Fortinet è tra i fondatori della Cyber Threat Alliance che consente ai ricercatori di accedere ai feed di dati per migliorare i servizi di threat intelligence. Le minacce informatiche di oggi sono molto più sofisticate rispetto a quelle di qualche tempo fa. Sono infatti pensate per eludere il rilevamento, dirottare il software, mascherarsi da traffico legittimo e persino disabilitare i dispositivi di rete e di sicurezza.
La prevenzione, così come la detection e la response, richiedono soluzioni di sicurezza attive in grado di identificare gli schemi di attacco, rilevare comportamenti insoliti e scoprire le minacce prima che possano causare danni. Per farlo, hanno bisogno di una threat intelligence efficace e affidabile.
Quasi ogni dispositivo di sicurezza odierno fa affidamento su un feed di abbonamento esterno che fornisce aggiornamenti regolari a set di signature, algoritmi di rilevamento e dati sulle minacce più recenti. Senza di esso, il valore di un tool per la sicurezza diminuisce rapidamente nel tempo, man mano che i cybercriminali perfezionano e rivedono le proprie tattiche e strategie.
La sfida è data dal fatto che, indipendentemente dalla sofisticazione del device, le aziende fanno affidamento sull’expertise dei ricercatori che lavorano per il vendor e la completezza e l’accuratezza dei dati che forniscono come update.
Spesso è proprio in questa fase che viene a mancare la sicurezza. Il valore della threat intellicence dipende da fattori come ad esempio i dati disponibili per il vendor. Fattori critici sono, ad esempio, il numero di sensori implementati, la loro distribuzione e la tipologia di dati che vengono raccolti.
Chi ha la responsabilità della smart security sa perfettamente di non poter fare affidamento esclusivamente sui dati forniti dai vendor per intercettare le attività dei cyber criminali. Ecco perché i responsabili della sicurezza si iscrivono anche a threat feed esterni con lo scopo di integrare i dati che utilizzano per l’analisi interna. E poiché questo tipo di feed sono soggetti alle stesse limitazioni di quelli provenienti dai loro fornitori, spesso si iscrivono a più di uno. I vendor ovviamente fanno la stessa cosa. Ed è anche questo uno uno dei motivi per cui Fortinet ha contribuito a fondare la CTA.
La capacità di raccogliere, correlare e analizzare la threat intelligence è importante tanto quando i dati prevenienti dall’esterno. La sfida in questo caso è data dal fatto che la maggior parte dei dispositivi per la sicurezza operano in maniera isolata. Possono generare molti log file, così come avere delle capacità di reporting elaborate, ma non correlano o condividono facilmente i propri dati con gli altri device.
Se il NGFW non comunica con il WAF o con il Secure Email Gateway, è possibile che questo possa causare la perdita degli insight critici che esistono unicamente tra questi tool. La maggior parte delle organizzazioni finisce per correlare manualmente file di registro e report tra diversi strumenti, il che significa che i dettagli che possono indicare un rischio o una violazione possono essere facilmente trascurati.
Filippo Monticelli, Regional Business Manager Centre & South Italy in Fortinet
Ogni elemento della prossima generazione di strumenti per la sicurezza richiede l’analisi approfondita e la correlazione della threat intelligence. Ma i sistemi odierni basati sui feed sono ancora piuttosto primitivi. I sistemi di machine learning, se forniti di adeguate quantità di dati e del relativo training, saranno in grado di rilevare i pattern delle minacce e sviluppare strategie offensive e difensive. Se combinati con l’IA, tali sistemi non solo potranno di anticipare le mosse di un intruso al fine di disattivare le minacce in maniera proattiva e automatica, ma anche prevedere a quali attacchi potrebbe essere soggetto un sistema e quali vettori potrebbero essere utilizzati, così da fermare un attacco ancora prima che inizi.
Se si vuole davvero fare in modo di risolvere il problema dei cybercriminali che prendono di mira le aziende, è necessario che tutti prendano seriamente la condivisione delle informazioni a ogni livello: dalle singole aziende a quelle cross-vendor come la CTA. Man mano che la threat intelligence diventa più raffinata, potrà non solo proteggere il network aziendale, ma anche estendere tale protezione alle reti e affinare l’intelligenza artificiale di terze parti.
Come minimo, si può pensare di prendere in considerazione l’idea di entrare a far parte di una delle coalizioni ISAC del settore o del territorio in cui si opera, oltre ad assicurarsi che gli eventi che riguardano la sicurezza vengano condivisi con i security vendor, in modo che essi possano perfezionare anche i loro processi.
