Cyber Security differisce da CTI (Cyber Threat Intelligence). Mentre il primo riguarda gli aspetti tecnici della protezione dei sistemi informatici e delle applicazioni web, il secondo riguarda l’intelligenza applicata alle informazioni, prendendo forma in diversi modi come OSINT (Open Source Intelligence), HUMINT (Human Intelligence) e SOCMINT (Social Media Intelligence) . La prima cosa importante da capire che cosa significa “cyber threat intelligence” significa definire la parola “minaccia”. Nel campo dell’intelligence, diciamo che esiste una minaccia quando un individuo o un’organizzazione ha:
Intenzione: se qualcuno ha un desiderio malevolo contro di te, allora ha l’intento.
Capacità: se qualcuno ha i mezzi tecnici per colpirti, allora ha le capacità.
Opportunità: se qualcuno trova che sei vulnerabile in qualche modo, allora ha l’opportunità.
Perché una minaccia esista, tutte e tre queste cose devono accadere contemporaneamente. Se qualcuno ha l’intenzione ma non la capacità, non è una minaccia. Allo stesso modo, se qualcuno ha l’opportunità ma non ha le capacità, non è una minaccia. In questo significato, l’intelligenza cibernetica consiste nell’utilizzare la conoscenza basata sull’evidenza che esiste una minaccia, per preparare le contromisure appropriate per contrastare la minaccia stessa.
Gli analisti sono la chiave
Il mondo delle minacce informatiche sta accelerando giorno per giorno e non c’è nulla che tu possa fare per tenere il passo con tutte le nuove minacce, le vulnerabilità e gli 0 giorni scoperti. Gli strumenti di automazione sono l’ottimo aiuto che userete spesso, ma ricordate sempre che la chiave è la vostra risorsa umana. La capacità di riconoscere schemi comportamentali e di trovare modelli di pensiero è tipica degli umani. Nessuno strumento, nessun computer può aiutare in questo modo come un analista esperto. Gli strumenti contribuiranno ad accelerare i processi ripetitivi ma gli esseri umani saranno sempre la chiave per limitare il campo di indagine e identificare le minacce in modo realistico ed efficiente. Le organizzazioni assumono gli analisti per produrre valutazioni a breve e lungo termine e organizzano la difesa. Gli analisti devono avere capacità tecniche, capacità analitiche e un certo livello di istruzione. In particolare:
una laurea in informatica
certificazioni come OSCP (Offensive Security Certified Professional) o CEH (Certified Ethical Hacker)
esperienza pratica nel campo della sicurezza
IOC
I CO (Indicatori di compromesso) sono una parte fondamentale della CTI. Questi indicatori sono dati raccolti in vari modi, dai log anti-virus ai dati degli allegati e-mail. L’insieme di tutti gli IOC, ti fornirà un contesto in cui lavorerai per trovare il percorso che conduce all’identificazione della minaccia. IOC non ti daranno la soluzione, sono dati senza uno schema, sarà il tuo accordo per trovare lo schema al loro interno. In ogni caso, senza IOC sarà impossibile per qualsiasi analista della sicurezza trovare la via per la verità. Quando si tratta di IOC, non è sufficiente identificarli ma è anche molto importante stabilire alcuni dati importanti:
momento dell’attacco: è fondamentale stabilire una linea temporale per capire la catena corretta degli eventi.
categorie di dati: la suddivisione dei dati raccolti durante l’attacco ti aiuterà a capire rapidamente quale tipo di contromisure ti serviranno.
geolocalizzazione: capire da dove viene l’attacco è un fattore chiave per impostare una strategia di difesa.