Scoprire in anticipo le minacce

Sapere prima se la propria azienda, il settore dove opera e le organizzazioni con cui collabora sono a rischio di attacco informatico, ma non solo, è l’obiettivo di chi si affida ai servizi di ‘threat intelligence’.

Un mercato nel quale opera IntSights, società nata in Israele nel 2015 con quartier generale negli Stati Uniti, che basa la sua offerta su una molteplicità di competenze ed esperienze partendo dai suoi tre fondatori. “Per due di essi le loro radici sono in ambito militare, essendo due ex membri della Cyber Intelligence Unit delle forze di difesa israeliane (Unità 8200), ed un terzo invece da utente finale per un mix di esperienze capace di fornire una piattaforma completa e che risponda puntualmente a una molteplicità di esigenze ma con facilità e semplicità di uso e comprensione”, spiega Antonio Iannuzzi, Regional Sales Director Southern Europe, Switzerland and Middle East di IntSights, sottolineando come lo scenario in cui la threat intelligence opera ha visto inizialmente le aziende focalizzare l’attenzione sulla protezione del perimetro della rete comprendendo successivamente la necessità di conoscere e vedere quanto accade al suo esterno. E questo per due ragioni: capire se eventualmente i propri dati sono stati sottratti, perché a volte non si ha evidenza di un eventuale breach, e quali sono le minacce che stanno prendendo di mira la propria organizzazione, la propria infrastruttura i propri clienti. Il tutto investigando e spaziando dal clear web fino alle profondità prima del deep e quindi del dark web.

”È questo ciò di cui si occupa la threat intelligence, un settore che richiede soluzioni modulari capaci di consolidare in un’unica dashboard le effettive minacce rilevanti per il cliente, diventando una componente fondamentale per una prevenzione proattiva rispetto a un attacco. Tutto questo grazie anche alla capacità di integrarsi direttamente con l’infrastruttura di rete e di sicurezza del cliente stesso”, afferma Iannuzzi.

A ciascuno il suo

Andando nel dettaglio, il primo passo di un’azienda che decide di rivolgersi a IntSights è quello di creare la propria ‘impronta digitale’ che sarà poi quella in base alla quale riceverà le informazioni più pertinenti e utili all’interno della rispettiva dashboard. “Di fatto questo processo parte da una serie di categorie e parole chiave che contraddistinguono quella particolare realtà. Possono essere i domini di riferimento della sua attività, i rispettivi brand, i nomi dei dirigenti, i loro indirizzi e-mail, le pagine social in gioco, gli indirizzi IP pubblici, le soluzioni IT e OT implementate, i brevetti, e tutta una serie di campi custom personalizzabili. Il tutto modificabile in modo dinamico e nell’arco del tempo direttamente dall’azienda o con il nostro supporto”, entra nel dettaglio Iannuzzi aggiungendo che non si parla solo di esposizione a rischi informatici ma più in generale di tutto quanto può mettere a repentaglio la sicurezza e l’immagine di un’organizzazione.

“Tramite i nostri servizi, offerti in modalità SaaS, mettiamo quindi a disposizione tutta una serie di informazioni e di segnalazioni sui trend di rischio ma dando nel contempo una visibilità specifica su minacce che mirano quella determinata impronta digitale, fornendo un livello di intelligence molto accurato e immediato (Tailored). Si parla ad esempio di possibili dati riservati che vengono rilevati in rete, ma anche di un interesse su persone e aziende che emerge da ricerche fatte anche nel dark web e sui vari forum e chat che lo contraddistinguono, o ancora di profili social fasulli, innescando quindi azioni di prevenzione sia in modo automatico che in ‘collaborazione’ con le altre soluzioni di sicurezza presenti presso l’azienda, come ad esempio un SOC / CERT, piattaforme SIEM, Firewall, Proxy, Endpoint e alimentando i sistemi di enforcement con i dati prodotti da IntSights. Posso citare il caso di un cliente italiano che riceve il report di consulenti finanziari che sui social si presentano a suo nome e verificare se esistono dei possibili truffatori con cui in realtà non ha a che fare. Oppure attività di incident response con personalizzazione di ricerche su tematiche verticali”, prosegue Iannuzzi.

IntSights si integra anche con i servizi Active Directory per un controllo automatico e spinto delle credenziali, verificando e validando solo quelle realmente critiche (utente ancora presente nel dominio con password attiva). “Il tema delle credenziali è molto delicato, visto che ogni giorno ne vengono rubate e diffuse, nonché vendute quantità molto elevate. Qui è necessario una identificazione e blocco immediato”, commenta Iannuzzi.

Il ruolo di AI e machine learning

Alla base dei servizi di threat intelligence di IntSights c’è una forte ricerca ed attuazione di processi di automazione. Automazione che viene assistita dalle tecnologie di intelligenza artificiale e machine learning. “Si tratta di elementi fondamentali per garantire che la soluzione operi in tempo reale e rappresentano uno dei nostri punti di forza ed alcuni di essi sono stati da IntSights brevettati e registrati. Se il 70% dell’attività di ‘intelligence’ è automatizzato un ruolo fondamentale lo gioca però anche il 30% restante, ossia il fattore umano. Questo è un fattore critico necessario per contestualizzare al meglio, rispetto al cliente, quanto prodotto dalla componente di analisi automatizzata riducendo al minimo il rischio di falso positivo” aggiunge Iannuzzi. Ed ecco perché IntSights assegna a ciascun cliente un analista dedicato, contattabile direttamente dalla dashboard, consentendo al cliente di poter interagire con il suo analista di riferimento per qualunque necessità, sia essa di miglior comprensione della segnalazione ma anche per ogni specifica necessità di supporto. Un altro tema che si sta evidenziando è quello relativo alla necessità di avere un indicatore di rischio delle vulnerabilità in grado, non solo di evidenziarne la scoperta e la disponibilità, ma soprattutto il reale rischio sulla base del reale interesse dell’underground del dark web a sfruttarla. A titolo di esempio, la disponibilità e la commercializzazione di un exploit che sfrutta quella vulnerabilità specifica è un indicatore grave per il quale il rischio associato assume un valore altamente critico.

Questa funzionalità è coperta dal nostro servizio ‘Vulnerability Risk Analyzer’ che si integra nativamente con i principali strumenti di Vulnerability Management presenti nel mercato. È un tema molto delicato perché nelle grandi organizzazioni il patching presuppone uno stop di attività sui sistemi IT e OT e la sua prioritizzazione diventa un elemento cruciale anche alla luce di alcune normative, PCI DSS su tutte, che ne richiedono l’adozione”, chiarisce Iannuzzi.

Problematiche puntuali

Il servizo di threat intelligence è traversale sul mercato ma ciò non toglie che esistano alcune aree che quando si parla di sicurezza emergono come più sensibili e mature. “In Italia si nota un interesse costante rispetto all’importanza di conoscere i rischi esterni e questo anche per via di regolamenti come il GDPR o altre normative di riferimento che per alcuni settori, come il finance, sono particolarmente sensibili”. Proprio questo comparto è soggetto a diverse problematiche come phishing, tecniche di social engineering e impersonificazione che portano poi a dover fronteggiare costanti tentativi di frode e danni reputazionali significativi.

“Si passa poi al retail dove l’esplosione dell’e-commerce ha scatenato anche una serie di frodi importanti e gravi, con casi concreti di prodotti, ad esempio per la casa o alimentari, messi in vendita e che in realtà erano anche qui dei tentativi di frode”, prosegue Iannuzzi su un settore che vede ad esempio sul web la circolazione di finte gift card oppure la messa in vendita di merce contraffatta o rubata, tutte attività rilevate monitorando anche il dark web e che sono fonte di danni economici e violazioni di copyright. “Se invece osserviamo la Sanità, mentre in passato c’è stata difficoltà nel fare investimenti in security, la pandemia di Covid-19 ha data un forte impulso anche tenendo conto di diverse frodi sul tema e prevediamo che sia una delle aree di maggior sviluppo”, afferma Iannuzzi. In questo scenario la violazione dei dati sensibili relativi ai pazienti è il tema principale che può essere messo a repentaglio sia attraverso attacchi mirati sull’azienda stessa ma anche attraverso attacchi verso eventuali realtà che collaborano con le strutture ospedaliere. Non fanno eccezione il settore manifatturiero, dove l’integrazione di sistemi IT e OT sembra essere ormai all’ordine del giorno, così come in quello Oil and Gas. “Qui è chiaro che si parla di Internet of Things e di machine-to-machine in un contesto in cui si coinvolgono intere linee di produzione e fabbriche, con le relative supply chain, per un settore in cui se da un lato si parla di maggiore efficienza derivante dall’automazione dall’altra si amplia anche la superficie di attacco”, sottolinea Iannuzzi.

Ecco che i servizi più ampi di IntSights non si rivolgono solamente a un pubblico di responsabili della sicurezza informatica, anche se questi restano i suoi interlocutori di riferimento, che si tratti di CISO, Risk & Compliance manager, SOC (security operation center) o CERT (computer emergency response team), ma anche ad altri responsabili altrettanto importanti e fondamentali per qualunque azienda.

“In realtà, tenendo conto di quanto abbiamo finora esposto, anche altri dipartimenti di un’azienda percepiscono l’utilità di un servizio come il nostro. Il marketing è di fatto particolarmente sensibile al tema della protezione e reputazione del brand. Gli uffici legali invece devono tenere sotto controllo la conformità al GDPR e questo vale anche per le Risorse Umane che hanno in mano i dati sensibili dei dipendenti. Per facilitare e semplificare i processi interni all’organizzazione si possono creare utenze della piattaforma per ruoli e perimetri di competenza affinché ciascuno acceda di fatto solo alle informazioni attinenti per poter agire in modo mirato”, conclude Iannuzzi.