la diffusione di intelligence leggibili dalle macchine e supportare le esigenze di base di analisi dell’intelligence.

L’operazionalizzazione dell’intelligence richiede la capacità di:

1. Beneficiare di analisi potenziate dall’IA per fornire approfondimenti difficili da scoprire tramite sforzi e analisi manuali.
2. Supportare attivamente i consumatori di intelligence garantendo che i loro requisiti siano catturati e attuati.
3. Automatizzare il lavoro degli analisti per renderli più efficaci ed efficienti.
4. Standardizzare processi e attività per garantire coerenza tra gli analisti e i team.
5. Catturare conoscenze e approfondimenti per migliorare la collaborazione e le migliorie.

Le piattaforme di Threat Intelligence Operations includono tutte le funzionalità presenti nei Threat Intelligence Platforms (TIPs) e molte di quelle presenti nei Security Orchestration, Automation, and Response (SOAR), ma in modo altamente integrato che consente ai team di CTI di operazionalizzare la loro intelligence sulle minacce in una vasta gamma di casi d’uso di produttori e consumatori di intelligence.

Identificare la piattaforma giusta per il tuo programma di intelligence sulle minacce informatiche è fondamentale. Una piattaforma TI Ops dovrebbe essere la tua soluzione per ottenere l’aggregazione, l’elaborazione, l’analisi e la diffusione più efficiente ed efficace della tua intelligence sulle minacce, che tu sia all’inizio del tuo percorso CTI o stia maturando la tua funzione CTI.

Articolo Originale

Scarica l’e-book Identify the Right Platform for Your Cyber Threat Intel Needs

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...