Il termine Threat Intelligence, traducibile quasi letteralmente in “Intelligence delle minacce”, nell’ambito della sicurezza informatica viene declinato nel termine Cyber Threat Intelligence indicando nella pratica la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici. Il termine infatti mira a includere diverse sottocategorie: Servizi di reputazione, Analisi dei malware, Ricerca sugli attori delle minacce e Ricerca su Dark Web. I fornitori forniscono feed e report che, una volta utilizzati dai loro clienti, possono identificare attacchi, infezioni e attività di esfiltrazione in corso.
Servizi di reputazione
I servizi di reputazione sono da tempo un elemento di differenziazione per i fornitori di sonde IPS. L’identificazione e il blocco del traffico di attacco al gateway in base alle firme richiede un intenso calcolo poiché richiede un’analisi completa dei pacchetti di rete esaminati. È molto più semplice bloccare tutti i tentativi di connessione da un determinato indirizzo IP o dominio Internet. Pertanto, molti vendor hanno incorporato la reputazione IP nei loro prodotti.
Sono nati quindi servizi indipendenti di reputazione IP per offrire feed non elaborati di indirizzi IP classificati in base a una scala di rischio. Questi servizi possono eseguire la scansione di indirizzi IP e siti Web alla ricerca della presenza di malware o creare trappole/esche che identificano attacchi da determinati indirizzi IP. Purtroppo, la reputazione dell’IP è una qualità fluida: un indirizzo IP di un server associato a un particolare attacco Denial of Service (DoS) potrebbe diventare completamente benigno se l’amministratore ripulisce la macchina dalle minacce in essa presenti. Pertanto, i servizi di reputazione IP devono essere costantemente aggiornati, creando un modello di business per un servizio in abbonamento.
Analisi dei malware
I feed delle minacce basati sull’analisi del malware rappresentano la fonte di informazione più diffusa in quanto rispecchiano i servizi che ogni azienda di antivirus/malware ha realizzato per gestire il proprio parco di client con nuove e aggiornate informazioni per l’aggiornamento delle fingerprint. Come accaduto per i servizi di reputazione IP, anche in tale ambito si sono inseriti provider privati che eseguono il rollup di migliaia di macchine virtuali (sandbox) e vi installano opportune componenti software per estrarre Indicatori di Compromissione (IoC) che possono includere indirizzi IP di origine, indirizzi IP di comando e controllo (C&C), hash MD5 del payload e le sue parti costitutive e altri dati.
Ricerca sugli attori delle minacce
Le società di ricerca sugli attori delle minacce hanno processi che richiedono risorse umane molto maggiori per fornire il loro servizio. Infatti, oltre ai sistemi automatizzati, questi fornitori si affidano agli analisti per rintracciare determinati criminali informatici, gruppi di hacktivisti o team associati allo spionaggio informatico degli stati nazionali. I loro prodotti sono principalmente sotto forma di rapporti di ricerca che contengono descrizioni dettagliate degli attori delle minacce, comprese le loro tecniche e procedure tattiche (TTP). Questo tipo di report non si presta a un feed ma la maggior parte dei fornitori sta creando API in modo che i propri dati possano essere interrogati. Alcuni infatti hanno basato la loro offerta su una dashboard e feed delle attività di oltre nove milioni di identificatori di attori di minaccia separati.
Un’altra categoria di servizi di ricerca sulle minacce è quella fornita a fini di protezione del marchio o di allerta precoce. In questo caso i fornitori tentano di identificare quando un cliente viene preso di mira o anche le prime fasi di pianificazione di un attacco. Usano la cosiddetta Open Source Intelligence (OSINT) e strumenti per il mining di pastebin, canali di chat e siti anonimi nascosti all’interno della rete TOR, per raccogliere la loro intelligenza, il cosiddetto Deep Web.
Ricerca su Dark Web
Mentre il Deep Web è quella vasta porzione di Internet che non è indicizzata dai motori di ricerca, stimata in oltre il 90% dell’intera rete, il Dark Web è accessibile da VPN create attraverso software specifici come TOR (The Onion Router) o I2P (Progetto Internet Invisibile). In questo modo l’anonimato dei partecipanti è protetto. I ricercatori di molti fornitori e forze dell’ordine si infiltrano in questi angoli profondi e bui di Internet per raccogliere informazioni sulle intenzioni, gli strumenti, le capacità e i metodi degli attori delle minacce.
Sebbene estremamente prezioso sia per i team di sicurezza informatica che fisica, la raccolta di dati e la raccolta di informazioni dal Deep & Dark Web è straordinariamente difficile.
