Cyber Threat Intelligence
Cyber Threat Intelligence – Le informazioni sulle Cyber minacce a cui potrebbe essere esposta un’azienda, o Cyber Threat Intelligence, sono i dati che vengono utilizzati per comprendere le minacce che hanno colpito, vogliono colpire o stanno per prendere di mira il proprio perimetro aziendale.
Queste informazioni vengono utilizzate per preparare, prevenire e identificare possibili Cyber attacchi che cercano di fare breccia e acquisire dati sensibili aziendali (o in alternativa, semplicemente essere disruptive).
L’utilità della Cyber Threat Intelligence è evidente. Aiuta le aziende ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (Cyber Resillience) e a mitigare i rischi che potrebbero danneggiare i profitti e la reputazione.
Gli attacchi mirati richiedono una difesa mirata e la Cyber Threat Intelligence offre la capacità di difendersi in modo più proattivo.
Cyber Threat Intelligence: nel dettaglio
La Cyber Threat Intelligence rappresenta la capacità di Intelligence sviluppata in ambito Cyber Security. Include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico, in relazione a contesti operativi specifici.
Il servizio di Cyber Threat Intelligence di Swascan ha lo scopo di individuare le eventuali informazioni pubbliche disponibili a livello OSINT e CLOSINT, relative ad un determinato target.
Con il termine OSINT, acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio, definite anche “fonti aperte“.
Fare OSINT significa descrivere l’informazione disponibile e aperta al pubblico, attraverso un processo di ricerca, selezione, vaglio e reporting, verso uno specifico destinatario al fine di soddisfare una necessità informativa.
La fase più importante del processo di OSINT è quella di “vagliare” le fonti rilevanti ed affidabili. Questo viene fatto partendo da diverse tipologie di fonti di pubblico dominio.
L’OSINT quindi si distingue dalla banale ricerca d’informazioni perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito/contesto.
Con il termine CLOSINT si fa invece riferimento alla Close Source Intelligence, cioè al processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse“, non accessibili al pubblico o aree “riservate”.
Cyber Threat Intelligence: la portata dell’analisi
L’attività di Cyber Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente con OSINT/CLOSINT a livello di:
- Target
- Asset Digitali
- IP
- Email e informazioni relative ai dipendenti di una azienda
Lo scopo? L’obiettivo è quello di fornire una “actionable intelligence”, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva. Il fine è di determinare l’eventuale esposizione ai rischi della Cyber Security.
Cyber Threat Intelligence: il Perimetro
Il perimetro della Cyber Threat Intelligence di Swascan è relativo a:
- Advanced Intelligence: Include eCrime Intelligence e Domain Monitoring;
- Network Intelligence – Infected Host;
- Network Intelligence – Vulnerable Host;
- eCrime/Dark Web Intelligence: Aggregated Forum Communications and Threat Actor Library;
- Malware Intelligence: Active Malware Sandbox and Library of Binaries;
- Risk Intelligence
- Compromised Credit Card Feed;
- Anti-Money Laundering Feed
- Account Take-over Defense.
- ….
- Compromised Credential;
- Honeypot Intelligence;
- Financial Fraud Intelligence.
Il servizio di Cyber Threat Intelligence (CTI) permette di cercare, monitorare e analizzare i soggetti di interesse (SOI) in diverse fonti, tra cui:
- Dark Web communities e marketplaces (TOR-based);
- Underground communities e marketplaces (Internet-based);
- Social media networks, come ad esempio Facebook, Twitter, Linkedin, etc.;
- Messaggistica istantanea, come ad esempio Viber, Telegram, QQ, WeChat, etc.;
- Internet Relay Chat (IRC);
- Integrated Intelligence Repositories (IOCs, TTPs, Security Incidents).
Cyber Threat Intelligence: La fase di analisi
L’attività prevede la raccolta e l’analisi delle informazioni relative ad una serie di macro aree critiche.
Data Breach
Il primo bacino di dati presi in considerazione arriva dai Data Breach, sempre più onnipresenti anche nella cronaca di tutti i giorni.
Vengono analizzati i dati grezzi di: esfiltrazioni che hanno avuto in oggetto, il diretto interessato e delle terze parti. Sono naturalmente comprese anche le email compromesse.
A seconda dei casi è possibile fornire:
- Password utilizzata
- Hash della password
- Record privo di password, ma del quale vi è traccia nel Deep e nel Dark Web
Le statistiche ci insegnano che, una percentuale variabile tra il 60% e l’80% degli utenti, utilizza la stessa password – o varianti facilmente indovinabili della stessa – sul sistema aziendale (autenticazione Active Directory, Casella e-mail, accesso VPN, accesso Web Remoto, Intranet, etc).
Il rischio è che un agente esterno (Criminal Hacker) acquisisca le credenziali compromesse e tenti di accedere in maniera non autorizzata agli asset digitali dell’azienda.
Un secondo scenario è invece relativo ai Social Network, ovvero alle credenziali compromesse di dipendenti e collaboratori dell’azienda su piattaforme come Linkedin, Facebook, Twitter, etc… In questo contesto, i Criminal Hacker possono accedere ai Social Network interessati come un dipendente o collaboratore dell’azienda. Così spacciandosi per quella data persona inviano malware ad altri colleghi, dipendenti o collaboratori dell’azienda target.
Lo scopo è quello di perpetrare attacchi mirati verso gli asset digitali e le comunicazioni – email e/o Social Network – dell’azienda.
Network Hygiene
Con” Network Hygiene” si intende la presenza di attività malevole o sospette all’interno del perimetro digitale del Cliente. In funzione del tipo di evidenza riscontrata, la keyword è associabile alla “IP Reputation”, vale a dire alla reputazione di determinati indirizzi IP noti a livello mondiale, alle diverse comunità di cyber security ed aziende di antivirus. Questo per aver svolto attività illegali o per facilitare indirettamente dette attività (a causa di errori di configurazione e/o implementazione) con tutte le conseguenze legali (civili e penali) del caso.
In funzione delle diverse lacune di Network Hygiene, le conseguenze possono essere molteplici:
- abuso di form web per richiesta informazioni, con conseguente utilizzo fraudolento dei sistemi del Cliente per l’invio massivo di “email spam”;
- utilizzo dei sistemi mal configurati per redirect di DNS ed intercettazione di tutto il traffico dati;
- abuso dei sistemi mal configurati per “attacchi ponte” (launchpad), con conseguenti responsabilità di tipo civile e, soprattutto, penale;
Dark Web
Il Dark Web storicamente era uno dei luoghi più nascosti della rete, dove soltanto i pionieri del Criminal Hacking underground si avventuravano. Oggi, mimando il successo del retail online, il Dark web si è dotato di una delle chiavi per il successo della sua controparte legale, le garanzie. Questi eCommerce operano su piattaforme che permettono di recensire i “prodotti”, lasciare una valutazione e ottenere garanzie di acquisto. Il tutto poi è incorniciato da un’interfaccia intuitiva e responsive facilmente navigabile.
Qui la fanno da padrone le cripto valute grazie alle loro caratteristiche che permettono grande anonimato e scarsa tracciabilità.
Tra la merce al primo posto per numero di inserzioni troviamo innumerevoli hacking tools, ma anche pacchetti di dati sensibili illegalmente ottenuti.
Per questo motivo l’analisi delle istanze sul Dark Web è fondamentale. Il tool rintraccia i cyber criminali, su forum del cyber crime, che hanno parlato dell’azienda (domini, indirizzi IP, brand o nomi di Executives).
La gravità e l’impatto vanno valutati in funzione di cosa è emerso dall’analisi e presa dei dati sul Dark Web.
Botnet Activity
Per botnet si intende una collezione di dispositivi connessi alla Rete compromessi da un threat actor.
Questi agiscono come un moltiplicatore di forza per tutti coloro (dal singolo fino al gruppo organizzato di criminal hacker) che intendono sferrare cyber attacchi per violare dei sistemi o causare disservizi.
Il loro utilizzo più frequente è negli attacchi DDoS (Distributed Denial of Service). Qui mettono a frutto la potenza computazionale complessiva delle macchine infette. Il fine è di inviare enormi volumi di spam, sottrarre credenziali su ampia scala e per spiare persone e organizzazioni.
I criminal hacker costruiscono le loro reti di bot infettando dispositivi connessi alla rete attraverso un malware e li controllano utilizzando un server di C&C (Command and Control).
Ciò che rende ancora più pericoloso questo metodo di attacco è che una volta compromesso un singolo device, tutti i dispositivi presenti sulla stessa Rete sono esposti al rischio d’infezione.
Un attacco botnet ben congeniato può sicuramente risultare devastante. Basti ricordare il tristemente noto Mirai che, nel 2016, aveva colpito e di fatto “spento” colossi come CNN e Netflix. In quel caso Mirai si era appoggiato a numerosissimi dispositivi IoT, in particolare le telecamere di sicurezza, ma non è escluso che possa utilizzare asset aziendali ben più comuni.
Proprio quest’ultimo aspetto è uno dei più grandi fattori per l’incremento nell’utilizzo di queste tecniche. Permette, infatti, all’aggressore di utilizzare l’hardware della vittima e la sua elettricità per estrarre criptovalute, come Bitcoin o Ethereum.
Come se non bastasse il “bot hardener” (il gestore della botnet) può utilizzare la sua rete botnet per istruirla. Questo per rubare le credenziali (e-banking, Intranet aziendale, Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale, etc.).
Miscellaneuos Risks
In questa categoria di digital risk rientrano diverse sottocategorie: Ip Reputation (vedi sotto), Passive DNS, etc. Gli impatti variano in funzione del tipo di informazione che è presente all’esterno del perimetro aziendale del Cliente.
IP Reputation
La “reputazione” di un indirizzo IP pubblico è assimilabile alla sua “storia in rete”. Questo indica lo storico delle azioni malevole che sono state effettuate, o sono transitate, o hanno avuto come destinazione finale, detto indirizzo IP. Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale, etc.
Passive DNS
È un tipo di attacco di medio-alto livello, tramite il quale si effettuano cambi di configurazione ai DNS del Cliente. Intercettazione del traffico internet e/o redirect dello stesso.
Brand Names
Indica la presenza di istanze relative ai brand del Cliente sul Dark Web. Può essere indicatore di frodi in corso o già commesse.
Executives
Indica la presenza di istanze relative ai nomi degli Executives, comunicati dal Cliente sul Dark Web o in altre basi di dati. In funzione del tipo di istanza, può rappresentare differenti tipologie di impatto.
Threat Intelligence
I servizi Swascan di Cyber Threat Intelligence e Domain Threat Intelligence sono la risposta alla sicurezza preventiva.
Verifica il tuo livello di Rischio Cyber!