La Cyber Threat Intelligence (CTI) offre una vasta gamma di funzionalità, da quelle tattiche e operative a quelle più strategiche.
Intelligence sulle minacce tattiche
La Tactical Threat Intelligence è orientata a un pubblico più tecnico, dal personale dei Security Operations Center (SOC), agli addetti alla risposta agli incidenti, fino agli esperti di sicurezza. In genere, la Tactical Threat Intelligence è disponibile in un formato leggibile sulla macchina. È facilmente integrabile in vari strumenti e piattaforme di threat intelligence tramite API e feed programmatici di threat intelligence.
I punti di dati sfruttati per rilevare le attività dannose sono chiamati indicatori di compromissione (IoC) e sono elementi chiave di questo tipo di fornitura di informazioni sulle minacce. Gli IoC includono indirizzi IP collegati a minacce note, nomi di domini dannosi e hash dei file identificati come dannosi.
Questi indicatori si sono evoluti molto rapidamente, quindi è importante avere una fonte che si aggiorni costantemente.
Dato che fornisce dati immediati e fruibili senza analisi a lungo termine o approfondimenti, la Tactical Threat Intelligence integra l'intelligence operativa e strategica. Quando un'organizzazione si affida solo alla Tactical Threat Intelligence, c'è un maggiore rischio di falsi positivi – ad esempio, i casi in cui attività innocue vengono erroneamente contrassegnate come dannose.
Usi ed esempi della Tactical Cyber Threat Intelligence (CTI)
· Feed delle minacce: flussi continui di dati che forniscono informazioni sulle potenziali minacce.
· Allerte in tempo reale: notifiche immediate che informano le organizzazioni delle minacce attive nel proprio ambiente.
· Analisi automatizzata dei malware: processi automatizzati che esaminano i software dannosi per comprenderne la funzione e il livello di minaccia.
Operational Threat Intelligence
L'Operational Threat Intelligence si basa essenzialmente sul contesto. Raccoglie informazioni sugli attacchi informatici per identificare le domande essenziali sulle campagne e le operazioni ostili. L'attenzione si concentra su tattiche, tecniche e procedure (TTP), nonché sull'intento e sulla tempistica degli attacchi.
Ottenere informazioni non è un processo semplice, poiché vengono utilizzate varie fonti: da chat room, a social media e log antivirus, fino a dati degli attacchi passati. Le sfide di questo approccio sono i risultati degli autori di minacce che spesso utilizzano la cifratura, un linguaggio ambiguo o codificato e le chat private. Il data mining e il machine learning sono spesso utilizzati per elaborare grandi volumi di dati, ma per produrre un'analisi definitiva, le informazioni devono essere contestualizzate dagli esperti.
L'Operational Threat Intelligence, sfruttata nei Security Operations Centers (SOC), arricchisce le metodologie di cybersecurity, come la gestione della vulnerabilità, il monitoraggio delle minacce, la risposta agli incidenti e così via, con le operational threat intelligence.
Usi ed esempi della Operational Cyber Threat Intelligence (CTI)
· Profilazione degli autori: comprendere e classificare gli aggressori informatici in base alle proprie tattiche, tecniche e procedure.
· Assegnazione delle priorità delle patch: determinare quali vulnerabilità dei software affrontare per prime in base alle Threat Intelligence.
· Risposta agli incidenti: azioni intraprese per gestire e mitigare le minacce una volta rilevate.
Strategic Threat Intelligence
La Strategic Threat Intelligence traduce informazioni complesse e dettagliate in un linguaggio su cui le parti interessate, tra cui i membri del consiglio di amministrazione, i dirigenti e i responsabili delle decisioni senior, possano agire. I risultati della Strategic Threat Intelligence possono includere presentazioni, rapporti sui rischi a livello di organizzazione e confronti tra rischi passati, presenti e futuri nell'organizzazione, oltre a confronti con gli standard e le migliori pratiche del settore. L'identificazione delle lacune nella conformità è un fattore fondamentale della Strategic Threat Intelligence.
Sebbene riassunta nei rapporti, questo tipo di fornitura di Threat Intelligence deve comprendere anche un'analisi approfondita delle tendenze locali e globali, dei rischi informatici emergenti e persino dei fattori geopolitici. Le offerte della Strategic Threat Intelligence sono una parte essenziale della pianificazione a lungo termine, della gestione del rischio e delle decisioni delle policy generali. La Strategic Threat Intelligence è parte integrante della pianificazione strategica a lungo termine per guidare le organizzazioni nell'allineamento delle strategie di sicurezza informatica con gli obiettivi aziendali.
Usi ed esempi della Strategic Cyber Threat Intelligence (CTI)
· Minacce interne: sviluppare strategie complete per identificare e affrontare le minacce che provengono dall'interno dell'organizzazione attraverso metodi come l'analisi dei modelli comportamentali e dei log di accesso.
· Operazioni di inganno: progettare e implementare strategie di inganno per fuorviare e tracciare potenziali aggressori, rilevando le loro tecniche e intenzioni senza compromettere le risorse reali.
· Allocazione delle risorse: determinare come assegnare al meglio le risorse per la cybersecurity in base al panorama delle minacce, investendo in nuove tecnologie di sicurezza, assumendo personale specializzato o destinando fondi per programmi di formazione dei dipendenti.