Tecnicamente, con cyber threat intelligence, si intende il processo di raccolta, analisi e interpretazione di informazioni relative a minacce IT, ricavate da molteplici fonti come dark e deep web, le quali puntano a compromettere la sicurezza aziendale: la cyber threat intelligence, insomma, consente infatti di anticipare, identificare e mitigare i rischi cyber prima che si traducano in attacchi effettivi.
Si tratta di un mercato che è in rapida ascesa: come riporta Emergen Research, è destinato a toccare i 20,28 miliardi di dollari di fatturato entro il 2028. Una cifra, questa, che sottolinea una necessità crescente da parte delle imprese: l’urgenza di dotarsi di strumenti appropriati e che siano mirati ed efficienti.
Il rischio oggi, però, è di non trovare i giusti cyber threat intelligence tools data la saturazione di soluzioni solo in termini quantitativi, con buona pace della qualità e accuratezza che strumenti così strategici dovrebbero garantire alle aziende che li adottano.
Ma quali sono le caratteristiche di un’efficace piattaforma di cyber threat intelligence? E cosa si rischia nell’adottarne una che, invece, cavalca solo il marketing senza offrire ciò che sarebbe lecito aspettarsi?
La cyber threat intelligence, a seconda di piattaforme e strumenti, passa dall’essere un’arte oscura, basata su informazioni non meglio specificate e poco efficaci, a essere uno strumento affidabile con cui determinare le strategie di tutta la filiera di sicurezza che segue.
In generale, i migliori cyber threat intelligence tools si distinguono per la loro capacità di scavare nel mare magnum di dati disponibili online – dal Surface al Deep e Dark Web - con l’obiettivo di filtrare le informazioni critiche facendo leva su parole chiave specifiche, come il nome di un top manager dell’azienda. Questa precisione nella ricerca è essenziale per individuare rapidamente password compromesse, dati di carte di credito e documenti aziendali sensibili: tutti elementi che rappresentano un rischio significativo per la sicurezza delle informazioni.
Va da sé che la qualità, e quindi l’investimento negli strumenti, fa la differenza. Raccogliere dati di buon livello, in grande quantità, ha dei costi enormi, così come analizzarli per trarne informazioni davvero utili in termini di cybersecurity.
Quindi, da parte di un ipotetico cliente, la scelta è tra scommettere su strumenti di scarso valore, coscienti del fatto che si potrebbe cadere nelle grinfie di un pessimo servizio, oppure su piattaforme e consulenti di comprovata fama.
Il primo caso, tuttavia, nasconde insidie molto pericolose. La prima è che, coscienti di fare una scommessa in un settore tanto delicato quale la cyber threat intelligence, si decide poi di dare poca importanza ai risultati forniti. Si investe poco per mettersi a posto la coscienza, ma si tratta pure di un investimento che non genera alcun vantaggio e, quindi, è in perdita.
La seconda insidia, al contrario, è credere di vincere la partita della cyber threat intelligence a prescindere. In altre parole, si dà credito a una certa soluzione pensando di essere ben coperti nella cyber threat intelligence. E così succede spesso di vedere aziende che scoprono che i propri dati sono nel Dark Web a distanza di giorni, settimane o mesi dall’attacco di esfiltrazione subito.
In questi casi, non solo la cyber threat intelligence non ha funzionato a livello preventivo, ma non è stata nemmeno in grado di segnalare un attacco verso l’obiettivo che dovrebbe essere al centro delle sue analisi.
Come accennato poc’anzi, i cyber threat intelligence tools operano attraverso raccolta, analisi e correlazione di dati provenienti da un'ampia varietà di fonti. La raccolta avviene tramite crawler che scandagliano continuamente il dark web, i forum tendenzialmente presidiati dagli hacker, i social media e altre piattaforme online, con l’obiettivo di identificare gli indicatori di compromissione (IoC), come indirizzi IP sospetti, hash di malware e domini dannosi.
Successivamente si procede sfruttando tecniche di natural language processing (NLP) per estrarre informazioni significative da testi non strutturati, mentre gli algoritmi di machine learning si occupano di individuare pattern e anomalie nei dati. Questa fase di analisi è fondamentale perché mette in correlazione diverse fonti di informazione, creando una mappa dettagliata delle minacce e delle loro evoluzioni.
Sono diversi poi gli strumenti che permettono di creare query personalizzate per identificare specifiche minacce o impostare allarmi per ricevere un alert in caso di sviluppi. Inoltre, i dati provenienti dai cyber threat intelligence tools possono essere integrati con altri sistemi di sicurezza come SIEM e SOAR, così da automatizzare le risposte agli incidenti e tutelare davvero le informazioni aziendali.
È chiaro, dunque: investire in modo adeguato sui cyber threat intelligence tools garantisce che tutti i successivi passaggi di un progetto di cybersecurity funzionino a dovere, e per questo riduce i costi che potrebbero derivare da attacchi non mitigati o rilevati con colpevole ritardo.
Purtroppo, si pensa ancora troppo alla cybersecurity in termini di prevenzione passiva, ma una cyber threat intelligence di qualità ci restituisce un concetto nuovo di sicurezza digitale. Un concetto nel quale raccolta e analisi di dati a ciclo continuo affinano le strategie di protezione e mitigazione, condizionando in modo sostanziale e opportuno attività operative come la gestione di vulnerabilità e aggiornamenti.
Il risultato è un processo di cybersecurity continuo ed efficace, che evolve e migliora a ogni passaggio. Va da sé che gestire un processo di questo tipo richiede notevoli competenze e investimenti, nonché particolare attenzione alle ultime evoluzioni normative come la NIS2. È per questo che le aziende, oggi, possono contare su realtà specializzate, come WIIT, che le alleggeriscono da incombenze dispendiose e lontane dal proprio core business.
WIIT, in particolare, è attenta a costruire un ciclo di sicurezza specifico per ogni cliente, in modo da richiedere la sua interazione solo quando serve, senza riempirlo di falsi positivi. E cioè, se la cybersecurity funziona davvero, in casi molto rari.