Come threat intelligence si definisce la raccolta di informazioni utili a delineare le cyber minacce che colpiscono o colpiranno, con probabilità più o meno elevata, una certa organizzazione. E sulla base di queste informazioni si andrà poi a sviluppare, o migliorare, un piano di prevenzione e contrasto di queste minacce.
Il patrimonio conoscitivo acquisito mediante l’attività di threat intelligence viene messo a disposizione di tutti gli stakeholder coinvolti nei processi utili alla sicurezza informatica aziendale, in modo da poter attuare consapevolmente strategie ed azioni utili alla prevenzione, alla mitigazione e all’eradicazione delle minacce, a partire da una corretta valutazione dei rischi. La Cyber Threat Intelligence può essere implementata in molti modi, ma la sua missione comune consiste nell’informare in merito ai rischi che provengono dalle minacce presenti all’interno della rete, dove ormai quasi tutte le aziende sono connesse per svolgere in tutto o in parte le loro attività digitali.
Le dinamiche della cyber security sono estremamente complesse e variegate ma seguono delle logiche che gli esperti conoscono bene. In particolare, uno degli elementi più utili per le attività di Cyber Threat Intelligence è considerare che i cyber criminali agiscono prevalentemente in maniera opportunistica, sfruttando le tecniche e gli strumenti di hacking più efficaci in un determinato momento. Spesso capita infatti che è la stessa attività dei ricercatori, impegnati a scovare e correggere le vulnerabilità dei dispositivi, sistemi operativi e software, a fornire lo spunto che consente ai pirati informatici di portare avanti i loro attacchi. È piuttosto raro, infatti, che gli hacker siano in grado di sviluppare in autonomia malware che sfruttano falle di sicurezza sconosciute.
La threat intelligence si affronta su vari livelli e per questo è molto scalabile. L’importante è partire, anche con poco, e imparare a inserirla nei processi aziendali. Si penserà in un secondo momento, semmai, a espanderla. La buona notizia è che un approccio soft con la threat intelligence ha costi davvero ridotti.
Un ottimo punto di partenza è la piattaforma ATT&CK del MITRE. Si tratta di un insieme di servizi che aiutano a classificare e analizzare le minacce al fine di ottenere informazioni con cui alimentare il proprio sistema di threat intelligence, e pianificare le strategie di cybersecurity.
