La Cyber Threat Intelligence (CTI) e l'arte di raccogliere, analizzare e applicare informazioni sulle minacce informatiche per prendere decisioni di sicurezza informate. Non si tratta di reagire dopo essere stati colpiti, ma di anticipare chi potrebbe attaccarti, come e quando.
Per la NIS2, la threat intelligence non e un obbligo esplicito, ma e implicitamente richiesta: come puoi fare un risk assessment efficace se non conosci le minacce? Come puoi implementare misure adeguate se non sai cosa sta succedendo nel tuo settore?
I tre livelli di threat intelligence
| Livello | Destinatario | Contenuto | Esempio |
|---|---|---|---|
| Strategica | CdA, dirigenti | Trend, motivazioni attaccanti, rischi settoriali | Report su trend ransomware nel manifatturiero |
| Tattica | Security team | TTP (tattiche, tecniche, procedure) degli attaccanti | Analisi di una campagna APT contro il settore energia |
| Operativa | SOC, analisti | IoC (indicatori di compromissione) tecnici | Hash malware, IP malevoli, URL di phishing |
Fonti di threat intelligence
- CSIRT Italia — alert, advisory e bollettini di sicurezza nazionali
- ENISA — agenzia europea per la cybersicurezza, report e analisi
- Feed open source — AlienVault OTX, MISP, Abuse.ch, VirusTotal
- Feed commerciali — Recorded Future, Mandiant, CrowdStrike, Kaspersky
- ISAC settoriali — condivisione di intelligence tra aziende dello stesso settore
- Dark web monitoring — monitoraggio di forum e marketplace criminali
Come integrare la CTI nella tua organizzazione
Per una PMI, la CTI non richiede un team dedicato. Si parte dalle fonti gratuite: iscriversi agli alert del CSIRT Italia, seguire i bollettini ENISA, configurare feed IoC nel firewall e nel SIEM. Per le organizzazioni piu grandi, una piattaforma di Threat Intelligence (TIP) come MISP o OpenCTI permette di aggregare, correlare e condividere le informazioni sulle minacce.
L'elemento chiave e la contestualizzazione: un IoC generico ha poco valore. Un IoC correlato a una campagna che sta colpendo il tuo settore specifico, con raccomandazioni operative, vale oro.