Per Cyber Threat Intelligence (CTI) si intendono tutti i processi, gli strumenti e i dati utilizzati per raccogliere, analizzare e condividere le informazioni sulle minacce informatiche.
L'obiettivo è quello di rispondere a queste domande per anticipare
azioni dannose e rafforzare la difesa dei sistemi
informazioni.
- Identificazione degli attori delle minacce
- Riconoscere le tecniche di attacco
- Anticipare le vulnerabilità sfruttate e le campagne dannose
- Rafforzare le misure di prevenzione, rilevamento e risposta
- Supporto decisionale strategico e operativo nella cybersecurity
| LE CARATTERISTICHE DELL'INTELLIGENCE SULLE MINACCE INFORMATICHE | SPIEGAZIONI |
|---|---|
| Tipi di informazioni | Tattica: Informazioni su tecniche, tattiche e procedure (TTP) Operativo : Dettagli su specifici eventi attuali o passati. Strategico : Analisi di alto livello delle minacce, delle loro motivazioni e delle obiettivi Dettagli tecnici : Dati grezzi e indicatori che possono essere utilizzati direttamente con strumenti |
| Fonti di CTI | OSINT | Fonti commerciali : Fornitori di informazioni sulle minacce. Condivisione della comunità : ISAC, progetti open-source, scambi tra CERT. Fonti interne : log, incidenti passati, malware o analisi di rete. |
| Strumenti e piattaforme CTI | MITRE ATT&CK : database dei TTP utilizzati dagli aggressori. MISP : piattaforma di condivisione delle informazioni sulle minacce. STIX/TAXII : formati standard per lo scambio di informazioni Strumenti di monitoraggio : VirusTotal, Shodan, ThreatConnect... |
"Per competere con le grandi potenze
in particolare gli Stati Uniti e
Cina, Stati membri dell'UE
I paesi europei hanno tutto l'interesse a mettere in comune
le loro competenze in
sicurezza informatica e di rafforzare la loro cooperazione.
Questo testo fa parte di questa dinamica di
compreso il rafforzamento di
prerogative dell'ENISA, la promozione di
schemi di certificazione su larga scala
e consolidare le sinergie
tra gli Stati membri.
- Pianificazione: quali esigenze, quali minacce?
- Raccolta di informazioni (strumenti, monitoraggio, fonti)
- Elaborazione dei dati raccolti
- Processo di analisi: correlazione, ordinamento, contestualizzazione
- Distribuzione: condivisione con le persone o gli strumenti giusti
- Feedback: valutazione della rilevanza e miglioramento continuo
Per essere rilevanti, le informazioni sulle minacce devono essere contestualizzate, condivise e utilizzate efficacemente all'interno dell'organizzazione. Allo stesso modo, la manipolazione dei dati non deve coinvolgere dati riservati o personali.