Oggi, il rilevamento delle minacce informatiche non è più solo uno dei tanti vantaggi competitivi, ma un’esigenza fondamentale. Ciò che contraddistingue le aziende leader è la loro capacità di trasformare i dati grezzi relativi alle minacce in informazioni utili che influenzano le decisioni nel mondo reale, dagli investimenti IT all’espansione sul mercato. Kaspersky analizza come la threat intelligence (TI) stia evolvendo da una semplice operazione tecnica a un elemento chiave per la resilienza e la crescita aziendale.
Threat intelligence strategica: alcuni esempi pratici
La threat intelligence strategica consente una comprensione complessiva dell’evoluzione dei rischi. Si basa su tendenze, approfondimenti geopolitici, motivazioni degli attori delle minacce e informazioni specifiche di settore per aiutare dirigenti e membri del consiglio di amministrazione a contestualizzare le minacce all’interno del loro ambiente aziendale. Questa maggiore visibilità consente alle aziende di valutare non solo “cosa” sono le minacce, ma anche “perché” sono importanti, identificando i rischi più inclini a impattare su operazioni, reputazione e conformità.
Supponiamo che la vostra azienda stia pianificando di espandere le proprie attività in una nuova regione, ma che le informazioni strategiche sulle minacce abbiano rivelato che attori sponsorizzati da stati prendono attivamente di mira i sistemi e le infrastrutture delle aziende straniere. Queste informazioni devono essere tenute in considerazione nella scelta della regione e nella valutazione del rischio di compromissione e perdite finanziarie.
Un altro esempio: la threat intelligence rivela che uno dei principali fornitori di componenti della vostra azienda opera in una regione in cui si registra un aumento delle attività degli hacker attivisti. La vostra strategia potrebbe quindi essere quella di diversificare i fornitori in anticipo, assicurandovi che le forniture non subiscano ritardi a causa di attacchi informatici di matrice politica.
In entrambi i casi, la threat intelligence strategica dimostra il suo valore nell’influenzare decisioni di business e nel proteggere da rischi informatici nascosti.
La classificazione dei rischi
La threat intelligence è particolarmente utile nella classificazione dei rischi in base alla priorità. Non tutte le minacce sono uguali e non tutte le vulnerabilità richiedono un intervento immediato. La threat intelligence strategica consente ai decision maker di concentrare le risorse dove sono più necessarie, fornendo una spiegazione più chiara per gli investimenti e le risposte. Aiuta la leadership a rispondere a domande fondamentali quali: dove è maggiore la nostra esposizione? Qual è la nostra propensione al rischio? Quali sono gli scenari più probabili e quali sono gli effetti di secondo o terzo livello in caso si verificassero?
Ad esempio, l’applicazione della threat intelligence strategica aiuta a classificare le vulnerabilità in base alla probabilità di sfruttamento nel settore di un’azienda piuttosto che al semplice punteggio CVSS (Common Vulnerability Scoring System): questo consente di applicare patch a un numero inferiore di sistemi senza aumentare il rischio, liberando tempo per il team IT e riducendo i costi di downtime. La TI strategica può semplificare la gestione delle vulnerabilità, riducendo i costi di aggiornamento di almeno il 60% e abbassando sia i costi di manodopera che quelli di interruzione dell’attività.
Inoltre, le informazioni fornite dalla threat intelligence strategica svolgono un ruolo decisivo nella revisione e nel perfezionamento dell’architettura di sicurezza. Con l’evoluzione rapida delle tattiche, delle tecniche e delle procedure dei cybercriminali, l’intelligence strategica influenza le scelte di progettazione a livello strutturale, supportando le decisioni relative alla network segmentation, alla governance dei dati e ai requisiti dei tool a lungo termine. Aiuta i CISO (Chief Information Security Officer) e gli sviluppatori a garantire che le loro difese non solo siano tecnicamente valide, ma anche compatibili con le minacce emergenti.
Policies e procedure prioritarie
Le stesse informazioni vengono utilizzate per lo sviluppo di policy e procedure di sicurezza. Anziché affidarsi a modelli generici, le aziende possono personalizzare la propria gestione in base alle minacce specifiche del proprio settore o della propria regione. Questo porta a policy più appropriate, applicabili e impattanti, basate non su timori o ipotesi, ma su prove concrete delle minacce esistenti.
Sapere che il profilo aziendale è esposto a determinate minacce può aiutare a ottimizzare la spesa per la sicurezza informatica, evitando di subire attacchi hacker. Nel perfezionare le soluzioni di sicurezza informatica implementate, la threat intelligence può rivelare che diversi strumenti molto costosi sono focalizzati su minacce che non hanno mai colpito un determinato settore aziendale. Con questa consapevolezza, è possibile eliminare gli strumenti che si sovrappongono, risparmiando una notevole quantità di denaro e reinvestendo in difese più pertinenti al profilo di minaccia dell’azienda.
Un caso reale di ottimizzazione dei costi determinato dalla threat intelligence strategica riguarda un’azienda alle prese con i propri feed di indicatori di compromissione (IoC) che generavano il 90% di falsi positivi. Grazie alla TI, l’azienda ha individuato che i feed IoC erano obsoleti e irrilevanti per la propria regione e il proprio settore. L’azienda ha quindi cambiato fornitore, passando ad uno specializzato nella TI personalizzata e con una copertura più ampia nella regione e nel settore dell’azienda. Ha ridotto del 30% i tempi di elaborazione del centro operativo di sicurezza, il che ha consentito di non dover assumere ulteriori analisti quell’anno. La threat intelligence strategica favorisce anche la preparazione aziendale, identificando le lacune nella consapevolezza, nella preparazione e nelle capacità del personale. Guida le priorità di formazione e le esercitazioni teoriche, assicurando che i dipendenti siano in grado di riconoscere le minacce e di rispondere in modo deciso, non solo reattivo. In questo senso, l’intelligence diventa un motore non solo di miglioramento tecnico, ma anche di resilienza culturale.
Infine, la threat intelligence strategica supporta un processo completo di gestione dei rischi. È alla base del modeling delle minacce, della pianificazione degli scenari e delle valutazioni dei rischi esecutivi, consentendo confronti proattivi sui trade-off dei rischi e sulle strategie di mitigazione. Con queste basi, la sicurezza informatica non è più una funzione isolata, ma diventa parte integrante della pianificazione dei rischi aziendali e della continuità operativa.
