Giacomo Lanzi

Coordinazione tra CTI e SOC: come alzare ulteriormente le difese

Estimated reading time: 6 minuti

La Cyber Threat Intelligence (CTI) e un Security Operations Center (SOC) sono due parti importanti nel processo di sicurezza di un’azienda. Aiutano a identificare e mitigare i rischi coinvolti nel mondo digitale. La CTI è una misura proattiva che aiuta a identificare le potenziali minacce, mentre il SOC è una misura reattiva che aiuta a rilevare e mitigare un attacco. Insieme, CTI e SOC, sono due strumenti importanti nel campo IT.

La CTI aiuta le organizzazioni a identificare potenziali minacce raccogliendo dati da varie fonti come social media, dark web, database di malware, ecc. Quindi analizza questi dati utilizzando strumenti di analisi avanzati come algoritmi di apprendimento automatico e fornisce informazioni utili ai responsabili delle decisioni.

Un SOC, d’altra parte ha un approccio più reattivo in quanto rileva e mitiga un attacco non appena si verifica. I SOC usano vari metodi come firewall, sistemi di rilevamento delle intrusioni, sistema di gestione dei registri, etc.

La relazione tra CTI e SOC può essere descritta in una frase:

La CTI fornisce informazioni preziose al SOC, mentre questo fornisce alla CTI un feedback rilevante.

CTI e SOC

CTI e SOC: cosa sono?

Prima di collaborare nella gestione delle sicurezza, CTI e SOC sono due cose distinte che hanno ruoli e scopi differenti. Vediamoli brevemente insieme.

Cos’è la CTI

La Cyber Threat Intelligence (CTI) è il processo di raccolta, analisi e diffusione di informazioni sugli incidenti informatici per aiutare a identificare e combattere le minacce informatiche. È una disciplina di intelligence che si occupa dell’identificazione e dell’analisi delle minacce informatiche. La CTI può essere utilizzata per prevenire futuri attacchi a un’organizzazione identificando potenziali vulnerabilità nel sistema.

La Cyber Threat Intelligence può essere considerata una forma di difesa informatica proattiva. Con la CTI, le organizzazioni sono in grado di proteggersi meglio da vari tipi di attacchi informatici. Esistono tre tipi principali di intelligence relativa alle minacce informatiche:

1) Intelligence sugli attacchi informatici: informazioni sui metodi e le motivazioni dell’attaccante

2) Intelligence per la difesa informatica: informazioni sulle vulnerabilità del difensore e su come possono essere sfruttate dagli aggressori

3) Intelligence sulle minacce informatiche: informazioni sulla strategia, l’intento, le capacità e le risorse dell’agente di minaccia

Cos’è un SOC

Un Security Operation Center (SOC) è un hub centrale per la sicurezza di un’organizzazione. È un luogo in cui tutte le operazioni di sicurezza sono monitorate e gestite. Il SOC può essere considerato un “centro di comando” per la sicurezza informatica di un’organizzazione, in cui tutte le operazioni di sicurezza sono monitorate e gestite.

Noi offriamo il SOC come servizio per i nostri clienti (SOCaaS), sollevandoli dai costi iniziali di implementazione e da quelli costanti di manutenzione dell’infrastruttura. Il nostro SOCaaS, inoltre, utilizza un sistema NextGen SIEM che garantisce velocità e puntualità delle risposte.

La CTI e le costanti evoluzioni delle minacce online

L’intelligence sulle minacce informatiche è la chiave per comprendere l’evoluzione delle minacce informatiche e come queste stiano cambiando. La costante evoluzione delle minacce rende difficile per le organizzazioni tenere il passo con gli ultimi sviluppi della sicurezza. I team di sicurezza informatica devono essere in grado di rispondere in modo rapido ed efficiente per evitare danni.

In questo contesto dinamico in continua evoluzione, entra in gioco la Cyber Threat Intelligence. La CTI è l’elemento chiave che permette di capire come proteggersi dai diversi attacchi informatici. Nella pratica, questo significa che, grazie ad un’accurata serie di analisi, è possibile capire effettivamente come evitare di diventare vittima di attacchi.

La CTI aiuta, quindi, nell’individuare le potenziali minacce e fornisce queste informazioni preziose al SOC, che potrà così implementare dei controlli specifici per le minacce rilevate.

È importante che le aziende dispongano di una propria Cyber Threat Intelligence per stare al passo con la costante evoluzione delle minacce. Le aziende devono capire cosa sta succedendo in ambito di minacce informatiche, e capire quale sia la strada percorsa dai vari gruppi di terrorismo informatico.

Il Security Operation Center e la rilevazione delle minacce

Il Security Operation Center (SOC) è l’hub centrale per il monitoraggio e la gestione della sicurezza informatica. In teoria questo è un luogo fisico in cui lavorano ingegneri e tecnici informatici per difendere l’infrastruttura aziendale. Tuttavia, non è ormai raro trovare il SOC offerto come servizio (SOCaaS).

Il primo passaggio nel rilevamento delle minacce consiste nel creare un programma di intelligence sulle minacce. Questo programma dovrebbe essere in grado di raccogliere, analizzare e condividere informazioni su minacce e attacchi informatici con tutte le parti interessate dell’organizzazione. Questo passaggio è svolto da un team di CTI, e diventa parte integrante del processo di lavoro del SOC.

Il secondo passo è sviluppare una strategia per rispondere a queste minacce e attacchi. Il terzo passaggio consiste nell’implementare la strategia nelle operazioni attraverso procedure, politiche e strumenti progettati per una risposta rapida quando si verifica un attacco.

I Security Operation Center (SOC) sono responsabili del monitoraggio di reti e sistemi per rilevare eventuali segni di attacchi informatici o guasti del sistema che potrebbero causare violazioni dei dati o altri eventi dannosi. Il rilevamento delle minacce coinvolge entrambi in modo pro-attivo.

CTI e SOC cover

Il SOC e la sua importanza nel processo di CTI

Ecco quindi che il rapporto tra CTI e SOC rappresenta un binomio che deve essere sempre presente qualora si voglia avere la certezza che operare online sia un tipo di operazione ottimale da svolgere.

La cosa interessante è l’interazione che si viene a creare tra questi due strumenti, diventando così una soluzione sempre più potente in ambito di sicurezza informatica.

Il SOCaaS che offriamo, infatti, contiene uno strumento di analisi del comportamento, utilissimo nell’individuare comportamenti sospetti e collegarli a potenziali minacce, anche a posteriori. Questo aspetto crea una fonte di informazioni interna per la CTI, che può quindi aggiungere i risultati dell’analisi del comportamento del SOC tra i suoi indizi di ricerca.

CTI e SOC si alimentano a vicenda, possiamo dire, con informazioni e soluzioni a supporto della sicurezza aziendale.

I nostri servizi di SOC e CTI

Come abbiamo visto, SOC e CTI si completano a vicenda, per così dire. Questi due servizi sono entrambi offerti da noi e siamo sicuri dell’impatto positivo che hanno nella lotta contro le minacce informatiche per le aziende.

Se la tua azienda è alla ricerca di informazioni su come proteggere al meglio l’infrastruttura informatica dalla criminalità informatica, contattaci per una consulenza o per chiedere ulteriori informazioni, saremo lieti di rispondere a ogni domanda.

Link utili:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Backdoor.Win32.Hellza.120 / Authentication Bypass Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/2cbd0fcf4d5fd5fb6c8014390efb0b21_B.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hellza.120 Vulnerability: Authentication Bypass Description: The malware listens on TCP ports 12122, 21. Third-party adversarys who can reach infected systems can logon using any username/password combination....
  • Backdoor.Win32.Hellza.120 / Unauthorized Remote Command Execution Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/2cbd0fcf4d5fd5fb6c8014390efb0b21.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Hellza.120 Vulnerability: Unauthorized Remote Command Execution Description: The malware listens on TCP ports 12122, 21. Third-party adversarys who can reach infected systems can issue commands made available by the...
  • Trojan.Ransom.Ryuk.A / Arbitrary Code Execution Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/5ac0f050f93f86e69026faea1fbb4450.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan.Ransom.Ryuk.A Vulnerability: Arbitrary Code Execution Description: The ransomware looks for and executes DLLs in its current directory. Therefore, we can potentially hijack a vuln DLL execute our own code, […]
  • Trojan-Dropper.Win32.Corty.10 / Insecure Credential Storage Settembre 20, 2022
    Posted by malvuln on Sep 19Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2022 Original source: https://malvuln.com/advisory/f72138e574743640bdcdb9f102dff0a5.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Trojan-Dropper.Win32.Corty.10 Vulnerability: Insecure Credential Storage Description: The malware stores its credentials in cleartext within the Windows registry. Family: Corty Type: PE32 MD5: f72138e574743640bdcdb9f102dff0a5 Vuln ID:...
  • Re: over 2000 packages depend on abort()ing libgmp Settembre 20, 2022
    Posted by Matthew Fernandez on Sep 19What is the security boundary being violated here? As a maintainer of some of the packages implicated here, I’m unsure what my actionable tasks are. The threat model(s) for my packages does not consider crashes to be a security violation. On the other side, things like crypto code frequently […]
  • SEC Consult SA-20220915-0 :: Local Privilege Escalation im SAP® SAPControl Web Service Interface (sapuxuserchk) Settembre 16, 2022
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 15SEC Consult Vulnerability Lab Security Advisory < 20220915-0 > ======================================================================= title: Local privilege escalation product: SAP® SAPControl Web Service Interface (sapuxuserchk) vulnerable version: see section "Vulnerable / tested versions" fixed version: see SAP security note 3158619 CVE number: CVE-2022-29614...
  • SEC Consult SA-20220914-0 :: Improper Access Control in SAP® SAProuter Settembre 16, 2022
    Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on Sep 15SEC Consult Vulnerability Lab Security Advisory < 20220914-0 > ======================================================================= title: Improper Access Control product: SAP® SAProuter vulnerable version: see section "Vulnerable / tested versions" fixed version: see SAP security note 3158375 CVE number: CVE-2022-27668 impact: high homepage:...
  • over 2000 packages depend on abort()ing libgmp Settembre 16, 2022
    Posted by Georgi Guninski on Sep 15ping world libgmp is library about big numbers. it is not a library for very big numbers, because if libgmp meets a very big number, it calls abort() and coredumps. 2442 packages depend on libgmp on ubuntu20. [email protected]:~/prim$ apt-cache rdepends libgmp10 | wc -l 2442 gawk crash: [email protected]:~/prim$ gawk […]
  • APPLE-SA-2022-09-12-5 Safari 16 Settembre 12, 2022
    Posted by Apple Product Security via Fulldisclosure on Sep 12APPLE-SA-2022-09-12-5 Safari 16 Safari 16 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213442. Safari Extensions Available for: macOS Big Sur and macOS Monterey Impact: A website may be able to track users through Safari web extensions Description: A logic issue […]
  • APPLE-SA-2022-09-12-4 macOS Monterey 12.6 Settembre 12, 2022
    Posted by Apple Product Security via Fulldisclosure on Sep 12APPLE-SA-2022-09-12-4 macOS Monterey 12.6 macOS Monterey 12.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213444. ATS Available for: macOS Monterey Impact: An app may be able to bypass Privacy preferences Description: A logic issue was addressed with improved state management. […]

Customers

Newsletter