Strategie per la Threat Intelligence

Le informazioni raccolte dalle aziende sono sempre di più, mentre la qualità dei dati è determinante per instaurare strategie vincenti e migliorare i processi aziendali. In questo scenario, instaurare politiche corrette di Cyber Security è fondamentale. Oggi, al centro delle strategie di sicurezza ci sono sempre più i processi di Threat Intelligence, che sono in grado di individuare e analizzare le minacce informatiche rivolte a un’azienda.

Il numero di attacchi informatici, negli ultimi tempi, è salito notevolmente. Secondo Clusit, nel 2021, gli attacchi di tipo ransomware sono cresciuti del 350%. Di conseguenza la Threat Intelligence è un argomento estremamente attuale. Per le aziende che già la conoscono e la utilizzano è molto importante renderla più efficace, per chi invece ancora non se ne avvale è giunto il momento di capire come muovere i primi passi in quest’ambito, per una corretta implementazione.

Per far luce sul tema della Threat Intelligence, Infoblox, in collaborazione con Office Automation, ha organizzato una tavola rotonda, in cui le esperienze di imprese utenti, con caratteristiche differenti tra loro, sono state messe a confronto con l’obiettivo di far emergere indicazioni utili a chi sta rivedendo o pianificando nuove strategie di Threat Intelligence.

L’incontro, moderato da Ruggero Vota, capo redattore di Office Automation, ha visto, accanto a Infoblox, la partecipazione di cinque aziende; quattro di esse hanno accettato di comparire in questo servizio.

Le domande che hanno fatto da spunto al dibattito sono le seguenti:

1.Che ruolo ha la Threat Intelligence nelle vostre strategie di cyber security?

2. Quali problematiche siete riusciti a risolvere con la Threat Intelligence? E quali non ancora, e perché?

3.Quali evoluzioni prevedete nell’ambito dei vostri programmi di Threat Intelligence nel 2022 e oltre?

Michele Fabbri, CISO di De Nora

De Nora è una multinazionale italiana quotata sull’Euronext Milan, specializzata in elettrochimica, punto di riferimento nelle tecnologie sostenibili e nella nascente industria dell’idrogeno verde, con 25 sedi operative distribuite nel mondo. Di conseguenza la Threat Intelligence è fondamentale e copre sia la sicurezza predittiva, sia quella proattiva.

Stiamo usando la Threat Intelligence soprattutto per la raccolta di informazioni sulle minacce cyber a cui potrebbe essere esposta la nostra azienda. Il corretto uso di questo servizio aiuta il top management a prendere decisioni efficaci e tempestive perché consente di spostare il tema della sicurezza, fino a non molto tempo fa basato sulla percezione del rischio da parte di uno specialista, direttamente al consiglio di amministrazione e di basare su dati oggettivi le scelte di investimento per migliorare la difesa dell’azienda.

De Nora ha introdotto tecnologie IoT per il controllo dei sistemi OT dei propri stabilimenti. L’analisi dei rischi deve seguire l’evoluzione tecnologica, orientandosi verso i dispositivi hardware e software degli end point.

La Threat Intelligence può essere operativa e strategica. La Threat Intelligence operativa sta lavorando bene, perché gestisce informazioni tecniche sugli attacchi, sui relativi vettori, sulle vulnerabilità. Per migliorare la parte operativa è fondamentale condividere le informazioni importanti in tutta l’azienda, per meglio comprendere se impattano sulla tecnologia.

La Threat Intelligence strategica prevede, invece, la valutazione di cosa può essere rilevante in un’impresa. Il valutatore deve contestualizzare le minacce e fornire informazioni dettagliate sui rischi associati e sulle azioni da intraprendere. Essere in grado di prevedere quali conseguenze potrebbero derivare da una minaccia e individuare le possibili soluzioni è già di per sé importante, ancora di più per una multinazionale con presenza globale.

Servizi utili possono essere erogati dalle istituzioni, ne è un esempio l’agenzia nazionale per la cyber security che sta interconnettendosi sempre più con analoghe agenzie attive nel mondo per raccogliere informazioni e allertare le aziende sulle minacce incombenti, soprattutto di natura geopolitica. Nonostante queste opportunità, le imprese devono avere al proprio interno la possibilità di fare valutazioni sulla sicurezza perché solo un’azienda conosce la propria realtà, le relazioni con i Paesi in cui opera e con i clienti.

Il passo successivo all’applicazione della Threat Intelligence è costituito dall’uso dell’Artificial Intelligence, del machine learning e del deep learning, non solo per automatizzare sistemi e applicazioni, ma anche per realizzare un framework di sicurezza informatica basato sull’apprendimento automatico delle strategie di attacco dei criminali informatici. La cattiva notizia è che anche gli attaccanti stanno procedendo in questo senso.

La Threat Intelligence, tuttavia, è un framework di processo e il suo successo o fallimento dipende dal livello di commitment del senior management. Importante è avere obiettivi chiari e business oriented, anche nella scelta delle tecnologie.

Alessandro Cattelino, Responsabile Cybersecurity del Gruppo Iren

La Threat Intelligence e i sistemi a supporto a essa sono elementi innovativi, su cui, a volte, è difficile confrontarsi perché coinvolgono informazioni riservate. In Gruppo Iren (multiutility italiana attiva nei settori dell’energia elettrica, del gas, dell’energia termica per teleriscaldamento, della gestione dei servizi idrici integrati, ambientali e tecnologici, attiva prevalentemente in Piemonte, Liguria ed Emilia) la Threat Intelligence è usata a livello avanzato. Prevede piattaforme per fare analisi nel mondo cyber, accanto a strumenti di automazione per l’acquisizione di informazioni acquisite da varie fonti e rese disponibili ai nostri analisti.

In Iren la Threat Intelligence è subentrata dopo un’evoluzione dei sistemi core a supporto dei processi cyber nel Gruppo: non l’abbiamo ritenuta lo strumento da cui partire, ma l’abbiamo percepita come uno strumento per migliorare e arricchire altre applicazioni. Una volta introdotta, la Threat Intelligence ha assunto un ruolo centrale: oggi tutti gli strumenti acquisiti hanno internamente motori che usano le informazioni di Threat Intelligence.

Fondamentale è avere una Threat Intelligence personalizzata che permette di arricchire i sistemi usati con informazioni più contestualizzate alla propria azienda, rendendone il funzionamento più efficace e la diffusione delle informazioni più adeguata a ogni contesto aziendale, compreso il vertice.

L’introduzione della Threat Intelligence in area OT è una mossa strategica per una realtà come Gruppo Iren, che produce e distribuisce energia, un settore che risente anche delle conseguenze della crisi ucraina. Ci siamo serviti di analisti esterni di Threat Intelligence, ma il SOC è gestito internamente e l’elaborazione delle informazioni avviene grazie a personale interno specializzato.

La Threat Intelligence, in Iren, coinvolge i processi di prevention e incident response. Ci sta dando valore aggiunto sulle vulnerabilità, consentendoci di individuarle in anticipo rispetto a informazioni provenienti da altre fonti. L’integrazione con i sistemi SOC è fondamentale, in quanto la Threat Intelligence aiuta sia a delineare il contesto in cui è avvenuto l’evento malevolo sia a prioritizzare le analisi, dal momento che un SOC come il nostro analizza centinaia di eventi giornalieri.

Infine, le attività di Threat Intelligence permettono di indirizzare le analisi di Threat Hunting: il sapere qual è la tecnica utilizzata da un attaccante consente di essere più efficaci nell’individuare le misure di contenimento adeguate.

In conclusione, oltre alle attività tipiche di Threat Intelligence, è necessario creare una collaborazione per condividere informazioni, oltre che con le istituzioni, con la community delle utility legate all’energia.

Michele Rivieri,  CISO di Datalogic

Coinvolgere l’area marketing, in rapporto alla Threat Intelligence, è utile. In realtà come la nostra, dove l’IT non è il core business, e dove l’area dirigenziale è lontana dalla sicurezza informatica, ma dove i temi business sono prevalenti, è più facile parlare di sicurezza partendo da esempi pratici, legati alle attività quotidiane.

Noi che lavoriamo nella sicurezza abbiamo portato all’attenzione dell’area marketing l’esistenza di siti simili a quello di Datalogic, spesso ospitati in luoghi lontani. L’anno scorso abbiamo individuato, per esempio, un sito di gaming cinese su un server iraniano, simile a quello di Datalogic. Importante è dare ai colleghi dell’area marketing informazioni utili a prevenire gli attacchi.

Datalogic, tempo fa, ha fatto una gara d’appalto per l’acquisizione di un Security Operation Center esterno, a cui affidare anche le aree di Threat Intelligence, di security incident management e di forensics. Per gestire queste aree sono necessarie competenze specifiche; per questo abbiamo ritenuto che mantenere queste competenze internamente avrebbe potuto essere difficile, soprattutto per la necessità di aggiornamento continuo. Con il vincitore della gara d’appalto stiamo lavorando per far evolvere la sicurezza. Ci stiamo rivolgendo verso l’analisi di tutti i nostri siti. La gestione tramite cyber intelligence dello shadow IT (termine che indica sistemi e soluzioni IT implementati e usati nelle organizzazioni senza l’approvazione esplicita dell’organizzazione stessa), molto diffuso in azienda, che porta per esempio il marketing ad acquisire siti in giro per il mondo senza sottoporli a controllo, è importante per evitare rischi di immagine. In un momento come quello attuale, un errore di immagine può portare a danni enormi. Di conseguenza deve essere posta molta attenzione verso lo shadow IT. Spesso noi tecnici della sicurezza lavoriamo in un ambiente ben definito che considera attacco e difesa; importante è allargare l’ambito di conoscenza della sicurezza e le aree di intervento, individuare situazioni che non avevamo previsto di gestire.

Il servizio di Threat Intelligence è operativo da poco più di sei mesi. Abbiamo un contratto con il nostro security operation center in cui si dice che se individuassimo siti simili al nostro, ma malevoli, loro ci aiuteranno a risolvere i problemi. Al momento non abbiamo avuto problematiche oggettive e tutti i nostri executive sono sotto controllo per quanto riguarda l’intercettazione di informazioni lavorative e personali che potrebbero portare a un attacco di social engineering.

Come Datalogic abbiamo una convenzione con la polizia postale per lo scambio di informazioni, ma dal punto di vista della Threat Intelligence non c’è nessuna iniziativa da parte di entità governative per aiutare le aziende a proteggersi.

La nostra Threat Intelligence, oggi, è a servizio della parte ICT, la parte IoTOT è a traino. Dovremmo spostarci di più in quell’area. È difficile portare ricerca e sviluppo, focalizzata su tematiche operative di OT e IoT, verso un approccio organico alla sicurezza. Punteremo sulla formazione interna e sull’assunzione di un OT/IoT security manager che ci aiuterà a diffondere le informazioni sulla sicurezza in quell’ambito.

Davide Romagnoli, Network & Security Manager di Conserve Italia

Conserve Italia è un Gruppo che raccoglie cooperative agricole, ha 11 stabilimenti produttivi attivi in Italia, Francia, Spagna e alcuni uffici commerciali. Dobbiamo favorire, con l’aiuto della Threat Intelligence, un processo di sensibilizzazione e di miglioramento della cyber security. Negli stabilimenti produttivi, ICT e OT sono sempre più in contatto tra loro per condividere un linguaggio comune. L’ICT era già sensibile ai problemi di cyber security; lavoriamo per far capire anche all’OT che ci sono elementi facilmente attaccabili e potenzialmente pericolosi per la loro attività produttiva se non scegliamo, insieme, politiche di sicurezza diverse dal passato.

La fabbrica ha proprie dinamiche. La parte OT di solito privilegia la velocità rispetto alla sicurezza, ma questo paradigma, oggi, non può più essere usato. Vogliamo allineare velocità e sicurezza per avere più controllo rispetto alle connessioni dall’esterno. Spesso, le problematiche legate alle attività di manutenzione erano gestite con strumenti fuori dal controllo dell’ICT; stiamo favorendo la collaborazione di OT con l’ICT, per meglio gestire la sicurezza anche nel rapporto con la supply chain.

Siamo rimasti sorpresi dall’incidente di sicurezza che ha riguardato un importante operatore logistico italiano, anche perché molti nostri prodotti viaggiano sui suoi mezzi. Abbiamo chiesto notizie ai nostri contatti in questa realtà, per avere più informazioni possibili. Attraverso la Threat Intelligence, migliora la condivisione di informazioni legate ai fattori di rischio.

Un problema come questo ci ha portato ad alzare il livello di attenzione anche su incidenti di sicurezza, che coinvolgono la supply chain dell’azienda.

È indispensabile assegnare la gestione della Threat Intelligence a una realtà specializzata, costantemente aggiornata sull’evoluzione delle minacce. Servono competenze specifiche in materia di cyber security.

Tra i vantaggi dell’uso della Threat Intelligence c’è la possibilità di allertamento preventivo su determinate vulnerabilità. Solo un servizio specialistico attivo tutti i giorni, 24 ore su 24, riesce a focalizzarsi totalmente su queste problematiche. La Threat Intelligence ci ha portato ad affrontare tematiche che sembravano lontane dal campo di azione e di interesse degli utenti, ma che sono molto importanti per le attività quotidiane. Per sensibilizzare i nostri utenti su tematiche di sicurezza, abbiamo creato un Cyber Security Blog interno, che ha l’obiettivo di alzare il livello di attenzione verso le minacce e le possibili difese.

Per il futuro ci orienteremo su meccanismi di automazione, perché la velocità di risposta è fondamentale sia in area IT sia OT. Gestire impianti produttivi legati a prodotti alimentari è un problema delicato. Un falso positivo che blocca un magazzino o un impianto di lavorazione delle materie prime ci preoccupa molto; di conseguenza è determinante puntare su sistemi di security costantemente aggiornati.

L’opinione di Infoblox

Riccardo Canetta, Sales Manager di Infoblox

Gianluca De Risi, System Engineer di Infoblox

Infoblox, oltre a fornire proprie soluzioni di Threat Intelligence, è in grado di valorizzare le soluzioni di Threat Intelligence già presenti nell’azienda cliente, favorendone il consolidamento. La sovrapposizione tra gli indicatori di compromissione provenienti da diverse fonti è intorno al 10%; si tratta quindi di una percentuale molto bassa. Di conseguenza, mettere a fattor comune diverse fonti di Threat Iintelligence è una strategia corretta. Cerchiamo di intervenire in un contesto il più possibile localizzato, per questo stiamo aumentando il numero di analisti di Threat Intelligence anche in Italia, per poter essere più vicini ai nostri clienti.

Una mossa importante, per un’azienda, è condividere la Threat Intelligence non solo al proprio interno, ma anche con i propri partner o con tutta la supply chain. Considerando il DNS come elemento alla base di tutto, è possibile ottenere più informazioni, bloccare un dominio malevolo e rimediare i problemi.

Monitorare l’immagine di un’azienda è un elemento importante. Per questo Infoblox rende disponibili ai propri clienti anche un servizio di Look-Alike Domain Monitoring, che consente il monitoraggio di eventuali domini somiglianti a quello dell’utente, in tutto il mondo, in modo rapido.

Accanto alla Threat Intelligence, è determinante considerare anche la Network Intelligence, che consente di avere una visione costantemente aggiornata, in tempo reale, di quanto l’azienda utente ha in rete in un preciso momento.

Riguardo alla Threat Intelligence e alla contestualizzazione per un ambiente specifico, arricchiamo la Threat Intelligence con il framework Mitre, che prevede tattiche e tecniche utilizzate per la diagnostica e la gestione delle minacce alla sicurezza informatica.

Il DNS si conferma come elemento fondamentale; un controllo delle query DNS su chi, come, cosa è in Rete consente di individuare e bloccare un nome di dominio pericoloso.

Anche se non sarà possibile contare su più vendor che forniscono Threat Intelligence per un contesto specifico, il DNS potrà utilizzare la Threat Intelligence di tutti i vendor coinvolti, con una protezione estremamente ampia.

Il DNS è trasversale e consente di bloccare attacchi di diverse tipologie e con differenti destinazioni. L’host isolation, inoltre, permette di valorizzare il DNS per restringere i domini verso cui fare query e aggiungere ulteriore sicurezza, per esempio alle reti OT.

Forrester ha condotto di recente un’indagine su 100 aziende nordamericane con un elevato livello di maturità in ambito cyber. In moltissimi casi è presente il DNS, ma esistono server che non sono controllati adeguatamente, mentre potrebbe essere fondamentale un maggior controllo sulla comunicazione di quanto avviene tra interno ed esterno. Il DNS ottimale non è accessibile dall’esterno, ma dall’interno, e nel momento in cui qualcuno o qualcosa comincia a fare query, verso un nome di dominio malevolo, è possibile intercettarlo.