Zpedia 

/ Cosa si intende per threat intelligence?

Cosa si intende per threat intelligence?

La threat intelligence, o raccolta di informazioni sulle minacce, consiste nella raccolta, l'analisi e la diffusione di informazioni sulle minacce informatiche sospette, emergenti e attive, e include le vulnerabilità, le tattiche, le tecniche e le procedure degli attori delle minacce (TTP) e gli indicatori di compromissione (IoC). I team di sicurezza la utilizzano per identificare e mitigare i rischi, rafforzare i controlli di sicurezza e fornire una risposta proattiva agli incidenti.

Esplora ThreatLabz Global Internet Threat Insights
Protezione dalle minacce informatiche
  1. Perché è importante
  2. Tipologie di intelligence
  3. Chi ne trae vantaggio
  4. Ciclo di vita di 6 fasi
  5. Strumenti disponibili
  6. Casi d'uso
  7. Il ruolo di Zscaler
  8. Risorse suggerite
  9. Argomenti correlati

Perché la threat intelligence è importante?

Nell'attuale panorama di minacce in continua crescita ed evoluzione, la threat intelligence, o intelligence sulle minacce, (raccolta di informazioni sulle minacce), svolge un ruolo fondamentale per la protezione di utenti, dati e reputazione delle organizzazioni, in quanto aiuta queste ultime a comprendere le potenziali minacce e a rispondervi al meglio. Analizzando IOC e TTP associati alle minacce e alle vulnerabilità emergenti, le organizzazioni sono in grado di contestualizzare le allerte di sicurezza e dare la priorità alle minacce più gravi, al fine di evitare la riuscita degli attacchi.

La threat intelligence aiuta inoltre le organizzazioni a quantificare i rischi in modo dettagliato, favorendo così conformità, valutazione e reportistica in linea con regolamenti come RGPD, HIPAA, norme della SEC e altre normative. Inoltre, è un potente strumento per le autorità e altri ricercatori di minacce, che lavorano per neutralizzare gli attacchi o rintracciarne gli artefici, contribuendo a creare un ambiente digitale più sicuro per tutti.

promotional background

L'intelligence può essere ottenuta da diversi tipi di dati (telemetria di rete, log degli endpoint, firme e campioni di malware, ecc.) e fonti, come i dati non elaborati, i feed sulle minacce, i team di human intelligence, i forum sul dark web e altro.

Cosa fa l'intelligence sulle minacce?

Con gli strumenti e le competenze giusti per aggregare, analizzare e correlare tutti questi dati, le organizzazioni ottengono informazioni utili e basate sui dati che possono aiutarle a:

  • Identificare minacce e vulnerabilità note e nuove che potrebbero mettere a rischio utenti, dati o infrastrutture
  • Dare priorità ai rischi in base alla loro gravità e rilevanza per l'organizzazione
  • Affinare le misure di sicurezza per utilizzare maggiormente la difesa proattiva basata sui segnali di allarme delle minacce emergenti
  • Accelerare la risposta agli incidenti, la riparazione e il ripristino per ridurre l'impatto di una violazione
  • Acquisire modelli di comportamento e altro contesto relativo agli IOC per riuscire a identificare meglio gli autori delle minacce e le ragioni degli attacchi
  • Supportare la conformità alle normative per proteggere le organizzazioni da sanzioni e ripercussioni legali

Quali sono le tipologie di threat intelligence?

Esistono diversi tipi di threat intelligence che possono aiutare i team a prendere decisioni sulla sicurezza. In generale, le varie tipologie possono essere classificate in base al relativo utilizzo:

  • L'intelligence strategica sulle minacce offre una visione di alto livello sul panorama delle minacce e sui moventi e le capacità degli utenti malevoli al fine di favorire il processo decisionale a lungo termine e definire un programma di sicurezza e le relative spese. Esempio: dati su uno Stato nazionale che prende di mira un settore industriale.
  • L'intelligence tattica sulle minacce fornisce informazioni dettagliate su specifici vettori di attacco, IOC, TTP e altro, per aiutare i team di sicurezza e risposta agli incidenti a identificare e mitigare le minacce attuali e gli attacchi in corso. Esempio: hash del file di un nuovo ceppo di malware che si diffonde tramite phishing.
  • L'intelligence operativa sulle minacce aiuta il centro delle operazioni di sicurezza (SOC) a comprendere i rischi quotidiani, come minacce attive, vulnerabilità e attacchi in corso, per favorire le decisioni e le risposte in tempo reale. Esempio: indirizzi IP coinvolti in un attacco DDoS alla tua organizzazione.
  • L'intelligence tecnica sulle minacce consiste in informazioni sulle minacce dettagliate e granulari, per aiutare i team di sicurezza a perfezionare le policy e le altre contromisure volte a rendere la protezione più efficace. Esempio: dati su CVE e patch per una vulnerabilità specifica di un software.

Le varie tipologie possono essere classificate anche in base alla provenienza:

  • L'intelligence open source proviene da fonti pubbliche, come feed sulle minacce, blog, forum e archivi. È spesso la fonte di prima linea, ma è fondamentale valutarne l'attendibilità.
  • L'intelligence closed source proviene da fonti private o riservate (solitamente partner o fornitori di servizi) e può essere più dettagliata di quella open source, ma si tratta spesso di un prodotto a pagamento.
  • L'intelligence umana, o human intelligence, viene raccolta da persone attraverso interviste, interrogatori o persino sorveglianza e spionaggio. Per questo motivo, spesso include dettagli più precisi e diretti, ma può essere difficile da ottenere.

Quali sono gli indicatori più comuni di una compromissione?

Raccolti da svariate fonti di intelligence, gli indicatori di compromissione (IoC) sono prove che aiutano a identificare potenziali violazioni e rispondervi, fornendo agli analisti indizi sulla fonte di un attacco informatico, il relativo comportamento o l'impatto. Gli IoC più comuni includono:

  • Indirizzi IP e nomi di dominio associati a noti autori di minacce
  • URL associati a phishing o distribuzione di malware
  • Firme di malware e hash di file di codice dannoso
  • Indirizzi e-mail collegati al phishing
  • Chiavi di registro aggiunte per consentire l'archiviazione e la persistenza
  • Nomi di file e directory associati ad attività dannose
  • Tentativi di accesso anomali o non autorizzati
  • Modelli e picchi di traffico di rete insoliti
  • Deviazioni dal comportamento usuale dell'utente o del sistema
  • Segni di esfiltrazione dei dati o trasferimenti insoliti
  • Prestazioni lente (ad esempio, utilizzo imprevisto della CPU e attività del disco non previste)
  • Processi o servizi insoliti in esecuzione

Chi trae vantaggio dalla threat intelligence?

L'intelligence sulle minacce avvantaggia praticamente chiunque abbia un interesse nella protezione di risorse digitali, dati sensibili o continuità delle operazioni, offrendo un contesto prezioso per supportare le misure di sicurezza di:

  • Organizzazioni di tutte le dimensioni e settori: la threat intelligence offre ai team di sicurezza informazioni utili su come costruire difese più forti. Dirigenti, membri del consiglio di amministrazione e altri responsabili delle decisioni possono utilizzarla per prendere decisioni informate sugli investimenti nella sicurezza, sulla gestione del rischio e sulla conformità.
  • Governi e autorità: la threat intelligence è di vitale importanza per aiutare le organizzazioni del settore pubblico a rispondere in modo più efficiente alle minacce alle infrastrutture critiche, alla sicurezza pubblica e alla sicurezza nazionale per bloccarle.
  • Il settore e la community della sicurezza informatica: i professionisti e i provider che operano nel settore della sicurezza informatica, come ricercatori, analisti, ethical hacker e così via, possono usare la threat intelligence per sviluppare soluzioni più efficaci, analizzare i trend, affinare le contromisure e molto altro, creando un loop di feedback che rafforza l'intero ecosistema digitale.

Qual è il ciclo di vita dell'intelligence sulle minacce informatiche?

Il ciclo di vita della threat intelligence è la sintesi di questo loop di feedback; le organizzazioni devono seguire una serie di fasi per utilizzare in modo efficace l'intelligence sulle minacce e, soprattutto, per farne un uso più efficace in futuro. Le sei fasi sono:

  1. Orientamento: gli stakeholder definiscono gli obiettivi, le priorità, l'allocazione delle risorse e lo scopo generale del proprio programma di threat intelligence.
  2. Raccolta dei dati: l'organizzazione raccoglie dati da feed di intelligence a pagamento o open source, log interni, analisti umani, partner, ecc.
  3. Elaborazione: analisti e strumenti automatizzati puliscono e normalizzano i dati raccolti, verificano le fonti e ne confermano l'affidabilità per prepararli all'analisi.
  4. Analisi: analisti e strumenti identificano pattern, anomalie e potenziali minacce nei dati, quindi correlano questi ultimi per dare forma a informazioni concrete che aiuteranno a mitigare i rischi e assegnarvi la giusta priorità.
  5. Diffusione: i team responsabili della sicurezza riferiscono i risultati agli stakeholder per condividere informazioni, allerte e raccomandazioni. Questi team incorporano quindi la threat intelligence all'interno dei loro strumenti e processi per migliorare in tempo reale le attività di rilevamento e prevenzione delle minacce e la relativa risposta.
  6. Feedback: le organizzazioni devono valutare e perfezionare costantemente il proprio programma di intelligence utilizzando il feedback dei team di risposta agli incidenti. Le revisioni periodiche aiutano a mantenere gli obiettivi e le priorità allineati ai cambiamenti nel panorama delle minacce e nell'organizzazione stessa.

Quali sono gli strumenti di threat intelligence disponibili?

Sul mercato sono disponibili numerosi strumenti progettati per aiutare le organizzazioni a raccogliere, correlare, analizzare e sfruttare i dati della threat intelligence.

Raccolta e aggregazione

  • Gli aggregatori dei feed sulle minacce raccolgono e consolidano i dati provenienti da feed open e/o closed source
  • Le tecnologie di deception(ad esempio, gli honeypot) creano esche per gli attacchi e raccolgono i dati sul relativo comportamento
  • Le piattaforme di intelligence sulle minacce (TIP) raccolgono, organizzano e diffondono dati di threat intelligence da più fonti per generare informazioni utili

Correlazione

  • I feed di intelligence sulle minacce forniscono informazioni precorrelate per un utilizzo rapido
  • I sistemi di SIEM (Security Information and Event Management) mettono in correlazione i dati sulle minacce con gli eventi di rete
  • Le piattaforme di XDR (Extended Detection and Response) mettono in correlazione i dati provenienti da fonti diverse (ad esempio telemetria di rete, eventi degli endpoint, IAM, e-mail, suite per la produttività)
  • Le piattaforme SOAR (Security Orchestration, Automation and Response) automatizzano le azioni di risposta in base ai dati estrapolati dall'intelligence dopo la correlazione

Analisi

  • Gli strumenti di analisi delle minacce, supportati da IA ed ML, analizzano i dati per individuare modelli e tendenze
  • Le piattaforme di condivisione dell'intelligence sulle minacce facilitano l'analisi collaborativa tra le organizzazioni
  • Le sandbox analizzano ed eseguono file e URL sospetti in ambienti isolati

Esecuzione

  • I sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) bloccano o inviano notifiche relative ad attività dannose in base ai dati sulle minacce
  • Gli strumenti di gestione delle policy aggiornano le policy in firewall, proxy e altro in base a indirizzi IP, firme, domini, ecc. dannosi noti
  • Le soluzioni di rilevamento e risposta degli endpoint (EDR) mettono in quarantena o risolvono le compromissioni degli endpoint
  • Gli strumenti per la ricerca delle minacce supportano la ricerca proattiva delle minacce basata sull'intelligence raccolta.

In che modo il machine learning migliora l'intelligence sulle minacce?

Nella maggior parte dei casi, il machine learning (ML) migliora l'intelligence sulle minacce nello stesso modo in cui migliora qualsiasi altra cosa: operando a una velocità, una scalabilità, un livello e una disponibilità continua che gli operatori umani non riescono a eguagliare. I modelli di ML avanzati esistenti oggi vengono addestrati su enormi set di dati, e per questo rappresentano strumenti eccezionali per individuare modelli, anomalie comportamentali, correlazioni e altre complessità con un tasso molto basso di falsi positivi.

Dato che gli strumenti di ML svolgono il lavoro più gravoso e tedioso dell'intelligence sulle minacce, lasciano agli analisti più tempo per intraprendere progetti che richiedono pensiero creativo e comprensione del comportamento, del contesto e del movente umano. La collaborazione tra strumenti tecnologici ed esseri umani è quindi ciò su cui bisogna puntare.

Casi d'uso della threat intelligence

L'intelligence sulle minacce è uno degli strumenti più potenti e versatili per un team di sicurezza, in quanto consente di supportare efficacemente le attività di protezione e risposta e di migliorare il profilo di sicurezza generale.

Rilevamento, prevenzione e risposta alle minacce

La threat intelligence aiuta i team di sicurezza a identificare e mitigare in modo proattivo le minacce, impiegando gli IoC per rilevare le attività dannose, perfezionare le policy e rafforzare le difese. Consente inoltre di potenziare la risposta agli incidenti, fornendo ai team responsabili delle investigazioni e della ricerca delle minacce dati tempestivi e accurati per identificare i segnali di compromissione, il movimento laterale e le minacce nascoste.

Gestione delle vulnerabilità e valutazione del rischio

La threat intelligence può aiutare le organizzazioni a definire la priorità nell'applicazione delle patch, per risolvere le vulnerabilità in base al rischio, e a ottenere informazioni sul profilo complessivo del rischio informatico, per valutare il potenziale impatto delle minacce emergenti. È inoltre estremamente utile per valutare e monitorare il livello di sicurezza di provider e fornitori terzi, al fine di comprendere e mitigare i rischi per la sicurezza relativi alla catena di approvvigionamento.

Condivisione dell'intelligence sulle minacce e processo decisionale

La collaborazione tra settori e governi è fondamentale per rimanere al passo con l'evoluzione delle minacce informatiche. La condivisione di threat intelligence, tattiche e vulnerabilità emergenti rafforza le nostre difese collettive e aiuta gli stakeholder a prendere le giuste decisioni strategiche, sia in termini di sicurezza che per raggiungere gli obiettivi delle organizzazioni.

 

Il ruolo di Zscaler nella threat intelligence

Il team di Zscaler ThreatLabz, che si occupa di threat intelligence e di ricerche sulla sicurezza, analizza 500 bilioni di punti di dati provenienti dal security cloud più grande del mondo e blocca 9 miliardi di minacce al giorno. Monitora inoltre i più avanzati autori delle minacce, come gli Stati nazionali e le associazioni della criminalità informatica, e le relative TTP, per individuare gli attacchi e le tendenze emergenti.

I ricercatori di ThreatLabz hanno scoperto numerose vulnerabilità 0-day nelle applicazioni più diffuse e hanno collaborato con i rispettivi provider per risolverle. ThreatLabz ha inoltre sviluppato una piattaforma proprietaria di automazione, integrata nel cloud di Zscaler, in grado di identificare ed estrarre gli indicatori di intelligence sulle minacce per proteggere i nostri clienti su larga scala.

promotional background

Non perderti gli utlimi dati sulle minacce, le ricerche più recenti e le utili informazioni di threat intelligence di Zscaler ThreatLabz.

Scopri gli ultimi dati sulle minacce in tempo realeSegui ThreatLabz su X

Risorse suggerite

Report del 2023 di Zscaler ThreatLabz sui ransomware
Scarica il report completo
Report del 2024 di Zscaler ThreatLabz sul phishing
Scarica il report completo
Blog delle attività di ricerca sulla sicurezza di Zscaler ThreatLabz
Scopri gli ultimi post
Zscaler ThreatLabz su X (Twitter)
Scopri gli ultimi post
GitHub - Zscaler ThreatLabz
Scopri gli ultimi IoC, le informazioni sui ransomware e gli strumenti più recenti
Dashboard - Zscaler ThreatLabz Cloud Activity
Visualizza gli aggiornamenti in tempo reale
01 / 04