Per iniziare un corretto processo di intelligence sulle minacce, queste ultime devono essere poste nella giusta prospettiva in funzione del rischio e, inoltre, vanno definite metriche accurate e rilevanti. Da dove iniziare?
Prima di partire con qualsiasi attività di analisi delle minacce e di Threat Intelligence, secondo gli esperti, occorre assicurarsi di avere una conoscenza approfondita dell’ambiente aziendale su cui si sta lavorando.
Capire l’ambiente aziendale richiede una profonda conoscenza delle sue vulnerabilità e la loro relazione con il profilo di rischio dell’organizzazione.
La comprensione del profilo di rischio e di successo, preferibilmente in termini quantitativi, consente infatti di circoscrivere il problema. E un problema limitato è la componente chiave per rendere sensate e utili le metriche di Threat Intelligence.
Indice degli argomenti
L’importanza delle metriche di Threat Intelligence
Ottenere metriche di Threat Intelligence precise in un ambiente non circoscritto è difficile, ma non impossibile. Secondo gli esperti, per esempio, un’analisi basata sul rischio potrà fornire i dati necessari per questo primo passo. I rischi così rilevati possono essere definiti come pericoli conosciuti, mentre le aree ritenute buone possono anche quantificate. La prima unità di misura nasce così dall’analisi delle minacce in relazione alle vulnerabilità esistenti e al costo: l’obiettivo, infatti, è quello di comprendere il costo esatto di una violazione.
Il passo successivo sarà mettere le minacce nella giusta prospettiva: delineare concrete metriche di Threat Intelligence, infatti, premette innanzitutto di evitare l’inutile effetto a cassa di risonanza che si verifica quando lo stesso pericolo è rilevato da più feed.
Nell’ottica di ottenere più efficienza e precisione, utilizzare più servizi di Threat Intelligence permette di monitorare la distribuzione delle minacce in base a data e ora. I due parametri di maggior interesse sono:
- il periodo di distribuzione
- la rilevanza temporale in relazione alle aree a rischio individuate
Questo aiuterà a capire quali provider forniscono informazioni in modo tempestivo, aiutando le aziende a ridurre il rumore di fondo degli alert e a comprendere la rilevanza e l’importanza del feed rilevato.
Conoscere bene le proprie vulnerabilità
La metrica successiva da definire, forse la più importante, è quella relativa alle performance che l’azienda sta dimostrando nei confronti di queste minacce.
Mentre molte organizzazioni preferiscono raccogliere le metriche relative al loro settore specifico in verticale, il vero obiettivo è quello di continuare le operazioni e resistere alle minacce pur mantenendo la consapevolezza della loro esistenza. Ecco dunque che una delle metriche più trascurate, secondo gli esperti, è quella relativa al numero di minacce individuate che stanno tentando di sfruttare le vulnerabilità esistenti nell’organizzazione. Un primo indicatore, in molti casi, si verifica quando i malintenzionati tentano di eseguire la ricognizione sui servizi sicuri. Per questo motivo sapere quanti tentativi sono stati respinti sarebbe un utile.
Naturalmente, un tasso di respingimento del 99% non è efficace se l’1% degli attacchi va a buon fine, ma tutte le attività devono essere messe in atto nella prospettiva rischi/costi. Supponendo che da quell’1% abbia luogo una violazione, la prossima metrica sarà relativa al ripristino. Quanto tempo sarà necessario per ripristinare effettivamente il sistema, riportandolo alla versione originale “pulita” con le necessarie patch? Oltre a monitorare data e ora degli eventi, è importante determinare la provenienza dell’attacco (la fonte è esterna o interna?), così come la natura dell’attore malevolo.
Come minimo, secondo gli esperti, il monitoraggio dovrebbe essere eseguito a cadenza trimestrale per quei siti che non dispongono delle risorse per un team di Threat Intelligence; chi dispone di maggiori risorse, invece, potrà tenere traccia delle metriche settimanalmente, in modo da poter monitorare le tendenze con i tipici report a cadenza settimanale, mensile, trimestrale e annuale. In conclusione, il livello di profondità che un’azienda vuole raggiungere in merito al proprio sistema di metriche dipende in gran parte dal valore del suo patrimonio.
Le organizzazioni più grandi, secondo gli esperti, dovrebbero investire in un team dedicato alla creazione di metriche per la Threat Intelligence. I data scientist impiegati in queste squadre non dovrebbero limitarsi ad analizzare le minacce dell’organizzazione, ma dovrebbero includere in questo mix anche il ruolo di altri dati, come per esempio i disaster data geopolitici, economici e naturali.