Consumare Cyber Threat Intelligence

(di Marco Rottigni)
14/06/21

Il lavoro mi porta spesso ad affrontare conversazioni con i clienti su CyberSecurity, sui loro programmi, sulla loro concezione di cosa significa sicurezza e come implementarla nelle proprie organizzazioni.

Tra i diversi temi, uno particolarmente ricorrente è rappresentato dai feed di Cyber Threat Intelligence.

Apparsi sul mercato ormai da sette-otto anni, sono spesso visti come il Santo Graal per riuscire a identificare un attaccante interessato prima che attacchi o, nella peggiore delle ipotesi, appena appaiono segni di compromissione di endpoint o reti.

Partiamo da una definizione semplice di Intelligence – elaborazione di informazioni predittive basate su evidenze certe – per apprendere dal mondo militare come evitare che investimenti in CTI anche importanti abbiano un ritorno nullo.

In ambiente militare, la fase di raccolta delle informazioni è preceduta da un’altra di cruciale importanza e troppo spesso sottovalutata: la pianificazione e direzione, nella quale gli organi di comando definiscono gli obiettivi informativi ritenuti necessari per le proprie decisioni.

Questo affinché la raccolta non sia fine a sé stessa o ad ampio spettro, ma estremamente mirata e focalizzata; già 2500 anni or sono un famoso stratega militare cinese – Sun Tzu – raccomandava di conoscere il tuo nemico e te stesso, in quest’ordine!

Conoscere te stesso significa avere una visibilità precisa e completa di come è composta la propria biodiversità digitale: dove si trovano le risorse, di che tipo sono (elementi mobili, server, risorse cloud, application container, applicazioni web…).

Quindi definirne l’osservabilità: è possibile frammentare e riassemblare, aggregare e dettagliare, interrogare e astrarre informazioni agibili dai metadati sull’ambiente digitale, in base ai propri casi di utilizzo?

E una volta inventariato il proprio orizzonte IT, quanto è semplice assegnare un livello di criticità alle risorse?

Questo significa conoscere sé stessi, ed è conditio sine qua non per poter procedere con il conosci il tuo nemico che definisce il modo di consumare CTI.

Che in ambito militare si suddivide in tre fasi: Elaborazione, Produzione di Informazione, Divulgazione. Tre fasi che poco o nulla hanno a che fare con il fornitore di CTI, ma che vedono frequentemente naufragare progetti molto promettenti sia per budget che qualità dei feed.

L’elaborazione riguarda la capacità di categorizzare le informazioni del feed, di correlarle tra loro e con informazioni terze, di valutarne l’importanza. Questa capacità deve essere presente e possibilmente esercita con risorse proprie, dal momento che velocità, agilità e dinamismo sono caratteristiche importanti per generare valore.

La produzione di informazione espande ulteriormente quanto qualificato nella fase precedente, trasformando dati disomogenei in informazione fruibile grazie alla analisi di metadati normalizzati.

Completa il ciclo di consumo di cyber threat intelligence la fase di divulgazione, che consiste nella distribuzione dell’informazione rielaborata a supporto del maggior numero di processi possibili.

Queste ultime due fasi richiedono una conoscenza approfondita dei potenziali fruitori dell’informazione, oltre che una piattaforma tecnologica che supporti la trasformazione.

Aiuta infine la comprensione dei tre possibili tipi di cyber threat intelligence che caratterizzano l’operazione di raccolta, in modo da prefigurare modelli di categorizzazione e consumo nei processi a seguire citati – oltre a determinare il grado di obsolescenza delle informazioni.

Il primo tipo è la CTI strategica: composta di analisi ed informazioni che hanno una tipicamente pluriennale, focalizza il chi ed il perché in relazione a determinati attaccanti.

Sviluppata di solito per un’audience non tecnica, è basata sull’analisi di demografia vittimologica, su campagne di attacco macroscopiche e mira alla classificazione di gruppi di attacco e delle motivazioni (hacktivismo, finanza, politiche, sponsorizzate da Stati…). Esistono varie categorizzazioni, ad esempio quella fornita da Mandiant (parte del gruppo FireEye) basata su sigle che racchiudono la motivazione e un progressivo numerico: APT per Advanced Persistent Threat, FIN per Financial, etc.

Il secondo tipo è la CTI operativa, concentrata sull’esporre il come ed il dove. Sviluppata sia per un’utenza tecnica che non, descrive elementi quali strumenti (tools), tecniche (techniques) e procedure (procedures) – o TTP – utilizzati per condurre un attacco.

Espone tratti caratterizzanti quali persistenza, tecniche di comunicazione utilizzate, descrizione di metodologie e regole.

Illustra ad esempio tecniche di ingegneria sociale o modus operandi di famiglie di malware.

Il terzo tipo è la CTI tattica, che rappresenta sia la forma più digeribile e quella il cui consumo richiede meno maturità. Destinata ad un pubblico tecnico, descrive eventi di sicurezza, esempi di malware o mail di phishing.

Include firme per riconoscere il malware e indicatori di attacco o di compromissione (IoA, IoC) come IP, domini, hash di file, che possono essere facilmente implementati per alzare difese a livello perimetrale, di monitoraggio e di risposta per bloccare tentativi oppure mitigare situazioni di compromissione.

Se è vero che l’utilizzo completo delle tre forme è spesso un problema più di esigenza che di budget, anche quando queste due condizioni siano soddisfatte la questione diventa un’altra.
Un processo virtuoso deve portare ad un mutuo coordinamento tra gli esiti dei tre diversi livelli di feed, che non devono lavorare come “silos”: i feed del livello strategico possono essere usati per orientare e perfezionare la ricerca informativa al livello operativo e tattico; analogamente, specifiche risultanze di intelligence a livello tattico possono essere di aiuto nel ridefinire gli obiettivi informativi della ricerca di livello strategico.

Questa situazione è talvolta aggravata dalla scarsa capacità di comunicazione tra livello tecnico direttivo e livello strategico, con un impatto diretto sulla fase di pianificazione e direzione che inficia sulla definizione di obiettivi chiari e condivisi; inquinando così l’intero valore, in favore di spese per sistemi o tecnologie ridondanti o utili solo alla soluzione di un problema puntuale.

Concludo questa breve analisi con tre domande quindi, per aiutare a comprendere quale tipologia, feed, o fornitore di CTI fa per voi.

Gli obiettivi che la raccolta CTI supporta sono chiari, ben delineati nella sostanza e nel perimetro?

Qual è la capacità di consumare i tre tipi di CTI? Anche nel tempo, questa risposta può evolvere ed espandersi

Le risorse e il livello di specializzazione per consumare CTI in modo tangibile e che produca valore sono disponibile in misura sufficiente?

Come nell’ambito militare, così nella CyberSecurity la risposta onesta a queste tre domande qualificherà bisogno e natura di CTI, affinchè – parafrasando Sun Tzu – conoscendo sé stessi come il nemico, anche in mezzo a cento battaglie non si sia mai in pericolo.