Think Magazine Blog

Numeri da capogiro quelli citati nel IBM Security X-Force Threat Intelligence Index 2023. Le notizie giornalistiche che leggiamo quasi quotidianamente confermano che questi fenomeni sono una realtà anche in Italia.

Alla crescente complessità degli schemi di attacco si uniscono la velocità, la moltitudine dei sistemi, dati e applicazioni on-premises e nel cloud, lasciando davvero poco tempo per valutare e rispondere in maniera appropriata agli eventi di sicurezza. Indipendentemente dalla dimensione dell’organizzazione.

È necessario reinventare il modo in cui rispondiamo agli attacchi, sia dal un punto di vista tecnologico che organizzativo.

La tendenza emergente sfrutta l’utilizzo della threat intelligence nelle soluzioni di sicurezza. Potenzia cioè le soluzioni con informazioni puntuali su minacce e attacchi che contestualizzati nello specifico settore e area geografica in cui opera l’organizzazione, e confrontati con quanto realmente installato permettono di capire se, come e dove l’organizzazione è a rischio oppure è stata già colpita.

La threat intelligence è una base di informazioni costruita da un insieme indicatori di compromissione, in inglese indicators of compromise (IOC), aggiornati in tempo reale e disponibili in formato actionable che ne consenta cioè la fruizione con regole in grado di generare allarmi e scatenare azioni di risposta automatizzate.

X-Force Exchange è la piattaforma di threat intelligence collaborativa di IBM, lo strumento per l’investigazione degli eventi di sicurezza che consente di verificare e confrontare eventi, indirizzi, log e file binari con una fonte autorevole e aggiornata per confermare o escludere una potenziale minaccia o un attacco. Inoltre, X-Force Exchange permette la condivisione sicura di informazioni tra membri dello stesso team, oppure tra team estesi accomunati dalla stessa necessità di ricerca.

Sono milioni gli aggiornamenti automatici quotidiani di X-Force Exchange, validati grazie al machine learning e alla comunità di ricerca X-Force, e con numerosi contributi da parte di utenti e organizzazioni. Una vastissima collezione di indicatori di compromissione, tra cui la reputazione di indirizzi IP e di URL, IP di spam e botnet, firme di malware, interrogabili liberamente dall’interfaccia web di X-Force Exchange oppure integrabili con applicazioni di sicurezza via REST API e i protocolli STIX/TAXII.

Dalla piattaforma X-Force Exchange è inoltre possibile avere accesso a servizi, come l’Advanced Threat Protection Feed, che mette in evidenza una selezione di circa 1,5 milioni di IOC in 18 categorie e aggiornati in tempo reale. L’obiettivo è di accedere a liste costantemente aggiornate di IP di anonimizzazione, botnet, reti di Command-and-Contol, scanning IP, URL che distribuiscono malware, signature di malware e phishing da integrare con le soluzioni di sicurezza per identificare reagire immediatamente ad attacchi informatici di natura diversa.

Le funzionalità di QRadar Suite si integrano nativamente con i feed di X-Force Exchange. Semplici regole consentono, ad esempio, di monitorare e reagire in tempo reale alla presenza di malware all’interno dell’organizzazione, oppure nel caso in cui computer della rete aziendale siano stati compromessi da una botnet.

L’accesso alla threat intelligence tramite REST API permette infine un’ampia casistica di integrazioni con script, programmi e applicazioni, mentre i formati open (STIX/TAXII, JSON e CSV) consentono di esportare i feed verso le tante applicazioni di sicurezza che implementano questi protocolli. Agire entro le poche ore in cui tutto il fenomeno si realizza rende molto più difficile il successo dell’attacco.

La threat intelligence collaborativa è un modo innovativo di individuare e reagire agli incidenti di sicurezza combinando attività automatiche e manuali e orchestrando azioni correttive automatizzate per una lotta al cyber crime più efficace ed efficiente. Un esempio virtuoso di sicurezza informatica circolare, dove ciascuna organizzazione può beneficiare delle rilevazioni da parte di altre organizzazioni per rispondere prontamente agli attacchi.

Pier Luigi Rotondo, IBM Security Technical Sales
@pgrotondo