Zpedia 

/ Cosa si intende per threat intelligence?

Cosa si intende per threat intelligence?

La threat intelligence, o raccolta di informazioni sulle minacce, consiste nella raccolta, l'analisi e la diffusione di informazioni sulle minacce informatiche sospette, emergenti e attive, e include le vulnerabilità, le tattiche, le tecniche e le procedure degli attori delle minacce (TTP) e gli indicatori di compromissione (IoC). I team di sicurezza la utilizzano per identificare e mitigare i rischi, rafforzare i controlli di sicurezza e fornire una risposta proattiva agli incidenti.
Esplora ThreatLabz Global Internet Threat Insights
Protezione dalle minacce informatiche
  1. Perché è importante
  2. Tipologie di intelligence
  3. Chi ne trae vantaggio
  4. Ciclo di vita di 6 fasi
  5. Strumenti disponibili
  6. Casi d'uso
  7. Il ruolo di Zscaler
  8. Risorse suggerite
  9. Argomenti correlati

Perché la threat intelligence è importante?

Nell'attuale panorama di minacce in continua crescita ed evoluzione, la threat intelligence, ossia la raccolta di informazioni sulle minacce, svolge un ruolo fondamentale per la protezione degli utenti, dei dati e della reputazione delle organizzazioni, in quanto aiuta queste ultime a comprendere le potenziali minacce e a rispondervi al meglio. Analizzando IOC e TTP associati alle minacce e alle vulnerabilità emergenti, le organizzazioni sono in grado di contestualizzare le allerte di sicurezza e dare la priorità alle minacce più gravi, al fine di evitare la riuscita degli attacchi.

La threat intelligence aiuta inoltre le organizzazioni a quantificare i rischi in modo dettagliato, favorendo così conformità, valutazione e reportistica per adempiere a regolamenti come GDPR, HIPAA, norme SEC e altre normative. Inoltre, è un potente strumento per le autorità e altri threat hunter, o cacciatori di minacce, che lavorano per neutralizzare gli attacchi o rintracciarne gli artefici, contribuendo a creare un ambiente digitale più sicuro per tutti.

L'intelligence può essere ottenuta da diversi tipi di dati (telemetria di rete, log degli endpoint, firme e campioni di malware, ecc.) e fonti, come i dati non elaborati, i feed sulle minacce, i team di human intelligence, i forum sul dark web e altro.

Qual è il ruolo della threat intelligence?

Con gli strumenti e le competenze giusti per aggregare, analizzare e correlare tutti questi dati, le organizzazioni ottengono informazioni utili basate sui dati che possono aiutarle a:

  • Identificare minacce e vulnerabilità nuove e note che potrebbero mettere a rischio gli utenti, i dati o l'infrastruttura
  • Assegnare la priorità ai rischi in base alla loro gravità e rilevanza per l'organizzazione
  • Affinare le misure di sicurezza per supportare la difesa proattiva basata sulle segnalazioni delle minacce emergenti
  • Accelerare la risposta agli incidenti, la risoluzione e il ripristino per ridurre l'impatto di una violazione
  • Acquisire modelli di comportamento e altro contesto relativo agli IoC per riuscire a identificare al meglio gli autori delle minacce e le loro motivazioni
  • Supportare la conformità alle normative per proteggere le organizzazioni da sanzioni e conseguenze legali

Quali sono le tipologie di threat intelligence?

Esistono diversi tipi di threat intelligence che possono aiutare i team a prendere decisioni sulla sicurezza. In generale, le varie tipologie possono essere classificate in base al relativo utilizzo:

  • Threat intelligence strategica: offre una visione di alto livello sul panorama delle minacce e sulle motivazioni e le capacità degli attori delle minacce, per supportare il processo decisionale a lungo termine e definire un programma di sicurezza e le relative spese. Esempio: dati su uno Stato nazionale che prende di mira un determinato settore industriale.
  • Threat intelligence tattica: fornisce informazioni dettagliate su specifici vettori di attacco, IOC, TTP e altro, per aiutare i team di risposta agli incidenti e di sicurezza a identificare e mitigare le minacce attuali e gli attacchi in corso. Esempio: hash del file di un nuovo ceppo di malware che si diffonde tramite phishing.
  • Threat intelligence operativa: aiuta il centro delle operazioni di sicurezza (SOC) a comprendere i rischi quotidiani, come le minacce attive, le vulnerabilità e gli attacchi in corso, per supportare le decisioni e le risposte in tempo reale. Esempio: indirizzi IP coinvolti in un attacco DDoS a un'organizzazione.
  • Threat intelligence tecnica: consiste in informazioni sulle minacce dettagliate e granulari che aiutano i team di sicurezza a perfezionare le policy e le altre contromisure in modo da rendere la protezione più efficace. Esempio: dati su CVE e patch per la vulnerabilità specifica di un software.

Le varie tipologie possono essere classificate anche in base alla provenienza:

  • L'intelligence open source proviene da fonti pubbliche, come feed, blog, forum e repository di minacce. Spesso, costituisce la fonte di prima linea, ma è fondamentale valutarne l'attendibilità.
  • L'intelligence closed source proviene da fonti private o riservate (solitamente partner o fornitori di servizi) e può essere più dettagliata di quella open source, ma si tratta spesso di un prodotto a pagamento.
  • La human intelligence viene raccolta da fonti umane attraverso interviste, interrogatori o persino sorveglianza e spionaggio. Per questo motivo, spesso include dettagli più precisi e diretti, ma può essere difficile da ottenere.

Quali sono gli indicatori di compromissione più comuni?

Raccolti da svariate fonti di intelligence, gli indicatori di compromissione (IoC) sono elementi di prova che aiutano a identificare e rispondere a potenziali violazioni, fornendo agli analisti indizi sulla fonte di un attacco informatico, sul suo comportamento o sul relativo impatto. Gli IoC più comuni includono:

  • Indirizzi IP e nomi di dominio associati ad autori di minacce noti
  • URL associati all'erogazione di phishing o malware
  • Firme malware e hash di file di codice dannoso
  • Indirizzi email collegati al phishing
  • Chiavi di registro aggiunte per consentire l'archiviazione e la persistenza
  • Nomi di file e directory associati ad attività dannose
  • Tentativi di login/accesso anomali o non autorizzati
  • Modelli e picchi di traffico di rete insoliti
  • Deviazioni dal comportamento usuale dell'utente o del sistema
  • Segni di esfiltrazione di dati o trasferimenti di dati insoliti
  • Prestazioni lente (ad es. utilizzo della CPU e attività del disco non previste)
  • Processi o servizi in esecuzione insoliti

Chi trae vantaggio dalla threat intelligence?

L'intelligence sulle minacce avvantaggia praticamente chiunque abbia un interesse nella protezione delle risorse digitali, dei dati sensibili o della continuità delle operazioni, offrendo un contesto prezioso per supportare le misure di sicurezza di:

  • Organizzazioni di tutte le dimensioni e in tutti i settori: la threat intelligence offre ai team di sicurezza informazioni utili su come costruire difese più forti. Dirigenti, membri del consiglio di amministrazione e altri responsabili delle decisioni possono utilizzarla per prendere decisioni informate sugli investimenti in sicurezza, gestione del rischio e conformità.
  • Governi e autorità: la threat intelligence è di vitale importanza per aiutare le organizzazioni del settore pubblico a rispondere e a fermare in modo più efficiente le minacce alle infrastrutture critiche, alla sicurezza pubblica e alla sicurezza nazionale.
  • Settore e comunità della cybersecurity: i professionisti e i fornitori che operano nel settore della sicurezza informatica, come ricercatori, analisti, ethical hacker e così via, possono usare la threat intelligence per sviluppare soluzioni più efficaci, analizzare i trend, affinare le contromisure e molto altro, creando un feedback loop che rafforza l'intero ecosistema digitale.

Qual è il ciclo di vita dell'intelligence sulle minacce informatiche?

Il ciclo di vita della threat intelligence è la sintesi di questo feedback loop; le organizzazioni devono seguire una serie di fasi per utilizzare in modo efficace l'intelligence sulle minacce e, soprattutto, per farne un uso più efficace in futuro. Le sei fasi sono:

  1. Direzione: gli stakeholder definiscono gli obiettivi, le priorità, l'allocazione delle risorse e l'ambito generale del proprio programma di threat intelligence.
  2. Raccolta dei dati: l'organizzazione raccoglie dati da feed di intelligence a pagamento o open source, log interni, analisti umani, partner, ecc.
  3. Elaborazione: analisti e strumenti automatizzati puliscono e normalizzano i dati raccolti, verificano le fonti e ne confermano l'affidabilità per prepararli per l'analisi.
  4. Analisi: analisti e strumenti identificano modelli, anomalie e potenziali minacce nei dati, quindi correlano i dati per generare informazioni concrete per aiutare a definire le priorità e a mitigare i rischi critici.
  5. Diffusione: i team responsabili della sicurezza riferiscono agli stakeholder per condividere risultati, allerte e raccomandazioni. Questi team incorporano quindi la threat intelligence all'interno dei loro strumenti e processi per migliorare in tempo reale il rilevamento, la prevenzione e la risposta alle minacce.
  6. Feedback: le organizzazioni devono valutare e perfezionare costantemente il proprio programma di intelligence, utilizzando i feedback dei team di risposta agli incidenti. Le revisioni periodiche aiutano a mantenere gli obiettivi e le priorità allineati ai cambiamenti nel panorama delle minacce e nell'organizzazione stessa.

Quali sono gli strumenti di threat intelligence disponibili?

Sul mercato sono disponibili numerosi strumenti progettati per aiutare le organizzazioni a raccogliere, correlare, analizzare e sfruttare la threat intelligence.

Raccolta e aggregazione

  • Gli aggregatori di feed sulle minacce raccolgono e consolidano i dati dei feed open e/o closed source
  • Le tecnologie di deception (ad esempio gli honeypot) creano esche per gli attacchi e raccolgono i dati sul relativo comportamento
  • Le piattaforme di threat intelligence (TIP) raccolgono, organizzano e diffondono i dati di intelligence sulle minacce da più fonti per generare informazioni concrete

Correlazione

  • I feed di intelligence sulle minacce forniscono informazioni precorrelate in modo che possano essere comprese rapidamente
  • I sistemi SIEM (Security Information and Event Management) correlano i dati sulle minacce con gli eventi di rete
  • Le piattaforme XDR (Extended Detection and Response) correlano i dati da fonti diversificate (per esempio telemetria di rete, eventi degli endpoint, IAM, e-mail, suite per la produttività)
  • Le piattaforme SOAR (Security Orchestration, Automation and Response) automatizzano le azioni di risposta in base ai dati estrapolati dall'intelligence dopo la correlazione

analisi avanzata

  • Gli strumenti di analisi delle minacce supportati da IA ed ML analizzano i dati per individuare modelli e tendenze
  • Le piattaforme di condivisione delle informazioni sulle minacce favoriscono l'analisi collaborativa tra le organizzazioni
  • Le sandbox analizzano ed eseguono file e URL sospetti in ambienti isolati

Esecuzione

  • I sistemi di rilevamento e prevenzione delle intrusioni(IDS/IPS) bloccano o segnalano le attività dannose in base ai dati sulle minacce
  • Gli strumenti di gestione delle policy aggiornano le policy di firewall, proxy e altro in base a indirizzi IP, domini, firme ecc. considerati dannosi.
  • Le soluzioni EDR (Endpoint Detection and Response) mettono in quarantena o correggono gli endpoint compromessi
  • Gli strumenti di threat hunting supportano la caccia proattiva alle minacce basata sull'intelligence raccolta

In che modo il machine learning migliora la threat intelligence?

In gran parte dei casi, il machine learning (ML) migliora la threat intelligence nello stesso modo in cui migliora qualsiasi altra cosa: operando a una velocità, una scalabilità, un livello e una disponibilità continua che gli operatori umani non riescono a eguagliare. I modelli di ML avanzati esistenti oggi vengono addestrati con enormi set di dati, e per questo rappresentano strumenti eccezionali per individuare modelli, anomalie comportamentali, correlazioni e altre complessità con un tasso molto basso di falsi positivi.

Dato che gli strumenti di ML svolgono il lavoro più gravoso e tedioso dell'intelligence sulle minacce, lasciano agli analisti più tempo per intraprendere progetti che richiedono pensiero creativo e comprensione del comportamento, del contesto e della motivazione umana. La collaborazione tra strumenti tecnologici ed esseri umani è quindi ciò su cui bisogna puntare.

Casi d'uso della threat intelligence

L'intelligence sulle minacce è uno degli strumenti più potenti e versatili per un team di sicurezza, in quanto consente di supportare efficacemente le attività di protezione e risposta e di migliorare il profilo di sicurezza generale.

Rilevamento, prevenzione e risposta alle minacce

La threat intelligence aiuta i team di sicurezza a identificare e mitigare in modo proattivo le minacce, impiegando gli IoC per rilevare le attività dannose, perfezionare le policy e rafforzare le difese. Consente inoltre di potenziare la risposta agli incidenti fornendo ai team responsabili delle investigazioni e della caccia alle minacce dati tempestivi e accurati per identificare i segnali di compromissione, il movimento laterale e le minacce nascoste.

Gestione delle vulnerabilità e valutazione dei rischi

La threat intelligence può aiutare le organizzazioni a definire la priorità nell'applicazione delle patch in base al rischio, in modo da correggere le vulnerabilità, e a ottenere informazioni sul profilo complessivo del rischio informatico, in modo da valutare il potenziale impatto delle minacce emergenti. È inoltre estremamente utile per valutare e monitorare il profilo di sicurezza di provider e fornitori terzi, al fine di comprendere e mitigare i rischi per la sicurezza nella catena di approvvigionamento.

Condivisione della threat intelligence e processo decisionale

La collaborazione tra settori e governi è fondamentale per rimanere al passo con l'evoluzione delle minacce informatiche. La condivisione di threat intelligence, tattiche e vulnerabilità emergenti rafforza le nostre difese collettive e aiuta gli stakeholder a prendere le giuste decisioni strategiche, sia in termini di sicurezza che per raggiungere gli obiettivi delle organizzazioni.

 

Il ruolo di Zscaler nella threat intelligence

Il team di Zscaler ThreatLabz, che si occupa di threat intelligence e di ricerche sulla sicurezza, analizza 500 bilioni di punti dati provenienti dal security cloud più grande del mondo e blocca 9 miliardi di minacce al giorno. Monitora inoltre i più avanzati autori delle minacce, come Stati nazionali e associazioni di criminalità informatica, e le relative TTP, per individuare gli attacchi e le tendenze emergenti.

I ricercatori di ThreatLabz hanno scoperto numerose vulnerabilità 0-day nelle applicazioni più diffuse, e hanno collaborato con i rispettivi provider per risolverle. ThreatLabz ha inoltre sviluppato una piattaforma proprietaria di automazione, integrata nel cloud di Zscaler, in grado di identificare ed estrarre gli indicatori di intelligence sulle minacce per proteggere i nostri clienti su larga scala.

Non perderti gli ultimi dati sulle minacce, le ricerche più recenti e le utili informazioni di threat intelligence di Zscaler ThreatLabz.

(opens in a new tab)(opens in a new tab)

Risorse suggerite

Report del 2023 di Zscaler ThreatLabz sui ransomware
Scarica il report completo
Report del 2024 di Zscaler ThreatLabz sul phishing
Scarica il report completo
Blog delle attività di ricerca sulla sicurezza di Zscaler ThreatLabz
Scopri gli ultimi post
Zscaler ThreatLabz su X (Twitter)
Scopri gli ultimi post
GitHub - Zscaler ThreatLabz
Scopri gli ultimi IoC, le informazioni sui ransomware e gli strumenti più recenti
Dashboard - Zscaler ThreatLabz Cloud Activity
Visualizza gli aggiornamenti in tempo reale

01 / 04