Nell’economia digitale odierna, i dati sono sempre in movimento attraverso la rete e nel multi-cloud e sono accessibili ovunque e da qualsiasi dispositivo. Questo determina una crescita della potenziale superficie di attacco delle reti e rende sempre più difficile la sfida di proteggerle.

Le aziende hanno, pertanto, bisogno di accedere alle informazioni sulle minacce in tempo reale e la threat intelligence avanzata è in grado di aiutare i team IT a rilevare e identificare rapidamente le minacce e fornire risposte immediate.

Le ragioni della Cyber Threat Alliance (CTA)

La threat intelligence, storicamente, è stata fuori dalla portata della maggior parte delle aziende.

Così, nel 2014, Fortinet ha intrapreso una serie di iniziative che hanno portato alla formazione della Cyber Threat Alliance (CTA).

Assieme ad altri membri fondatori, tra cui McAfee, Symantec e Palo Alto Networks, si è compreso quanto fosse fondamentale fornire ai professionisti della sicurezza l’intelligenza e la tecnologia di cui avevano bisogno per identificare un attacco, oltre che essere in grado di usare immediatamente tali informazioni per fermare una minaccia lungo la catena di attacco.

L’idea era quella di riunire i membri dell’industria della sicurezza informatica per mettere in correlazione e condividere le informazioni di threat intelligence utilizzabili il più possibile in tempo reale, sapendo che le organizzazioni non solo hanno bisogno di questo tipo di informazioni per difendersi meglio, ma anche con la speranza che la condivisione di threat intelligence aiutasse a migliorare la sicurezza generale di Internet.

Dopo alcuni anni, i membri fondatori hanno deciso che, per soddisfare meglio questi obiettivi, la CTA avrebbe dovuto essere un’organizzazione indipendente.

Da quando è stata annunciata la nuova organizzazione, con l’aggiunta di Cisco, Check Point e un team guida nell’ultimo anno, la CTA ha ampliato la sua capacità di proteggere le organizzazioni di tutto il mondo, incrementando il numero di realtà che condividono le informazioni sulle minacce e migliorando gli strumenti utilizzati per raccogliere, elaborare e correlare l’intelligence.

Cyber Security and Artificial Intelligence
© Ed Triki | Dreamstime Stock Photos

La Cyber Threat Alliance lavora per migliorare la sicurezza dell’ecosistema digitale globale, riducendo significativamente i tempi di rilevamento e colmando il gap nel ciclo di vita tra rilevamento e implementazione.

Lo fa attraverso la condivisione, quasi in tempo reale, di informazioni di alta qualità sulle minacce informatiche e il coordinamento operativo tra aziende e organizzazioni nel campo della sicurezza informatica. Questo approccio riunisce aziende con interessi diversi, ma consente loro di lavorare insieme per un fine superiore.

Il ruolo della CTA in una strategia di threat intelligence

Se condividere la threat intelligence delle minacce è una componente importante di qualsiasi strategia di sicurezza, rappresenta solo metà della battaglia.

L’intelligence sulle minacce esterne offre vantaggi evidenti, ma deve anche essere parte di una strategia di threat intelligence integrata.

Una buona intelligence delle minacce inizia con la realizzazione di un inventario di tutti i dispositivi sulla rete di un’azienda. Ciò include l’elencazione di produttori, dispositivi, versioni del sistema operativo, livelli di patch e così via. Questi dati aiuteranno le aziende a identificare i dispositivi che sono vulnerabili agli exploit, oltre a decidere quali informazioni sulle minacce sono più propense ad aiutare la loro rete.

Una volta che le aziende monitorano tutti i dispositivi fisici e virtuali sulla loro rete, devono iniziare a raccogliere e correlare le informazioni sulle minacce dai file di registro e dalle console di gestione. Questi dati devono includere dispositivi endpoint e IoT, data center virtualizzati, traffico e dispositivi multi-cloud SaaS e IaaS. Ciò richiederà un sistema centralizzato di raccolta e analisi.

Successivamente, le organizzazioni devono valutare e aggiornare le piattaforme di registrazione e analisi per assicurarsi che i dati locali possano essere combinati con l’intelligence esterna. La correlazione dell’intelligence locale e globale fornisce approfondimenti critici, ma a causa della velocità degli attacchi di oggi, deve avvenire rapidamente. Ciò significa che la threat intelligence deve fornire informazioni utilizzabili anziché semplici dati grezzi, poiché ciò richiederebbe una notevole quantità di elaborazione manuale.

Inoltre, le aziende dovrebbero utilizzare standard aperti per combinare e correlare in modo efficiente diversi set di dati. Ciò contribuisce a identificare in modo efficiente gli indicatori di compromissione e a dare priorità in risposta a potenziali minacce.

Una strategia cooperativa

La CTA consente ai provider di cybersicurezza di condividere informazioni e collaborare in risposta agli incidenti. Ognuno dei membri del CTA può avere accesso a diversi pezzi del puzzle dell’intelligence e la CTA aiuta a riunirli per rivelarne l’immagine più ampia.

Questo approccio consente ai membri della CTA di ottenere un accesso rapido alle informazioni che altrimenti non avrebbero, il che a sua volta consente loro di proteggere meglio i loro clienti.

Questo tipo di strategia cooperativa consente alle aziende di cybersecurity di collaborare operativamente durante incidenti informatici su larga scala, come WannaCry e NotPetya oppure di affrontare vulnerabilità scoperte di recente, come Meltdown. Questo approccio migliora notevolmente l’efficienza e l’efficacia degli sforzi in risposta alle minacce.

Startup Business People Teamwork Cooperation Hands Together
© Rawpixelimages | Dreamstime Stock Photos

Infine, i produttori o gli utilizzatori di threat intelligence dovrebbero prendere in considerazione l’adesione alla CTA, poichè la raccolta, l’analisi e la distribuzione centralizzate di informazioni sulle minacce utilizzabili dai membri rendono tutti più sicuri.

Uno dei più importanti vantaggi per qualsiasi organizzazione che partecipa alla raccolta, all’elaborazione e alla condivisione delle informazioni sulle minacce è che, quanto più ampia è la portata e la visibilità delle minacce, tanto più tutti saranno in grado di rilevare e mitigare le minacce nuove ed emergenti.

La threat intelligence deve però essere affrontata come un ciclo. Il team FortiGuard Lab di Fortinet, per esempio, utilizza l’intelligence raccolta dai clienti partecipanti per migliorare il database delle minacce. Quindi condivide queste informazioni con la CTA che, a sua volta, le condivide per utilizzo da parte dei clienti. In questo modo, l’intelligence sulle minacce viene costantemente riciclata e perfezionata.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.