Threat Intelligence: dal monitoraggio all'analisi

Questo articolo è il n.2 di 2 nella rassegna tematica: "Strutturazione di un ufficio analisi"

Threat Intelligence: non solo cybersecurity
Threat Intelligence: dal monitoraggio all’analisi

La raccolta informativa ed il monitoraggio sono fasi fondamentali del ciclo di intelligence, rappresentando metaforicamente gli organi sensoriali di un Ufficio Analisi. E’ però la vera e propria fase di analisi – che traduce il dato grezzo in informazione di pregio – a rappresentare il fulcro dell’attività di intelligence. Qui non esistono scorciatoie e ausili tecnologici: è l’abilità e l’esperienza dell’analista a fare la differenza.

Indice dei contenuti

Analisi di intelligence

Al fine di una corretta determinazione dei processi di analisi da attuare, è fondamentale il ruolo del management nella precisa individuazione degli obiettivi di ricerca richiesti dal business. Posta la specificità di ogni singola impresa, la tipologia di aree di business nonché l’estensione e composizione territoriale determineranno i perimetri di analisi. Qui a seguire si riporta un esempio di organizzazione del flusso operativo, generalmente valida nel caso un’azienda di carattere multinazionale e con interessi strategici di natura eterogenea.

Desk o sottosezioni specifiche

L’Ufficio Analisi verrà suddiviso in desk o sottosezioni con competenze ed obiettivi specifici, divisi nelle macro-aree della sicurezza nazionale, internazionale e cibernetica.

monitoraggio e divisione in desk — Sintesi dei desk di monitoraggio

Sicurezza nazionale

Il data set di input già introdotto nell’ambito delle fonti informative sarà integrato da informazioni di provenienza interna all’organizzazione, al fine di poter calibrare i perimetri di analisi sull’effettiva esigenza di sicurezza. Estendendo pertanto lo schema sopra detto, esempi di informazioni utili a perfezionare il contesto d’analisi possono essere i seguenti:

L’obiettivo dell’attività di analisi di intelligence sarà dunque di fornire supporto al management ed alle funzioni di sicurezza nell’assolvimento delle seguenti funzioni:

rilevamento e mitigazione del danno reputazionale;
rilevamento e prevenzione di azioni avversive nei confronti di soggetti apicali dell’organizzazione;
rilevamento di infiltrazioni di soggetti esterni all’azienda con finalità avversive (danneggiamento di proprietà, furto di materiali, esfiltrazione di informazioni sensibili etc.);
rilevamento di attività illecite o che cagionino danno all’azienda da parte di dipendenti o somministrati;
approfondimenti su contratti, commesse e competitor di settore.

Sicurezza internazionale

Compito dell’attività di analisi, specularmente e in modo complementare rispetto al contesto nazionale, sarà fornire supporto decisionale al management nell’ambito di:

rilevamento e mitigazione del danno reputazionale;
rilevamento di concorrenza ostile e prevenzione di tentativi di spionaggio industriale;
rilevamento di infiltrazioni di soggetti esterni all’azienda con finalità avversive;
approfondimenti su contratti, commesse e competitor di settore;
tutela della sicurezza dei viaggiatori all’estero.

Cybersicurezza

Data la natura trasversale delle minacce cui un’azienda è sottoposta, nel processo di miglioramento della postura difensiva non si può prescindere, ad oggi, da un continuo e costante dialogo con le figure preposte alla sicurezza cibernetica.

Concordemente con quanto già illustrato nel caso generale, la sezione di analisi cyber avrà il compito di acquisire il patrimonio informativo generato in output dalle strutture atte alla difesa informatica – in particolare CERT (Computer Emergency Response Team) e SOC (Security Operations Center) – per produrre analisi che aiutino ad inquadrare e contestualizzare attori malevoli e minacce provenienti dal cyberspazio; nell’espletamento di tale attività, la profonda collaborazione degli esperti tecnologici e degli analisti costituisce il reale valore aggiunto per la capacità di difesa e prevenzione dell’organizzazione.

Nell’ambito delle fonti informative, il processo di ascolto continuo e monitoraggio dei canali social e del dark-web fornisce ulteriore supporto all’operatività, consentendo di coadiuvare i reparti tecnici in attività quali:

rilevamento di gruppi APT (Advanced Persistent Threat) attivi contro l’organizzazione ed i suoi interessi;
rilevamento preventivo del potenziale interesse per azioni avversive da parte di attori malevoli e gruppi antagonisti;
valutazione della postura difensiva dell’azienda e della supply chain, in relazione a competitor e leader di settore;
rilevamento di potenziali documenti e materiale sensibile esfiltrato, riversato e conseguentemente reperibile in rete.

Prodotti e report d’intelligence

Se è certo che le varie sottosezioni dell’Ufficio – nell’ambito della sicurezza nazionale, internazionale, e cyber – possano svolgere le proprie attività nella piena autonomia e indipendenza le une dalle altre, è comunque tacito che le modalità di reportistica e la tipologia dei prodotti informativi elaborati debbano essere omogenei e tra loro coerenti.

Una possibile soluzione di strutturazione dell’output informativo è basata sulla distinzione per tipologia e frequenza di disseminazione, come riassunto nel seguente prospetto:

Note informative brevi

Trattasi di comunicazioni rapide che richiedono tempi di risposta brevi, i cui destinatari sono le funzioni preposte a gestire situazioni in rapida evoluzione e mutamento. Le tematiche di interesse possono comprendere avvisi di sicurezza, violazioni di perimetro (fisico o cyber) e aggiornamenti su cooperazione e coordinamento con istituzioni e altri enti.

Report periodici

Relazioni a carattere periodico sull’andamento di attività e settori sotto monitoraggio costante. Possono essere costituite, inoltre, da una collezione di eventi di sicurezza riuniti per tema o settore, al netto di un’analisi integrativa che delinei un filo conduttore tra i singoli accadimenti.

Note informative a richiesta

Comprendono tutti quegli approfondimenti ad hoc che non rientrano nelle attività programmate e che piuttosto derivano da una specifica esigenza informativa del management. Possono includere analisi su eventi non compresi nel consueto perimetro di monitoraggio, come due diligence e approfondimenti reputazionali su persone fisiche e giuridiche, nonché valutazioni di merito sulla sicurezza della catena di fornitori e/o delle aziende dell’indotto.

Scorri la raccolta← Threat Intelligence: non solo cybersecurity

Temi: intelligence threat intelligence cybersecurity monitoraggio spionaggio informazione meta