La cyber threat intelligence è costituita da informazioni utilizzate per identificare gli attacchi informatici presenti o futuri contro i sistemi di un'organizzazione. Le aziende possono iscriversi a feed e servizi threat intelligence per saperne di più sulle attuali campagne di malware o minacce e sfruttare i servizi per identificare potenziali minacce per un'azienda, i suoi dipendenti e i suoi clienti.
La cyber threat intelligence fornisce informazioni sull'attuale panorama delle minacce e sui potenziali attacchi informatici che le aziende possono affrontare. Può inoltre includere informazioni su intrusioni e altri incidenti di sicurezza già riscontrati da un'organizzazione.
L'intelligence sulle minacce è fondamentale per garantire che le organizzazioni allocino risorse di sicurezza informatica limitate per massimizzare i potenziali benefici per l'organizzazione.
Con la conoscenza delle attuali campagne di minacce, le aziende possono ottimizzare le proprie difese per massimizzare il potenziale che saranno in grado di identificare e bloccare futuri attacchi informatici. Inoltre, la threat intelligence è utile per identificare le intrusioni passate nei sistemi di un'azienda e misurare il potenziale impatto sull'azienda e sui suoi clienti.
La threat intelligence informatica include tutte le informazioni che possono essere utilizzate per informare l'azienda sulle potenziali minacce informatiche che devono affrontare e su come affrontarle. La maggior parte della threat intelligence si occupa degli attuali attacchi informatici e delle varianti di malware attive.
Tuttavia, le organizzazioni possono anche avere accesso a tipi più mirati di threat intelligence che forniscono loro informazioni sui rischi per il loro marchio o sui dati trapelati a causa di violazioni dei dati passate.
La maggior parte dei dati tecnici threat intelligence è correlata ai TTP utilizzati dai vari attori delle minacce. Quando vengono rilevati nuovi malware o campagne di attacchi informatici, i ricercatori di sicurezza raccolgono e diffondono indicatori di attacco (IoA) e indicatori di compromissione (IoC) che possono essere utilizzati per identificare queste minacce.
Ad esempio, un feed di threat intelligence strategico potrebbe includere hash di file per nuove varianti di malware e gli indirizzi IP e i nomi di dominio associati a campagne di cyber attack note.
Le organizzazioni possono iscriversi ai feed di threat intelligence tattici per raccogliere queste informazioni e inviarle alle loro soluzioni di sicurezza. Questi dati possono anche essere filtrati o personalizzati per identificare le minacce rilevanti che un'organizzazione ha maggiori probabilità di dover affrontare, come ad esempio:
Sfruttando questa threat intelligencepiù mirata, un'organizzazione può valutare in modo più accurato i tipi di minacce che è probabile che si trovi ad affrontare e come difendersi al meglio da esse.
I criminali informatici utilizzano comunemente indirizzi e-mail e siti Web simili nei loro attacchi di phishing. Questo è progettato per far sembrare legittimi i potenziali attacchi ai loro obiettivi e sfrutta la fiducia dei bersagli nel marchio.
Questa pratica ha il potenziale per danneggiare in modo significativo la reputazione di un'organizzazione con i suoi clienti, venditori, fornitori e altri partner.
Le informazioni riportate di seguito possono essere raccolte come utilizzabili threat intelligence personalizzate per un'organizzazione:
L'organizzazione può quindi agire per proteggere il proprio marchio da queste minacce.
Spesso ci vuole tempo prima che venga rilevata una violazione, se l'azienda se ne accorge.
Nello stato di un report sulle violazioni dei dati, IBM e Ponemon distinguono tra le violazioni identificate entro 200 giorni e quelle che hanno richiesto più di 200 giorni per essere rilevate, confrontando il prezzo e l'impatto di un rilevamento più rapido delle violazioni.
In alcuni casi, le aziende vengono a conoscenza di una violazione solo quando i dati dell'azienda, dei dipendenti o dei clienti sono in vendita sul dark web. I servizi di monitoraggio delle violazioni possono cercare:
La threat intelligence fornisce informazioni sulle potenziali minacce informatiche che un'azienda potrebbe dover affrontare o sulle violazioni che non ha ancora identificato all'interno dei suoi sistemi.
Questo insieme diversificato di informazioni sulla sicurezza ha numerose potenziali applicazioni all'interno di un'organizzazione.
Una delle applicazioni più comuni dei threat intelligence strategici è l'identificazione di potenziali incidenti di sicurezza tramite il rilevamento e la ricerca persistenti delle minacce. I feed di intelligence sulle minacce forniscono in genere IoC che le organizzazioni possono cercare nei loro sistemi per identificare e bloccare un attacco imminente o rilevare la presenza di un intruso all'interno dei loro sistemi.
I servizi di threat intelligence sono forniti da un team di Check Point congiunto composto dal pilastro Assess di Infinity Global Services e dall'organizzazione Check Point Research (CPR). CPR è composto da oltre 150 ricercatori e analisti. Questo team lavora anche a stretto contatto con terze parti, inclusi altri fornitori di sicurezza, vari CERT e forze dell'ordine.
CPR fornisce threat intelligence e altri dati da una varietà di luoghi diversi. Questi includono fonti accessibili pubblicamente, Check Point ThreatCloud IA di, soluzioni e tecnologie esterne fornite dai nostri partner di servizi e informazioni raccolte dal dark web.
Internamente, il team di sicurezza ha creato moduli personalizzati di apprendimento automatico, reverse engineering, rilevamento delle anomalie e tecniche di ricerca delle campagne che aiutano le aziende a tenere il passo con il panorama delle minacce in evoluzione.