La Cyber Threats Intelligence è l’attività che mira a raccogliere informazioni circa le minacce (threats) informatiche che possono mettere in pericolo la tua Azienda. Si tratta dunque di un’attività di prevenzione rispetto al rischio di attacchi informatici alla tua azienda, perchè è evidente che:
NON TI PUOI DIFENDERE DA CIO’ CHE NON CONOSCI
Sotto il cappello della Cyber Threats Intelligence operano diversi strumenti, tutti con l’intento di raccogliere quante più informazioni rilevanti per la tua sicurezza. Prima di vederli del dettaglio, facciamo chiarezza sul tipo di informazioni che questi strumenti possono raccogliere.
Cyber Threats Intelligence: cosa può scoprire
Innanzitutto, quali informazioni può raccogliere un’azione con questi strumenti? Ne possiamo elencare alcune, tra le più critiche per la tua sicurezza:
- Vulnerabilità presenti nella rete, ne abbiamo parlato in questo articolo
- Indirizzi mail o password inerenti all’azienda di pubblico dominio. Molti utenti usano la mail aziendale per registrarsi presso servizi online o addirittura presso social network. Se questi servizi subiscono un furto di dati, indirizzi mail e relative password diventano di pubblico dominio. Il problema è che il 60% degli utenti riutilizza più volte la stessa password, quindi la password trafugata potrebbe essere anche password per l’accesso al PC, oppure per l’accesso RDP oppure addirittura per la mail aziendale.
- Botnet activity sulla rete. La tua rete potrebbe essere usata per sferrare attacchi a terzi in modo subdolo e difficile da identificare.
- Malware già presenti in rete, magari silenti e pronti ad agire. Prima di sferrare il vero proprio attacco diversi malware possono essere già presenti e raccogliere informazioni sulla tua rete, magari cercando di identificare i backup per danneggiarli.
Cyber Threats Intelligence: due livelli di azione…
L’analisi delle minacce può essere svolta in due direzioni:
- All’interno del perimetro della LAN aziendale
- All’esterno di questo perimetro, verificando le informazioni sia da fonti aperte oppure andando a scandagliare il deep ed il dark web.
Analisi all’interno della tua LAN
Si tratta di tutta una serie di servizi che verificano il livello di rischio già presente all’ interno della tua rete.
Vulnerability Assessment
Il servizio scandaglia la tua rete, verifica gli apparati, le release del software, i PC e relativo sistema operativo, il grado di aggiornamento degli apparati di sicurezza e così via. Per ognuno di essi verifica le vulnerabilità note presenti, al termine dell’analisi ti verrà rilasciato un report che elenca le vulnerabilità trovate, il loro livello di criticità e le azioni correttive. Per esempio, potresti scoprire che il firewall ha vulnerabilità gravi e che non è aggiornato, che i tuoi switch sono obsoleti e le vulnerabilità non più contenibili, che RDP è da aggiornare quanto prima e così via.
Penetration Test
Se il servizio precedente è piuttosto “passivo”, questo servizio invece è di natura “attiva”: sfrutta le vulnerabilità e le misconfigurazioni dei tuoi sistemi per bypassare le difese ed accendere alla LAN dall’esterno. In altre parole si imita l’azione degli hacker per capire quanto è facile oppure quanto è difficile penetrare nelle tue difese. L’azione può essere rivolta verso servizi esposti (IP pubblici, server di posta, firewall etc) oppure verso siti web per saggiarne la robustezza. Il test termina con il rilascio di un report e la discussione delle azioni fatte.
Phishing Attack Simulation
Se il penetration test si rivolge al “firewall tecnologico”, la Phishing simulation saggia il livello del cosiddetto “firewall umano”, che non sono altro che le persone, che purtroppo sono spesso l’anello debole della catena. Vengono quindi inviate false e-mail di phishing agli utenti della rete, e si analizzano i feedback: quanti hanno aperto la mail, quanti hanno cliccato sui link contenuti e quanti, nel caso, hanno lasciato dati sensibili. L’analisi conseguente permette quindi di valutare il livello di esposizione al rischio phishing della tua azienda e nel caso formare i tuoi utenti circa le minacce e le azioni per evitarle.
Security Assessment
I servizi precedenti ti possono dare consapevolezza del rischio “potenziale”, il rischio reale e forse già presente lo rilevi invece con questo sistema. Il servizio analizza il traffico dati in ingresso e in uscita dalla tua rete e ne verifica le criticità, come ad esempio traffico di dati con IP “strani” o di dubbia reputazione (malware in azione oppure botnet activity…), oltre a verificare applicazioni che fanno traffico e capire se queste siano o meno autorizzate. Ne abbiamo parlato in dettaglio in questo articolo.
Cyber Threats Intelligence all’esterno…
Ora hai svolto i servizi sopra indicati e sai che hai determinate vulnerabilità e debolezze, ma oltre a te lo sanno altri? Le tue vulnerabilità sono già di pubblico dominio? Esistono mail e password della tua azienda in database che sono stati trafugati?
Se lo fossero, significa che il livello del tuo rischio è molto superiore: infatti qualcuno si è già preso la briga di “attenzionare” la tua azienda, ne ha raccolto informazioni e vulnerabilità e ora rende queste informazioni disponibili a chi volesse attaccarti.
Effettuare un’azione di intelligence andando a cercare sia nei meandri del dark e deep web sia sul web “in chiaro” la presenza di queste informazioni, completa il quadro del tuo rischio.
Un passo fondamentale…
Questi servizi, tutti o solo alcuni in relazione alla tua specifica situazione, sono alla base per impostare una sana strategia di difesa a medio-lungo termine. Altrimenti si rischia di spendere soldi nell’ultimo “firewall miracoloso” oppure nell’ “antivirus che risolve tutto”, senza avere un dettagliato e fondamentale quadro d’insieme.
