Cyber Threat Intelligence sau cum să fii cu un pas înaintea atacatorilor 

Dacă hackerii ne spionează tot timpul, cum îi putem spiona şi noi pentru afla în timp util ce pun la cale? Simplu, prin servicii de Cyber Threat Intelligence. Există companii care monitorizează atent activitatea pe darkweb (partea ascunsă a Internetului) şi schimbul de informații dintre grupurile de hackeri şi pot livra alerte timpurii atunci când o organizaţie (domeniu de activitate, utilizatori, parteneri de afaceri) este luată în vizor. Cu astfel de informaţii, companiile pot fi proactive pentru a rămâne mereu cu un pas înaintea pericolului și pentru a-și proteja datele, procesele și rețelele.

Ce este Cyber Threat Intelligence (CTI)

Cyber Threat Intelligence reunește procesele de colectare, analiză și interpretare a informațiilor relevante privind amenințările cibernetice. Scopul CTI este de a ajuta organizațiile să identifice și să se protejeze împotriva atacurilor cibernetice prin furnizarea de informații relevante despre amenințări și tendințe în domeniul securității cibernetice.

CTI implică colectarea și analiza informațiilor din cele mai variate surse: site-uri de tip darkweb, forumuri online de hacking, grupuri de discuții online, de la furnizorii de servicii de securitate și din din propriile sisteme IT ale beneficiarului. Analiza CTI implică examinarea și interpretarea acestor informații pentru a identifica modele și tendințe ale amenințărilor cibernetice și pentru a dezvolta profile ale atacatorilor și tacticilor lor.

Procesul este complex, atât pentru ca volumul datele este uriaș, cât şi pentru că multe dintre acestea sunt criptate sau incerte și necesită o evaluare atentă a relevantei şi credibilității. Informațiile furnizate prin Cyber Threat Intelligence pot fi folosite pentru a spori măsurile de securitate ale unei organizații, pentru a anticipa și a preveni atacurile cibernetice, și pentru a detecta și a răspunde rapid la incidente de securitate.

Cine sunt atacatorii

Am remarcat, atât în discuţiile cu unii dintre clienții Pras Consuting, cât şi mediul online, că multe persoane din afara domeniului IT au o imagine greşită asupra hackerilor. Puţini înţeleg nivelul complex de organizare al hackerilor şi că aceştia funcţionează ca o adevărată industriei, în care există dezvoltatori, distribuitori şi beneficiari, schimb activ de informaţii şi parteneriate.

Conform datelor ENISA (Agenţia Europeană de Securitate Cibernetică) în mod curent există mai multe categorii de atacatori:

• Hackeri independenți -motivați de interese personale, financiare sau antisociale. Aceştia sunt în general freelanceri și lucrează în funcție de conjunctură. Fără să mai fie de actualitate, Kevin Mitnick este probabil cel mai cunoscut nume. A fost arestat în 1995 și a făcut cinci ani de închisoare pentru diverse infracțiuni legate de computere și comunicații. Numeroase documentare și filme artistice se bazează pe biografia acestuia.
• Hackeri care reprezintă interesele unei țări – atacă cu predilecție instituții și infrastructuri critice (reţele energetice) sau vizează spionajul industrial. Conform declarațiilor oficialilor Centrului Național Cyberintdin SRI, România a fost de multiple ori ținta unor astfel de organizaţii, atât la nivel de ministere şi instituții din Apărare, cât şi la nivelul unor reţele de utilităţi.
• Grupări cybercrime – urmăresc în principal câştiguri financiare şi orchestrează atacuri complexe de tip ransomware, CEO fraud etc. În România cele mai cunoscute atacuri de acest gen au fost cele de la Primăria Sector 1 şi Primăria Oradea, prin care sistemele IT ale ambelor instituții au fost indisponibilizate, cerându-se plata unor recompense substanţiale. În mediul privat, cel mai notoriu caz este cel al filialei din Bistrița a producătorului german Leoni Wiring Systems care, în 2016, a fost păgubită cu 37 milioane euro în urma unui atac de tip CEO Fraud. 
• Hacktivisti - atacatori motivați ideologic, care apelează cel mai des la Distributed Denial of Service (DDoS) pentru a bloca site-uri ale unor organizații publice/private.  Spre exemplu, în contextul războiului din Ucraina, sunt cunoscute nu mai puţin de 70 de grupări de hacktivism de ambele părţi.

Potrivit autorităților, în România există toate aceste patru categorii de amenințări, grupările organizându-se în structuri de tip „spider” pentru o mai bună eficiență. Există un schimb intens de informații şi ponturi asupra unor potențiale atacuri, schimb de date furate, acțiuni de spălare a banilor etc.

Cum arată contraofensiva?

E lesne de înţeles că serviciile de Cyber Threat Intelligence necesită resurse complexe şi un nivel ridicat de expertiză. Nu orice companie poate livra astfel de servicii însă oferta este destul de diversificată. Cele mai cunoscute platforme de Cyber Threat Intelligence sunt:

• Recorded Future – o platformă care utilizează machine learning și inteligență artificială pentru a colecta, analiza și oferi informații despre amenințările cibernetice din întreaga lume.
• Microsoft Defender Threat Intelligence -  o platformă completă de investigare a amenințărilor, ajută specialiștii în securitate să analizeze și să acționeze asupra semnalelor colectate de pe internet de o rețea globală de surse (senzori, aplicații, experți).
• ThreatConnect - platformă care integrează informațiile de securitate și analizele CTI pentru a oferi organizațiilor o viziune cuprinzătoare a riscurilor cibernetice și pentru a le ajuta să gestioneze aceste riscuri.
• Anomali - oferă informații despre amenințările cibernetice în timp real și înregistrează activitățile de tip phishing și malware la nivel global.
• FireEye - această platformă oferă o gamă largă de soluții de securitate cibernetică, inclusiv servicii de CTI care ajută la detectarea și eliminarea amenințărilor cibernetice.
• IBM X-Force Exchange - această platformă oferă informații actualizate despre amenințările cibernetice, precum și analize și recomandări privind strategiile de securitate.
• Crowdstrike Falcon Intelligence -monitorizează permanent mediul online, inclusiv sursele din darknet, pentru a putea emite alerte timpurii asupra țintelor vizate.

Astfel de servicii/soluții ajută echipele de IT și de securitate să înțeleagă riscurile potențiale pentru organizația lor. Odată ce platforma a colectat și organizat datele despre amenințări, echipa de securitate a companiei le poate vizualiza într-un mod simplificat pentru a înțelege rapid amenințările cibernetice la care este expusă.

Serviciile de Cyber Threat Intelligence nu sunt ieftine, însă contribuie direct la detectarea mai rapidă a amenințărilor cibernetice, reducerea riscurilor și a costurilor generate de breşele de securitate și îmbunătățirea planurilor de răspuns la incidente.