Perché la Cybersecurity dovrebbe essere la prima preoccupazione per le aziende e per le realtà del settore pubblico? Rispondere in breve è piuttosto semplice: il rischio è concreto e in molti casi si tratta anche di un obbligo normativo. Ma la ragione è decisamente più profonda e ha a che vedere sia con aspetti economici, sia con quelli di immagine, sia con le possibili conseguenze sotto il profilo giuridico.
Andiamo con ordine: dal punto di vista economico, i danni derivanti da data breach diventano sempre più dispendiosi: secondo IBM il costo medio in Italia nel 2024 è stato di 4,37 milioni di euro, il 23% in più rispetto all’anno precedente. Inoltre, i nuovi requisiti normativi come il Regolamento DORA e la Direttiva NIS2 suggeriscono, e in alcuni casi impongono, di notificare alle autorità competenti i data breach subiti, cosa che può avere conseguenze anche dal punto di vista dell’immagine aziendale, che si sommano ai danneggiamenti operativi e alle perdite economiche.
La Cyber Threat Intelligence aiuta a impedirlo: si tratta infatti di un approccio proattivo e predittivo alla cybersecurity che cambia il paradigma della difesa.
Nella pratica il significato di approccio proattivo ha un risvolto chiaro: le attività di Cyber Threat Intelligence hanno lo scopo di anticipare gli attacchi e adattarsi ai rischi potenziali. La difesa, insomma, smette di basarsi esclusivamente sull’arginare le minacce e sul rimediare agli incidenti, per assumere un ruolo di indagine e analisi attivo che permetta di prevedere, prevenire e disinnescare i possibili vettori di attacco.
Farlo significa realizzare una strategia basata su dati e analisi strategiche, che l’Intelligenza Artificiale permette di gestire in tempi rapidi e con efficacia. Per schematizzare alcuni dei principi fondanti della Cyber Threat Intelligence, ne possiamo identificare quattro.
Attraverso modelli di machine learning allenati su grandi volumi di dati, feed OSINT (Open Source Intelligenge) e monitoraggio continuo del Dark Web è possibile identificare analogie statistiche e comportamenti tipici degli attori malevoli. Grazie a questa tecnica è possibile rilevare campagne ransomware con un anticipo medio di tre settimane rispetto all’attacco, riducendo il dwell time, cioè il tempo necessario a rilevare un attacco, anche sotto le 24 ore.
Anche in questo caso l’Intelligenza Artificiale è protagonista, in due modi. Prima di tutto permette di normalizzare e razionalizzare grandi quantità di dati provenienti da fonti diverse Poi, grazie alla capacità di correlazione, permette di identificare segnali precoci di attacco, che rimarrebbero apparentemente scollegati utilizzando gli strumenti di analisi tradizionale. Inoltre, sempre grazie alla capacità di analisi avanzata, permette di ridurre in modo considerevole i falsi positivi.
Le piattaforme SOAR potenziate dall’IA, arricchite dai feed di Cyber Threat Intelligence, possono non solo applicare le contromisure basilari in tempi infinitamente più rapidi di quelli necessari a un operatore umano, ma anche selezionarle con maggiore precisione grazie a informazioni costantemente aggiornate su tattiche, tecniche, procedure e indicatori di compromissione. Questo duplice vantaggio accelera la risposta agli incidenti e, al contempo, solleva i tecnici dalle attività ripetitive, permettendo loro di concentrarsi su compiti che richiedono analisi approfondita e discernimento.
La Cyber Threat Intelligence può supportare le attività di red teaming, ovvero la simulazione di attacchi reali. Utilizzando framework come MITRE ATT&CK, i sistemi basati su IA possono generare numerosi scenari di attacco calati nel contesto operativo e tecnologico fornendo report dettagliati in modo automatico o semi rendendo così più efficace la pianificazione da parte del Red Team.
Anticipare le azioni dei cybercriminali e prevedere i potenziali vettori di attacco permette di ridurre la superfice esposta e mitigare in modo preventivo eventuali vulnerabilità, anche fra quelle che si manifestano attraverso la combinazione di debolezze apparentemente minori di sistemi diversi. Ma non si tratta solo di questo. Ricordiamo qui alcuni dei principali vantaggi nell’adozione di strumenti di Cyber Threat Intelligence.
Le fasi di rilevamento ed escalation rappresentano il principale costo nei data breach. L’adozione di soluzioni CTI consente di ridurre questa spesa grazie alla velocità nell’individuare e neutralizzare le minacce, anche nel caso in cui queste superino le difese. L’adozione della Cyber Threat Intelligence è una delle attività di cybersecurity con il ritorno di investimento più elevato, che può raggiungere il 351% [fonte: https://www.raconteur.net/technology/three-ways-businesses-can-use-threat-intelligence-to-drive-roi].
Regolamenti e norme già citate come DORA, NIS2 e il DDL Cybersicurezza richiedono capacità di early warning e documentazione degli incidenti. La CTI risponde a queste esigenze con strumenti integrati di analisi e condivisione delle minacce secondo i principi del GDPR. Questo permette la dimostrazione di conformità e allinea i controlli tecnici agli obblighi normativi.
Dal momento che la disciplina di Cyber Threat Intelligence prevede il monitoraggio esteso a fornitori e terze parti, si amplia la visibilità sulle superfici d’attacco indirette. L’integrazione con sistemi di gestione della superficie di attacco e la comunicazione con le realtà collegate permette di rilevare in tempo reale nuove minacce trasversali e adeguare rapidamente le difese prima che queste possano essere sfruttate.
Come abbiamo visto, nell’ambito della Cyber Threat Intelligence, l’Intelligenza Artificiale agisce da vero e proprio acceleratore su diversi livelli: analitico, preventivo, predittivo e proattivo. L’enorme volume di attacchi, vulnerabilità e rischi può essere gestito con efficacia solo grazie a strumenti automatici avanzati. Si tratta, inoltre, dell’adeguamento delle difese alle capacità di attacco. È noto, infatti, come gli attaccanti si avvalgano sempre più di strumenti automatizzati, anch’essi basati sull’Intelligenza Artificiale, per moltiplicare la quantità e incrementare la qualità delle minacce. Utilizzare una CTI avanzata significa, in definitiva, mettere la nostra azienda in condizione di tenere il passo.
Il perimetro aziendale da difendere si evolve e cresce più rapidamente della capacità umana di monitorarlo. La Cyber Threat Intelligence potenziata da IA permette di gestire una mole sempre più grande di dati grezzi e di prendere decisioni operative tempestive ed efficaci. In questo modo possiamo abbattere rischi e costi futuri, evitare danni reputazionali e dimostrare diligenza anche in caso di data breach. Una scelta solida con ritorni di investimento dimostrabili e capace di rendere la cybersecurity aziendale davvero a prova di futuro.