Domain Threat Intelligence
Domain Threat Intelligence – Le tecnologie digitali sono il cuore di ogni industria oggi. L’automazione e l’interconnessione hanno rivoluzionato lo scenario economico mondiale, ma allo stesso tempo hanno aumentato enormemente il rischio derivante dai Cyber attacchi.
La Domain Threat Intelligence è la conoscenza che permette di mitigare o prevenire questi attacchi. Fortemente basata sui dati, la Domain Threat Intelligence fornisce informazioni e indicatori utili per attuare migliori strategie di Cyber difesa e migliorare la resilienza del proprio perimetro aziendale.
Gartner la definisce così: “La Domain Threat Intelligence è una conoscenza basata su prove concrete, compreso il contesto, i meccanismi, gli indicatori, le implicazioni e i consigli su una minaccia esistente o emergente. Queste informazioni possono essere utilizzate per meglio informare le decisioni riguardanti la risposta del soggetto preso di mira a tale minaccia o pericolo”.
Perché la Domain Threat Intelligence è strategica
Oggi il settore della Cyber Security si trova a fronteggiare molte e complesse sfide – sempre in aumento per numero e pericolosità –; da gruppi di Criminal Hacker molto “skillati”, passando per un enorme mole di dati da analizzare e numerosissimi falsi allarmi.
La Domain Threat Intelligence Swascan è la soluzione a questi problemi. Il processo di raccolta e analisi dell’informazione è in grado di dare forma a dati non strutturati per connetterli attraverso indicatori concreti come livello e numero di vulnerabilità e le possibili vie attraverso le quali i Criminal Hacker potrebbero trarne vantaggio.
La Domain Threat Intelligence è in grado di fornire una “actionable intelligence” tempestiva, contestualizzata e – soprattutto – facilmente interpretabile anche da chi non è espressamente del settore, ma è comunque in carica delle decisioni strategiche aziendali
Chi può trarre beneficio dalla Domain Threat Intelligence?
Detto in parole semplici? Tutte le organizzazioni!
La Domain Threat Intelligence non è solo applicabile nel dominio delle grandissime aziende molto strutturate, ma fornisce un “insight” prezioso a qualsiasi tipo di business, a dispetto della sua dimensione.
Quando le informazioni sulle minacce estrapolate attraverso una Domain Threat Intelligence vengono trattate come un componente esterno ai paradigmi della Cyber Security si rischia che alle persone in carico di questa non arrivino in tempo le giuste informazioni.
Riuscire ad integrare la Domain Threat Intelligence all’interno dei processi di sicurezza può migliorare significativamente aspetti che vanno dalla prevenzione delle frodi, l’analisi dei rischi e altri processi di sicurezza di alto livello.
Le Tipologie di Threat Intelligence
Tipicamente la Threat intelligence è suddivisa in 3 categorie:
- Strategica: quella più generalista e non intesa per un pubblico tecnico;
- Tattica: descrive le tattiche, le tecniche e le procedure dei Criminal Hacker – spesso intesa per un pubblico più specializzato;
- Operativa: Fornisce i dettagli specifici in merito a una campagna di Criminal Hacking.
Nel dettaglio, la Strategic Threat Intelligence fornisce un’ampia panoramica del panorama delle minacce a cui è esposta un’organizzazione. È intesa per meglio informare le decisioni di alto livello prese dai dirigenti e da altri responsabili decisionali di un’organizzazione – in quanto tale, il contenuto è generalmente meno tecnico e viene presentato attraverso rapporti o briefing. Una buona intelligenza strategica dovrebbe fornire informazioni su aree come i rischi associati a determinate linee d’azione, ampi schemi nelle tattiche e negli obiettivi dei Threat Actors.
La Tactical Threat Intelligence delinea le tattiche, le tecniche e le procedure (TTP) degli attori della minaccia. Dovrebbe aiutare i difensori a capire, in termini specifici, come la loro organizzazione potrebbe essere attaccata e i modi migliori per difendersi o mitigare tali attacchi. Di solito include il contesto tecnico ed è utilizzato da personale direttamente coinvolto nella difesa di un’organizzazione come amministratori e personale di sicurezza.
L’intelligence operativa, per ultimo, è la conoscenza diretta di cyber-attacchi, eventi o campagne. Fornisce approfondimenti specializzati che aiutano i team di risposta agli incidenti a comprendere la natura, l’intento e la tempistica di attacchi specifici.
Di conseguenza, ci sono alcune barriere alla raccolta di questo tipo di informazioni:
- Accesso – I gruppi di Criminal Hacker possono comunicare attraverso canali privati e criptati, o richiedere qualche prova di identificazione. Esistono anche barriere linguistiche con gruppi situati in Paesi stranieri.
- “Rumore” – Può essere difficile o impossibile raccogliere manualmente buone informazioni da fonti ad alto volume di traffico come le chat room e i social media.
- Obfuscation – Questa è una tecnica utilizzata per evitare di essere scoperti; i gruppi a rischio possono utilizzare tattiche di offuscamento come l’uso di nomi in codice.
La Domain Threat Intelligence di Swascan
Come accennato, la Domain Threat Intelligence ha lo scopo e l’obiettivo di individuare le eventuali informazioni pubbliche disponibili a livello OSINT e CLOSINT relative ad un determinato target.
L’attività di Threat Intelligence gathering viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente relative al dominio di interesse. L’attività di Threat Intelligence viene effettuata su target e identificavi digitali relativi agli Asset e alle email compromesse. L’attività è condotta attraverso la ricerca, individuazione e selezione delle informazioni disponibili pubblicamente relativa a Dominio, sottodominio ed email compromesse.
Osint & Closint
Il servizio non effettua alcun test di sicurezza sul target, opera unicamente sulle informazioni raccolte a livello OSINT e CLOSINT e disponibili sul Dark Web.
- OSINT: Acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche “fonti aperte“.
- CLOSINT: Close Source Intelligence, processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse“, non accessibili al pubblico o aree “riservate”.
Il tutto viene ovviamente concluso da una reportistica dettagliata delle attività in formato PDF.
I servizi di Domain Threat Intelligence e di Cyber Threat Intelligence sono i servizi Swascan di Sicurezza Predittiva.