Raccolta di dati, strategia, tattica e operazioni di prevenzione sono attività di guerra al cybercrime ormai imprescindibili in ogni organizzazione industriale. Gli stessi ambiti operativi sono le basi concettuali della Threat Intelligence, recente disciplina della sicurezza informatica.
Come in un qualsiasi conflitto bellico, per combattere il nemico è necessario conoscere le sue intenzioni, i suoi mezzi e le sue strategie, le armi, le mosse e gli obiettivi. Questo genere di attività, svolta dall’Intelligence di ogni Stato attraverso servizi di spionaggio, di raccolta dati e di alleanze tra potenziali bersagli, prefigura il contesto nel quale organizzare la difesa.
In ambito informatico gli strumenti di Threat Intelligence hanno una funzione molto simile: coordinare le molteplici attività aziendali di ricerca, conoscenza e ostacolo alle minacce degli hacker, al fine di definire le contromisure.
Se parliamo di Cyber Threat Intelligence (CTI), come più propriamente la definiscono gli inglesi, quindi, intendiamo la capacità di Intelligence sviluppata in ambito cybersecurity: la disciplina, dunque, include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico, di risorse, di motivazioni e di intenti, spesso in relazione a contesti operativi specifici.
Automatizzare l’integrazione dei sistemi di cybersecurity in uso
A differenza di tutte le infrastrutture di sicurezza informatica attuali, sviluppate per gestire, ostacolare e/o neutralizzare un particolare genere di minaccia (ramsonware, maleware, phishing, DoS, APTs, SQL injections, ecc), la cyber threat intelligence agisce a un livello precedente e a largo spettro, cercando, intercettando indicatori di threat noti e meno noti e, soprattutto, connettendo le informazioni raccolte all’esterno con tutti i sistemi di sicurezza informatica già in uso in azienda.
Gli strumenti di cybersecurity più noti, infatti, sono avanzati e molto efficaci, ma poco integrati fra loro. In un sistema industriale fortemente digitalizzato, quindi, gli enormi volumi di dati prodotti, i numerosissimi endpoint e la molteplicità di sistemi di sicurezza da monitorare si traducono in uno sforzo tecnico notevolissimo e prolungato nel tempo da parte degli analisti. Una piattaforma di Cyber Threat Intelligence si assume quest’onere, riducendo la complessità del problema, limitando le sviste umane e permettendo di risparmiare preziose ore lavorative.
In sintesi, le funzioni di un sistema di CTI sono quattro:
- aggregazione di indicatori di rischio informatico da sorgenti esterne;
- classificazione e arricchimento dei dati;
- integrazione con tutti i sistemi di cybersecurity aziendali;
- riorganizzazione e condivisione delle analisi attraverso workflow, dashboard e avvisi alle funzioni interessate.
Tra le falle, la carenza di analisti
Tanto più la tecnologia aziendale è avanzata, quanto più gli attacchi informatici potrebbero creare danni irreparabili o comunque estremamente costosi. La digitalizzazione delle aziende e dei processi produttivi ha allargato le maglie della sicurezza informatica, includendo persone, dispositivi mobili, ambiente cloud, web.
Industria 4.0, IoT, Smart City, al contrario, non possono svilupparsi se non si lavora in ambiente sicuro. L’expertise degli analisti, però, non è più sufficiente a coprire il bisogno generalizzato di sicurezza informatica e, del resto, non sono abbastanza numerosi nemmeno gli stessi analisti specializzati in sicurezza.
Secondo il 2020 Cyberthreat Defense Report di Cyberedge Group, infatti, l’85% delle aziende dichiara di essersi scontrata con il problema della carenza di personale competente. Parliamo di IT security architect/engineer, risk analist, IT security analyst e tutte le figure professionali formate proprio per garantire la cybersecurity in ambiente aziendale/industriale.
Aziende sotto il fuoco incrociato
Nel frattempo, però, il cybercrime aumenta a ritmi preoccupanti. Nel 2019 il 78% delle aziende di ogni settore, a livello mondiale, aveva subito un attacco informatico andato purtroppo a buon fine. Addirittura il 35,2% delle organizzazioni, quindi più un terzo, era stata vittima di sei o più attacchi in un anno.
Lo studio, che risale a novembre dello scorso anno (si attende a breve l’ottava edizione), prefigurava una consistente crescita dei cyber attack nel 2020, tanto da far lievitare la percentuale delle aziende vittime di almeno un’operazione criminale riuscita dal 78 all’80,7%. In realtà, la situazione attuale è ben peggiore del previsto. La pandemia di Covid19, infatti, ha determinato un’impennata del Cybercrime, tra gli effetti diretti e collaterali. L’Europol’s 2020 cybercrime report ritrae a tinte fosche una grave situazione di crimini informatici dovuti alla vulnerabilità sociale e all’uso sempre più intenso di mezzi informatici per vivere e lavorare.
Tornando ai dati del 2020 Cyberthreat Defense Report e scendendo nello specifico dei settori, si legge che il 75,6% delle aziende del Munufacturing è stata vittima degli hacker.
Il dato allarma di per sé, ma soprattutto in considerazione del fatto che l’industria è in piena trasformazione digitale Data/driven. La massiccia implementazione di soluzioni di IoT e Intelligenza artificiale all’interno dei processi produttivi genera flussi di Big data nei quali risiedono formule, segreti industriali, flussi produttivi dai quali dipende la stessa esistenza delle aziende. Proteggere queste informazioni è vitale.
I profili di minaccia e il problema dei Big Data
Oggigiorno gli analytic/monitoring tool presenti nelle aziende individuano molto velocemente le intrusioni informatiche.
Malware, Phishing, Ramsomware, credential abuse attacks, DoS/DDos, Advanced persistent threats (APTs), SSL-encrypted threats, web application attacks, Drive-by downloads sono minacce note, con le quali l’intero mondo produttivo ha a che fare di frequente.
Ogni azienda, dunque, cerca di tracciare un proprio “profilo di minaccia” attraverso il lavoro dei propri analisti, che incrociano le informazioni pubbliche (rapporti di aziende o associazioni del settore) con i dati di tracciamento dei rischi raccolti in azienda.
Il compito, però, si sta rivelando sempre arduo, poiché la digitalizzazione ha moltiplicato i punti di accesso e la mole di dati da analizzare.
Del resto, però, se il moltiplicarsi delle informazioni e delle connessioni in rete aziendali costituisce di per sé un pericolo, vero è anche che il potenziale informatico per rilevare i modelli associati ai cyberattack è esponenzialmente ampliato dalla disponibilità di più dati, di più tipi, da più fonti. Questo potenziale, però, può essere realizzato solo se gli strumenti di sicurezza hanno le capacità di gestire i Big Data e di trovare correlazioni che potrebbero non essere evidenti alla mente umana.
L’arma della Threat Intelligence
In un sistema che vacilla di fronte alla progressiva sofisticazione del Cybercrime, l’84% dei player del settore Manufacturing guarda all’advanced security analytics con fiducia. Infatti, le imprese interpellate si dicono disposte a investire in un futuro prossimo per una soluzione che garantisca automazione, sicurezza e serenità.
Tra le esigenze più sentite nelle aziende più digitalizzate, infatti, c’è proprio il bisogno di automatizzare il management della sicurezza informatica.
Le piattaforme di Threat Intelligence rispondono efficacemente a questa richiesta: essendo prodotti che incorporano funzionalità di machine learning e Intelligenza Artificiale, consentono di trovare intrusioni e comportamenti anomali in grandi quantità di dati e di reagire rapidamente.
Sviluppati nelle aree dell’apprendimento automatico e del riconoscimento di pattern, le soluzioni di Cyber Threat Intelligence in questo momento sono le armi più affilate a disposizione dell’industria e delle aziende digitalizzate.
