Nell’ultimo anno, secondo il rapporto 2024 del Clusit, gli attacchi informatici gravi registrati a livello globale sono aumentati dell’11%, con una crescita ancora più significativa in Italia pari al 65%. Non è, ovviamente, solo un problema di numeri degli attacchi sferrati, ma anche di capacità di rilevamento e risposta. Si calcola infatti che in media occorrano 204 giorni per identificare una violazione dei dati e 73 giorni per contenerla.
Sebbene la maggior parte degli attacchi venga rilevata e fermata grazie agli strumenti di prevenzione, i cyber criminali più esperti e i gruppi APT avanzati sono oggi in grado di trovare una via per evadere queste difese. Una volta che un attaccante è riuscito ad avere accesso all’ambiente aziendale, diventa cruciale rilevarlo il prima possibile e fermare la minaccia in corso, prima che possa trasformarsi in un data breach e compromettere l’intera infrastruttura.
È, dunque, fondamentale per i responsabili della sicurezza aziendale avere piena visibilità sui rischi e sulle potenziali minacce che potrebbero prendere di mira la propria organizzazione, scandagliando web e dark web alla ricerca di dati riferibili all’azienda e di altre possibili porte d’accesso a reti, ambienti e sistemi aziendali. Maggiori informazioni si ottengono, più sarà possibile costruire meccanismi di difesa efficaci e mitigare i rischi economici e reputazionali.
Che cos’è e come funziona la cyber threat intelligence
La cyber threat intelligence può aiutare a prevenire o mitigare gli attacchi informatici, grazie allo studio e all’analisi dei dati raccolti sulle minacce in circolazione. Si tratta, in altre parole, di uno strumento che aiuta a identificare ed evitare potenziali attacchi diretti all’organizzazione fornendo informazioni sugli autori delle minacce, sulle loro capacità e sugli obiettivi dell’attacco. Così da anticiparne le mosse e rispondere in modo proattivo ai primi segnali di compromissione.
Gartner la definisce come l’insieme di conoscenze basate su una serie di elementi – contesto, meccanismi, indicatori e consigli orientati all’azione – che permettono di comprendere la reale portata delle minacce e dei pericoli esistenti o emergenti per un’azienda e che possono essere utilizzate per orientare le decisioni relative alla risposta da dare a tale minaccia o pericolo.
Senza una chiara comprensione delle vulnerabilità dell’azienda, dei possibili indicatori di minaccia e delle tattiche usate dai cyber criminali, è infatti impossibile combattere efficacemente i moderni attacchi informatici. Grazie alla cyber threat intelligence, i professionisti della sicurezza sono più preparati a reagire e possono contenere gli attacchi più rapidamente, minimizzando l’impatto e riducendo i costi di una violazione dei sistemi aziendali. Soprattutto se dotati degli strumenti giusti.
I vantaggi dell’AI applicata alla cyber threat intelligence
L’intelligenza artificiale è una preziosa alleata nelle attività di cyber threat intelligence. Può infatti aiutare gli specialisti della sicurezza a raccogliere ed elaborare grandi quantità di dati provenienti da varie fonti, filtrando le informazioni davvero rilevanti. Mentre un team di analisti potrebbe impiegare giorni o addirittura settimane per individuare un attacco, l’AI è capace di rilevare in tempo reale gli indicatori di compromissione e identificare modelli, anomalie e correlazioni che segnalano la natura anomala di un comportamento utente o di un movimento all’interno della rete aziendale.
Contestualizzando la grande varietà di segnali e marcatori lasciati dagli attaccanti mentre si muovono nella rete, l’AI è in grado di ricostruire l’origine e il possibile impatto delle minacce e di riunire tutte queste informazioni per offrire un quadro chiaro dell’attacco in corso. Di fronte a una pluralità di allarmi, l’intelligenza artificiale può inoltre aiutare il team SOC a definire le priorità e automatizzare alcune azioni di risposta, come il blocco del traffico dannoso o l’isolamento dei dispositivi infetti.
Avere a disposizione tutte queste informazioni sulle minacce consente alle aziende di risparmiare tempo e risorse. Addestrando gli algoritmi di intelligenza artificiale a comprendere i processi e gli schemi di una normale attività svolta dall’utente, si riducono infatti i falsi positivi e di conseguenza anche gli sforzi degli analisti della sicurezza impegnati nella difesa del perimetro aziendale.
Le funzionalità di Machine learning e Deep learning fanno sì che i sistemi di AI apprendano continuamente nuove informazioni sull’evoluzione degli attacchi, oggi sempre più sofisticati rispetto al passato, e sappiano riconoscere i segnali reali di un’attività anomala. Ciò permette all’organizzazione di adattare le proprie difese alle nuove minacce in modo rapido e accurato, per stare sempre un passo avanti agli attaccanti.
