Casi d'uso ed esempi di Threat Intelligence

Le organizzazioni si trovano ad affrontare diversi scenari di minacce in base al settore, alle dimensioni e all'infrastruttura digitale: un istituto finanziario deve monitorare i trojan bancari e il furto di credenziali, mentre un fornitore di servizi sanitari deve prestare attenzione al ransomware che prende di mira i sistemi di dati dei pazienti. Queste differenze implicano che devi capire quali approcci di threat intelligence sono effettivamente importanti per il tuo ambiente specifico.

Secondo il Global Perspectives Report di Google, il 47% dei professionisti della sicurezza indica l'applicazione efficace della threat intelligence all'interno della propria organizzazione come una delle maggiori sfide. Un approccio basato sui requisiti affronta questo problema soddisfacendo esplicitamente le esigenze degli stakeholder durante l'intero ciclo di vita della threat intelligence, a partire dai profili delle minacce pertinenti al tuo settore e alla tua regione, quindi utilizzando l'analisi degli stakeholder per informare la pianificazione della raccolta e generare output che soddisfino requisiti specifici. Quando applichi esempi e casi d'uso di threat intelligence pertinenti alla tua organizzazione, puoi colmare il divario tra la raccolta di dati sulle minacce e la prevenzione proattiva degli attacchi.

Esempi di threat intelligence

Ecco alcuni esempi comuni di threat intelligence:

  • Indicatori di compromissione (IOC)
  • Tattiche, tecniche e procedure (TTP)
  • Attribuzione dell'attaccante
  • Informazioni sulle vulnerabilità
  • Feed di threat intelligence

Se presi separatamente o usati insieme, rappresentano un approccio preventivo e proattivo per la protezione dei sistemi e dei dati sensibili.

Indicatori di compromissione (IOC)

Gli IOC sono artefatti forensi che segnalano potenziali incidenti di sicurezza nel tuo ambiente. Questi includono indirizzi IP dannosi, hash di file, nomi di dominio e URL che ti aiutano a rilevare la presenza di attaccanti nei tuoi sistemi. Quando i tuoi strumenti di sicurezza identificano un IOC da una recente campagna di attacchi, puoi immediatamente indagare se questo indicatore compare da qualche parte nel tuo ambiente.

Tattiche, tecniche e procedure (TTP)

Le TTP descrivono il modo in cui operano gli autori delle minacce e i metodi che utilizzano per ottenere l'accesso, spostarsi lateralmente e raggiungere i loro obiettivi. Comprendere questi pattern ti aiuta a riconoscere i comportamenti di attacco anche quando cambiano gli IOC specifici. Se sai che un particolare gruppo di minacce utilizza in genere lo spear phishing per ottenere l'accesso iniziale, puoi configurare regole di rilevamento in base a questi comportamenti.

Attribuzione dell'attaccante

L'intelligence sull'attribuzione identifica i gruppi di minacce che si nascondono dietro gli attacchi e rivela i loro obiettivi tipici, le loro motivazioni e le loro capacità. Questo contesto ti aiuta a valutare se la tua organizzazione rientra nell'ambito di targeting di un particolare gruppo. L'attribuzione ti aiuta anche a comprendere gli obiettivi degli attaccanti, che si tratti di rubare proprietà intellettuale, distribuire ransomware o mantenere un accesso persistente.

Informazioni sulle vulnerabilità

L'Intelligence sulle vulnerabilità fornisce dettagli sulle debolezze del software che gli attaccanti potrebbero sfruttare. Ciò include dati CVE, disponibilità di exploit e informazioni su quali vulnerabilità vengono attivamente prese di mira dagli utenti malintenzionati. L'Intelligence sulle vulnerabilità ti aiuta a distinguere i rischi teorici dalle minacce attive mostrando quali difetti vengono utilizzati dagli aggressori nelle campagne.

Feed di threat intelligence

I feed forniscono flussi continui di dati sulle minacce provenienti da più fonti, tra cui fornitori di sicurezza, agenzie governative e comunità di condivisione delle informazioni. Questi feed mantengono aggiornate le tue difese contro le minacce emergenti senza richiedere ricerche manuali. I feed variano in base all'ambito: alcuni forniscono un'ampia copertura di molti tipi di minacce, mentre altri sono specializzati in aree specifiche come i domini di phishing o l'infrastruttura ransomware.

Casi d'uso principali per la threat intelligence

Adottare un approccio incentrato sui casi d'uso rende la threat intelligence utilizzabile anziché astratta. Quando mappi i dati sulle minacce su funzioni di sicurezza specifiche come la risposta agli incidenti e la gestione delle vulnerabilità, puoi misurarne l'impatto sui risultati di sicurezza e prendere decisioni migliori su dove investire le risorse.

Difesa proattiva

La threat intelligence ti consente di identificare e bloccare le minacce prima che raggiungano il tuo ambiente. Comprendendo in anticipo l'infrastruttura e i metodi degli attaccanti, puoi configurare le tue difese per fermare gli attacchi al perimetro. Ad esempio, quando l'intelligence rivela che un gruppo di minacce sta registrando domini seguendo specifici pattern di denominazione, puoi bloccare questi pattern nel tuo filtro DNS.

Risposta agli incidenti

Quando si verificano incidenti, la threat intelligence fornisce il contesto di ciò che stai affrontando. Puoi determinare rapidamente la portata dell'attacco, identificare gli indicatori correlati e comprendere gli obiettivi dell'attaccante per contenere le minacce più velocemente. Ad esempio, se rilevi un'esecuzione sospetta di PowerShell su un endpoint, le informazioni su attacchi simili ti dicono cosa cercare dopo: se un attaccante in genere tenta un movimento laterale, l'esfiltrazione di dati o il furto di credenziali.

Ricerca delle minacce

L'intelligence guida la tua ricerca di minacce nascoste già presenti nel tuo ambiente. Concentrandoti su TTP e IOC noti e pertinenti per il tuo settore, puoi scoprire attacchi sofisticati che sfuggono al rilevamento automatizzato. Ad esempio, se i gruppi di minacce che prendono di mira il tuo settore utilizzano comunemente tecniche di "living-off-the-land" con strumenti amministrativi, puoi cercare un utilizzo anomalo di questi strumenti.

Approcci alla threat intelligence

Rilevamento delle minacce applicato

Applied Threat Intelligence in Google Security Operations va oltre l'archiviazione degli indicatori di compromissione e dei comportamenti degli utenti malintenzionati. Utilizza la comprensione di Google del panorama delle minacce, compresa l'intelligence sulle minacce emergenti di Mandiant, e applica queste conoscenze al tuo ambiente specifico. Il sistema correla automaticamente i dati sulle minacce con la tua telemetria di sicurezza per identificare le minacce pertinenti senza analisi manuale. Ottieni risultati prioritari e fruibili che collegano eventi, avvisi, asset e utenti in una storia coerente, così puoi stare al passo con le ultime minacce.

Threat intelligence basata sui requisiti

L'approccio basato sui requisiti struttura il modo in cui raccogli e utilizzi la threat intelligence in base alle esigenze effettive della tua organizzazione. Questo processo soddisfa esplicitamente le esigenze specificate di tutti gli stakeholder interessati durante il ciclo di vita della threat intelligence. Si inizia con un profilo delle minacce che fornisce un contesto sulle minacce più rilevanti nel tuo settore, nella tua industria e nella tua regione. L'analisi degli stakeholder produce requisiti di intelligence e casi d'uso, che a loro volta forniscono informazioni per la pianificazione della raccolta e lo sviluppo degli asset di raccolta. Questi elementi si combinano per formare linee di servizio che generano output che soddisfano i requisiti, i formati e la frequenza di reporting degli stakeholder.

Questo approccio include diversi componenti che lavorano insieme. La pianificazione e la direzione stabiliscono di quale intelligence hai bisogno e perché. La raccolta raccoglie i dati non elaborati dalle origini pertinenti. L'elaborazione converte questi dati in formati strutturati. L'analisi trasforma i dati elaborati in insight strategici. La diffusione fornisce questi approfondimenti ai responsabili delle decisioni e ai team di sicurezza che possono agire di conseguenza. Puoi applicare questo framework a più casi d'uso, dalla gestione delle vulnerabilità alla ricerca delle minacce fino alla pianificazione dell'architettura di sicurezza.

Integrare Google Threat Intelligence nel tuo programma di sicurezza

La threat intelligence diventa più preziosa quando la applichi al tuo ambiente specifico e alle tue sfide di sicurezza. Google Threat Intelligence combina gli insight derivanti dal monitoraggio di oltre 500 soggetti malintenzionati con funzionalità di rilevamento automatizzate, fornendoti informazioni prioritarie pertinenti per il tuo settore e la tua regione. Integrando queste funzionalità nelle tue operazioni di sicurezza, puoi passare dalla raccolta di dati sulle minacce alla prevenzione degli attacchi.

Esplora le nostre soluzioni di Threat Intelligence

Fai un passo avanti

Inizia a creare su Google Cloud con 300 $ di crediti senza costi e oltre 20 prodotti sempre senza costi.

Google Cloud
DocumentiAssistenza
Console
Accedi
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud