Utilizzare un unico strumento per analizzare le fonti di dati interne e OSINT

17/01/2024
Incaricati di setacciare grandi quantità di dati interni ed esterni, gli analisti di frodi mantengono sicuri prodotti, organizzazioni e utenti, contrastando truffe e abusi. La sfida di gestire molteplici fonti di dati spesso disconnesse può complicare le loro indagini, portando spesso questi team a chiedersi se potrebbe esserci un modo più semplice: una piattaforma unica che riunisca tutte queste informazioni.

Tuttavia, la scelta tra adottare uno strumento esistente o crearne uno su misura non è semplice e coinvolge la valutazione della funzionalità immediata rispetto alle esigenze specifiche, alle considerazioni di costo e ad altri fattori.

Questo articolo mira ad aiutarti a decidere se costruire il tuo strumento per l’analisi investigativa dei dati o acquistarne uno pre-costruito.

Dimostreremo come un’interfaccia unificata possa facilitare il carico di lavoro per gli analisti di frodi e minacce e spiegheremo perché uno strumento pre-costruito spesso supera il lungo e risorsa-intensivo processo di sviluppare una soluzione personalizzata in-house. Infine, illustreremo come Maltego possa migliorare i tuoi processi investigativi manuali in pochi passaggi.

Molteplici origini dati senza un’interfaccia unificata compromettono l’efficacia

Tuttavia, vediamo innanzitutto la situazione in cui gli analisti non dispongono di un’interfaccia unificata. Ci concentreremo su due scenari comuni: uno in cui si occupano esclusivamente di dati interni e un altro in cui gestiscono sia dati interni che esterni.

Utilizzo solo di fonti dati interne

Idealmente, un’azienda centralizzerebbe i dati per i propri analisti, semplificando il processo di confronto ed estrazione di informazioni. Tuttavia, nella realtà, questo ideale viene disturbato dalla rapida crescita organizzativa, frequenti cambiamenti in toolkit e software, o altri fattori, che portano alla dispersione dei dati su diversi sistemi.

Di conseguenza, le operazioni degli investigatori sono ostacolate da:

1. Accesso frammentato: Diverse serie di dati non sono uniformi in formato o struttura, né condividono un’interfaccia comune. Questo frammento ostacola la capacità di recuperare rapidamente ed efficientemente le informazioni necessarie.

2. Incoerenza: Problemi comuni includono tipi di dati variabili e problemi di qualità, che costringono gli analisti a spendere tempo considerevole nella pulizia e normalizzazione dei dati. Questo tempo potrebbe essere impiegato in modo più efficace su compiti più critici.

3. Inefficienza: Spesso, il recupero dei dati è un processo manuale che richiede notevoli competenze di elaborazione dati. A volte, i team potrebbero persino avere bisogno di assistenza da altri dipartimenti a causa delle complessità legate alla conservazione e all’accesso ai dati. Questa inefficienza ostacola anche la collaborazione: la condivisione delle indagini tra i membri del team o il lavoro con altri team diventa complicato e richiede molto tempo.

Utilizzare sia fonti interne che esterne

Proprio come leggere senza occhiali potrebbe portare a una comprensione sfocata e incompleta, fare affidamento esclusivamente sui dati interni può limitare la capacità di un analista di comprendere appieno una situazione. Senza un contesto aggiuntivo fornito da fonti esterne, dettagli cruciali e l’immagine più ampia possono rimanere oscurati.

A tal fine, gli analisti devono spesso consultare fonti esterne come dati sulle sanzioni, basi dati aziendali, dati di violazioni e dati dai social media. Questo arricchisce le loro conoscenze su truffe, incidenti o tendenze più ampie, ma pone diverse sfide:

  • Carico di lavoro: Il recupero da varie fonti di dati è spesso un processo manuale basato su browser. Sebbene i team per la gestione del rischio digitale e la protezione del marchio abbiano tipicamente procedure operative standard (SOP) per tali indagini, comprese una lista di fonti da consultare o un processo da seguire quando si incontra o si indaga su un particolare tipo di dati, queste procedure aggiungono molteplici strati di compiti, prolungando così il processo e deviando l’attenzione da lavori investigativi più critici.
  • Esposizione degli analisti: Le indagini che coinvolgono siti web truffaldini o i social media possono comportare il rischio che gli avversari ottengano informazioni sui team. Anche quando si pratica la sicurezza operativa utilizzando misure come account sock puppet, proxy e VPN, queste non sono infallibili e comportano sempre il rischio di esporre informazioni sensibili come gli indirizzi IP, le informazioni sul dispositivo o gli agenti utente.
  • Accesso limitato ai dati: Mentre gli analisti utilizzano l’Open Source Intelligence (OSINT), necessitano anche di dati da altre fonti su aziende e individui. L’accesso a queste fonti, spesso attraverso browser o API, aggiunge complessità e carico di lavoro al processo di integrazione, specialmente quando si accede a nuovi fornitori.

Sfide nella collaborazione

L’assenza di un tool unificato causa problemi nella gestione di molteplici fonti interne ed esterne, ma porta anche a inefficienze nelle sfide quotidiane di collaborazione dei team di indagine.

Per comprendere la complessità del loro lavoro, mettiamoci nei panni di questi analisti e vediamo cosa implica il loro lavoro:

Un compito quotidiano è scrivere e eseguire query complesse per recuperare dati da diverse basi di dati. Una volta ottenuti questi dati, il passo successivo è pulirli e garantirne la qualità per un’analisi e una presa di decisioni affidabile. Questo richiede spesso l’utilizzo di un altro strumento per manipolare, elaborare e visualizzare i dati, aggiungendo uno strato extra a un processo già intricato.

Per ottenere questi dati in primo luogo, è necessario accedere alle fonti dati attraverso API o browser, il che richiede adattabilità a ulteriori piattaforme e alle loro interfacce uniche.

Infine, gli investigatori sono solitamente responsabili della stesura di rapporti dettagliati sulle loro scoperte, spesso accompagnati da screenshot come prova. Quando passano le indagini ad altri membri del team, devono redigere report intermedi dettagliati che illustrano tutte le fasi compiute per garantire continuità e chiarezza.

Un tool unificato per analizzare fonti diverse migliora l’efficacia

Le sfide menzionate evidenziano la necessità di adottare un tool o un’interfaccia unificata per ottimizzare il processo investigativo.

È importante tenere presente che questo non riguarda solo il miglioramento del lavoro di un singolo analista, ma anche l’incremento del successo dell’indagine e dell’efficienza del team nel suo complesso in diversi modi:

  • Efficienza temporale: L’utilizzo di un tool unificato semplifica il recupero dei dati, rendendolo più diretto e meno cronofago. Ciò allevia i flussi di lavoro complessi e libera tempo prezioso per gli investigatori.
  • Facilità di accesso ai dati: Avere sia dati interni che esterni disponibili attraverso un’unica interfaccia semplifica il processo. Questo non solo rende più facile il trattamento dei dati, ma riduce anche la curva di apprendimento per gli investigatori, consentendo loro di adattarsi più rapidamente.
  • Gestione semplificata della qualità dei dati: Con un tool unificato, la complessità nell’assicurare la qualità dei dati è significativamente ridotta. Gli investigatori non devono più pulire o normalizzare estesamente i dati. Possono combinare informazioni interne ed esterne e cercare in un unico luogo, rendendo le loro indagini più efficaci.
  • Protezione dei dati: Se il tool aggrega anche dati, può proteggere le informazioni sensibili degli investigatori agendo come un proxy, mitigando il rischio di esposizione durante il processo investigativo.
  • Scalabilità ed efficienza: La capacità di raccogliere e analizzare dati in un’unica interfaccia facilita la scalabilità delle indagini su larga scala senza aggiungere al carico di lavoro degli investigatori. Questo approccio conferisce anche ripetibilità e coerenza alle indagini.
  • Miglioramento delle relazioni: Un tool unificato consente il monitoraggio completo dei flussi di lavoro. Le indagini possono essere facilmente riprodotte, verificate e rese conformi alle normative, migliorando la qualità complessiva e la affidabilità della segnalazione.
  • Migliorata collaborazione: Il tool consente a più investigatori di lavorare in tandem e monitorare efficientemente il lavoro reciproco. Questa caratteristica favorisce una migliore collaborazione e assicura transizioni più fluide tra i membri del team.

Costruire il proprio tool vs comprare un tool pre-costruito

Quando il tuo team riconosce la necessità urgente di uno strumento collaborativo singolo per accedere a tutte le fonti di dati, inizi a considerare se sviluppare un tool interno o optare per una soluzione già pronta.

Da un lato, lo sviluppo di un proprio strumento dovrebbe significare che soddisfa tutti i requisiti specifici e completa la checklist del tuo team. Dall’altro lato, soluzioni già pronte esistono già sul mercato, consentendo un’implementazione immediata e benefici immediati.

La creazione di uno Strumento Personalizzato richiede uno sforzo a livello aziendale per ristrutturare e pulire le basi di dati esistenti, migliorare le competenze degli utenti finali e mantenere lo strumento. Tuttavia, comporta anche il rischio di essere un punto unico di fallimento se le risorse di manutenzione non sono disponibili, e garantire la compatibilità con sistemi interni ed esterni è essenziale. I costi non legati al personale e i costi tecnici si aggiungono ulteriormente alle spese complessive.

L’acquisto di uno Strumento Pre-costruito offre una distribuzione più rapida e un utilizzo immediato, con i fornitori che gestiscono la manutenzione tecnica e gli aggiornamenti, riducendo così il carico sui team interni. Questi strumenti spesso sono accompagnati da supporto esperto per aiutare nell’implementazione e nell’uso. Anche se il costo iniziale potrebbe essere superiore rispetto alle soluzioni personalizzate, i costi a lungo termine sono spesso inferiori. Potrebbero esserci limitazioni potenziali nella personalizzazione, il che rende necessario cercare un fornitore che progetti soluzioni con flessibilità e scalabilità per accomodare la crescita organizzativa e le esigenze in evoluzione.

Accelerando le tue investigazioni con uno Strumento Pre-costruito

Maltego è un esempio di uno strumento pre-costruito utilizzato dagli analisti provenienti da team di Rilevamento Frodi, Sicurezza Digitale e Trust and Safety. Alcune delle tipiche indagini che supporta sono:

  • Protezione del Marchio
  • Abuso di prodotti e piattaforme
  • Contrastare la vendita illegale di beni contraffatti
  • Prevenire transazioni fraudolente
  • Conduzione di verifiche dei precedenti

Le sue capacità consentono agli investigatori di esplorare e connettere ampi insiemi di dati interni ed esterni e condurre analisi dei collegamenti utilizzando i cosiddetti “Transform”, che recuperano e elaborano dati da varie fonti, trasformandoli in visualizzazioni illuminanti.

All’interno di un’interfaccia singola, Maltego consente di visualizzare relazioni complesse di dati provenienti da fonti aperte, basi di dati interne e persino dal deep e dark web e consente a più investigatori di lavorare contemporaneamente sullo stesso caso. Inoltre, include strumenti per generare rapporti, facilitando la presentazione coerente e professionale delle scoperte.

Articolo originale

Scopri la pagina del vendor sul nostro sito

PUBBLICATO DA:<br>Sara Guglielmi
PUBBLICATO DA:
Sara Guglielmi
Marketing

ARTICOLI CORRELATI

Quali sono i vantaggi di una API anti-phishing?

Quali sono i vantaggi di una API anti-phishing?

Gli esseri umani sono l’anello più debole e il phishing sfrutta l’errore umano. Gli autori di phishing inducono un senso di urgenza nei destinatari, quindi i dipendenti sono spesso costretti a compiere azioni dubbie senza pensare alle conseguenze. Il risultato è...

Come cercare malware UEFI utilizzando Velociraptor

Come cercare malware UEFI utilizzando Velociraptor

Le minacce UEFI sono storicamente limitate in numero e per lo più implementate da attori statali come persistenza furtiva. Tuttavia, la recente proliferazione di Black Lotus sul dark web, il modulo di enumerazione Trickbot (fine 2022) e Glupteba (novembre 2023) indica...