A cura di Pierguido Iezzi
Imparare dalle esperienze altrui – in particolare nel mondo della cyber security – è un concetto da molti abbracciato, ma che trova risicate corrispondenze nel quotidiano.
D’altronde, i Criminal Hacker hanno dalla loro parte il vantaggio di sperimentare e testare nuovi exploit quotidianamente, mentre i CISO, CIO e Security Expert si vedono costretti ad una partita “in rincorsa”.
Dai forum ai market sul Dark web, tra gli aggressori vige una certa libertà di circolazione delle informazioni, in particolare quando si tratta di nuove vulnerabilità. Tra aziende, questo tipo di sinergia è fisiologicamente più difficile da impostare.
Ecco dove entra in gioco il Threat Infosharing, la forma più “pura” di condivisione delle informazioni sulle minacce a vantaggio della resilienza del perimetro aziendale. Il Threat Infosharing si basa sulla condivisione reciproca di informazioni relative a minacce, vulnerabilità e attacchi tra organizzazioni, enti governativi, provider di servizi e altri soggetti coinvolti nella sicurezza informatica. Questa pratica consente di creare una rete di collaborazione e scambio di conoscenze che permette di rilevare e rispondere alle minacce più rapidamente ed efficientemente di quanto sarebbe possibile se ogni entità operasse in modo isolato. È il mantra del “scientia potentia est”di Bacon applicato alla sicurezza informatica. Il Threat Infosharing aiuta ad ampliare percezione e awareness per tutte le organizzazioni coinvolte, a tutti i livelli. Questa condivisione proattiva delle informazioni sugli attacchi crea una catena difensiva tra le organizzazioni che partecipano alla comunità, sviluppando un’immunità di gregge contro attacchi che altri hanno riscontrato nelle proprie reti.
Una questione di fiducia
Naturalmente, ci sono preoccupazioni riguardo alla condivisione di informazioni con chiunque. La condivisione richiede fiducia. Le imprese sono più propense a condividere informazioni informalmente, dietro porte chiuse, con partner e attraverso discussioni personali. Questo è da sempre lo scoglio culturale più difficile da superare, ma l’esperienza dimostra come senza collaborazione, i tempi di risposta si allungano, le aziende sono generalmente impreparate e non c’è coordinazione tra aziende o settori quando si scopre una minaccia di livello critico, pensiamo al caso Kaseya del 2021.
Proprio la rapidità è uno dei punti forti del Threat Infosharing, è forse uno dei pochi strumenti in grado di mantenere la stessa velocità con cui le minacce informatiche si evolvono. Quando una particolare minaccia viene individuata da un’organizzazione, la sua condivisione con gli altri membri della comunità del Threat Infosharing permette di avvisare rapidamente le potenziali vittime e di adottare contromisure appropriate per mitigare l’impatto.
Inoltre, il Threat Infosharing consente di raccogliere dati e informazioni da una vasta gamma di fonti. Questo offre una prospettiva più ampia sul panorama delle minacce e permette di identificare correlazioni e modelli che potrebbero non essere visibili da singoli attori isolati. Attraverso l’analisi dei dati condivisi, è possibile individuare indicatori di compromissione (IOC) comuni, riconoscere le caratteristiche distintive degli attacchi e comprendere meglio i modi in cui gli aggressori operano. Questa conoscenza condivisa può essere utilizzata per sviluppare e migliorare le difese e le strategie di mitigazione delle minacce. Un altro beneficio del Threat Infosharing è la possibilità di imparare dagli altri. Le organizzazioni che partecipano a tali comunità di condivisione delle informazioni possono acquisire conoscenze e competenze da esperti in sicurezza informatica, da enti governativi e da altre realtà che hanno già affrontato situazioni simili. Questa collaborazione favorisce l’innovazione e la diffusione di best practice. Tuttavia, è importante sottolineare che questo mondo deve essere gestito con cura per garantire la riservatezza delle informazioni sensibili e dei dati personali. I partecipanti devono adottare protocolli e framework adeguati per proteggere le informazioni condivise e rispettare le normative sulla privacy vigenti.
Lavorare insieme e imparare dagli altri aiuta a costruire una comunità resiliente e preparata ad affrontare le sfide del mondo digitale in continua evoluzione, questo è anche il mantra del Cyber Think Tank Assintel che – per questo motivo – ha rilasciato la prima versione della sua piattaforma di Infosharing.