Cyber Threat Intelligence

Cyber Threat Intelligence: introduzione e spiegazione

 Cyber Threat Intelligence – Le informazioni sulle Cyber minacce a cui potrebbe essere esposta la nostra organizzazione, o Cyber Threat Intelligence, sono i dati che un’azienda utilizza per comprendere le minacce che hanno colpito, vogliono colpire o stanno per prendere di mira il proprio perimetro aziendale.

Queste informazioni vengono utilizzate per preparare, prevenire e identificare possibili Cyber attacchi che cercano di fare breccia e acquisire dati sensibili e riservati della nostra organizzazione (o in alternativa, semplicemente essere disruptive).

L’utilità della Cyber Threat Intelligence è evidente: aiuta le organizzazioni ad acquisire conoscenze preziose sulle minacce direttamente più incombenti, a costruire meccanismi di difesa efficaci (Cyber Resillience) e a mitigare i rischi che potrebbero danneggiare i loro profitti e la loro reputazione.

Dopo tutto, gli attacchi mirati richiedono una difesa mirata e la Cyber Threat Intelligence offre la capacità di difendersi in modo più proattivo.

Cyber Threat Intelligence: Nel dettaglio

Come anticipato in apertura la Cyber Threat Intelligence rappresenta la capacità di Intelligence sviluppata in ambito Cyber Security. Include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico in relazione a contesti operativi specifici.

Il servizio di Cyber Threat Intelligence di Swascan ha lo scopo e l’obiettivo di individuare le eventuali informazioni pubbliche disponibili a livello OSINT e CLOSINT relative ad un determinato target.

Con il termine OSINT, acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche “fonti aperte“.

Fare OSINT significa descrivere l’informazione disponibile e aperta al pubblico, attraverso un processo di ricerca, selezione, vaglio e reporting verso uno specifico destinatario al fine di soddisfare una necessità informativa.

La fase più importante del processo di OSINT è quella di “vagliare” le fonti rilevanti ed affidabili partendo da diverse tipologie di fonti di pubblico dominio.

L’OSINT quindi si distingue dalla banale ricerca d’informazioni perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito/contesto.

Con il termine CLOSINT si fa invece riferimento alla Close Source Intelligence, cioè al processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse“, non accessibili al pubblico o aree “riservate”.

Threat Intelligence: la portata dell’analisi

L’attività di Cyber Threat Intelligence viene effettuata attraverso un processo di ricerca, individuazione e selezione delle informazioni disponibili pubblicamente con OSINT/CLOSINT a livello di:

  • Target
  • Asset Digitali
  • IP
  • Email e informazioni relative ai dipendenti di una azienda

Lo scopo? L’obiettivo è quello di fornire una “actionable intelligence”, ovvero un’informazione analizzata, contestualizzata, tempestiva, accurata, rilevante e predittiva al fine di determinare l’eventuale esposizione ai rischi della Cyber Security.

Actionable Intelligence
Actionable Intelligence

Cyber Threat Intelligence: il Perimetro

Il perimetro della Cyber Threat Intelligence di Swascan è relativo a:

  • Advanced Intelligence: Include eCrime Intelligence e Domain Monitoring;
  • Network Intelligence – Infected Host;
  • Network Intelligence – Vulnerable Host;
  • eCrime/Dark Web Intelligence: Aggregated Forum Communications and Threat Actor Library;
  • Malware Intelligence: Active Malware Sandbox and Library of Binaries;
  • Risk Intelligence
    • Compromised Credit Card Feed;
    • Anti-Money Laundering Feed
    • Account Take-over Defense.
    • ….
  • Compromised Credential;
  • Honeypot Intelligence;
  • Financial Fraud Intelligence.

Il servizio di Cyber Threat Intelligence (CTI) permette di cercare, monitorare e analizzare i soggetti di interesse (SOI) in diverse fonti, tra cui:

  • Dark Web communities e marketplaces (TOR-based);
  • Underground communities e marketplaces (Internet-based);
  • Social media networks, come ad esempio Facebook, Twitter, Linkedin, etc.;
  • Messaggistica istantanea, come ad esempio Viber, Telegram, QQ, WeChat, etc.;
  • Internet Relay Chat (IRC);
  • Integrated Intelligence Repositories (IOCs, TTPs, Security Incidents).

Cyber Threat Intelligence: La fase di analisi

L’attività prevede la raccolta e l’analisi delle informazioni relative ad una serie di macro aree critiche.

Data Breach

Il primo bacino di dati presi in considerazione arriva dai Data Breach, tristemente sempre più onnipresenti anche nella cronaca di tutti i giorni.

Vengono analizzati i dati grezzi sia di esfiltrazioni che hanno avuto in oggetto sia il diretto interessato sia le terze parti. Sono naturalmente comprese anche le email compromesse.

A seconda dei casi è possibile fornire:

  • Password utilizzata
  • Hash della password
  • Record privo di password, ma del quale vi è traccia nel Deep e nel Dark Web

Le statistiche ci insegnano che, una percentuale variabile tra il 60% e l’80% degli utenti, utilizza la stessa password – o varianti facilmente indovinabili della stessa – sul sistema aziendale (autenticazione Active Directory, Casella e-mail, accesso VPN, accesso Web Remoto, Intranet, etc).

Il rischio è che un agente esterno (Criminal Hacker) acquisisca le credenziali compromesse e tenti di accedere in maniera non autorizzata agli asset digitali dell’azienda.

Un secondo scenario è invece relativo ai Social Network, ovverosia alle credenziali compromesse attinenti ad accessi di dipendenti e collaboratori dell’azienda verso Social Network quali Linkedin, Facebook, Twitter, etc… In questo contesto, i Criminal Hacker possono accedere ai Social Network interessati come un dipendente o collaboratore dell’azienda, per poi spacciarsi proprio per quella data persona, ed inviare malware ad altri colleghi, dipendenti o collaboratori dell’azienda target.

Lo scopo è quello di perpetrare attacchi mirati verso gli asset digitali e le comunicazioni – email e/o Social Network – dell’azienda.

Network Hygiene

Con” Network Hygiene” si intende la presenza di attività malevole o sospette all’interno del perimetro digitale del Cliente. In funzione del tipo di evidenza riscontrata, la keyword è associabile, ad esempio, alla “IP Reputation”, vale a dire alla reputazione di determinati indirizzi IP, noti a livello mondiale ed alle diverse comunità di cyber security ed aziende di anti virus, per aver svolto attività illegali, o per facilitare indirettamente dette attività (a causa di errori di configurazione e/o implementazione), con tutte le conseguenze legali (civili e penali) del caso.

In funzione delle diverse lacune di Network Hygiene, le conseguenze possono essere molteplici:

  • abuso di form web per richiesta informazioni, con conseguente utilizzo fraudolento dei sistemi del Cliente per l’invio massivo di “email spam”;
  • utilizzo dei sistemi mal configurati per redirect di DNS ed intercettazione di tutto il traffico dati;
  • abuso dei sistemi mal configurati per “attacchi ponte” (launchpad), con conseguenti responsabilità di tipo civile e, soprattutto, penale;

Dark Web

Il Dark Web storicamente era uno dei luoghi più nascosti della rete, mercato nascosto dove soltanto i pionieri del Criminal Hacking underground si avventuravano. Oggi, mimando il successo dell’on-line retail il Dark web si è dotato di uno dei componenti chiave del successo della sua controparte legale, le garanzie. Non solo, queste piattaforme distorte di eCommerce operano su piattaforme che permettono di recensire i “prodotti”, lasciare una valutazione e ottenere garanzie di acquisto, il tutto incorniciato con un’interfaccia intuitiva e responsive facilmente navigabile.

Qui la fanno da padrone le cripto valute grazie alle loro caratteristiche che permettono grande anonimato e scarsa tracciabilità.

Tra la merce a disposizione al primo posto per numero di inserzioni troviamo innumerevoli hacking tools, ma anche pacchetti di dati sensibili illegalmente ottenuti.

Per questo motivo l’analisi delle istanze sul Dark Web è fondamentale. Rintraccia i threat actors (cyber criminali, tipicamente) su forum del cyber crime hanno parlato dell’azienda d’interesse (inteso come brand, domini, indirizzi IP, brand o nomi di Executives) per diffondere dati riservati o personali, per discutere di truffe e frodi da perpetrare verso il Cliente, etc.

La gravità e l’impatto vanno valutati in funzione di cosa è emerso dall’analisi e presa dei dati sul Dark Web.

Botnet Activity

Per botnet si intende una collezione di dispositivi connessi alla Rete compromessi da un threat actorQuesti agiscono come un moltiplicatore di forza per tutti coloro (dal singolo fino al gruppo organizzato di criminal hacker) che intendono sferrare cyber attacchi per violare dei sistemi o causare disservizi.

Il loro utilizzo più frequente è negli attacchi DDoS (Distributed Denial of Service), dove mettono a frutto la potenza computazionale complessiva delle macchine infette per inviare enormi volumi di spam, sottrarre credenziali su ampia scala e per spiare persone e organizzazioni.

I criminal hacker costruiscono le loro reti di bot infettando dispositivi connessi alla rete attraverso un malware e li controllano utilizzando un server di C&C (Command and Control).

Ciò che rende ancora più pericoloso questo metodo di attacco è che una volta compromesso un singolo device tutti i dispositivi presenti sulla stessa Rete sono esposti al rischio d’infezione.

Un attacco botnet ben congeniato può sicuramente risultare devastante. Basti ricordare il tristemente noto Mirai che, nel 2016, aveva colpito e di fatto “spento” colossi come CNN e Netflix. In quel caso Mirai si era appoggiato a numerosissimi dispositivi IoT, in particolare le telecamere di sicurezza, ma non è escluso che possa utilizzare asset aziendali ben più comuni-

Proprio quest’ultimo aspetto è uno dei più grandi fattori per l’incremento nell’utilizzo di queste tecniche: permette all’aggressore di utilizzare l’hardware della vittima e la sua elettricità per estrarre criptovalute come Bitcoin o Ethereum.

Come se non bastasse il “bot hardener” (il gestore della botnet) può utilizzare la sua rete botnet per istruirla per rubare le credenziali (e-banking, Intranet aziendale, Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale, etc.)

Miscellaneuos Risks

In questa categoria di digital risk rientrano diverse sottocategorie: Ip Reputation (vedi sotto), Passive DNS, etc. Gli impatti variano in funzione del tipo di informazione che è presente all’esterno del perimetro aziendale del Cliente.

IP Reputation

La “reputazione” di un indirizzo IP pubblico è assimilabile alla sua “storia in rete”, ovverosia lo storico delle azioni malevole che sono state effettuate, o sono transitate, o hanno avuto come destinazione finale, detto indirizzo IP. Responsabilità legali civili e penali, furto di informazioni, spionaggio industriale, etc.

Passive DNS

È un tipo di attacco di medio-alto livello, tramite il quale si effettuano cambi di configurazione ai DNS del Cliente. Intercettazione del traffico internet e/o redirect dello stesso.

Brand Names

Indica la presenza di istanze relative ai brand del Cliente sul Dark Web. Può essere indicatore di frodi in corso o già commesse.

Executives

Indica la presenza di istanze relative ai nomi degli Executives comunicati dal Cliente sul Dark Web o in altre basi di dati. In funzione del tipo di istanza, può rappresentare differenti tipologie di impatto.

Autore: Pierguido Iezzi

AvatarDa anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

Domain threat
intelligence

ON PREMISE

Servizi Swascan