In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC 27002:2023 – Controlli di sicurezza) trattando il Controllo 5.7 – Threat Intelligence (Intelligence sulle Minacce): “Sapere cosa ci minaccia è il primo passo per difenderci.”
Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.
Obiettivo del controllo è quello di Fornire consapevolezza dell’ambiente di minaccia in cui opera l’organizzazione, in modo da poter prevenire, rilevare e rispondere efficacemente agli attacchi informatici o ad altri eventi pericolosi.
Ma cos’è la threat intelligence?
È il processo di raccolta, analisi e utilizzo di informazioni sulle minacce informatiche esistenti o emergenti, per:
- Anticipare rischi.
- Prendere decisioni informate.
- Adattare difese e processi.
l monitoraggio delle minacce, noto come threat intelligence, è un’attività strategica che permette di raccogliere dati utili a prevenire, rilevare e contrastare attacchi informatici. Questo processo inizia con l’identificazione dei canali informativi da tenere sotto osservazione: newsletter specialistiche, riviste di settore, portali di sicurezza, media generalisti e, soprattutto, i centri di risposta agli incidenti informatici (come il CSIRT italiano). Anche eventi di cronaca possono offrire spunti utili per riconoscere minacce emergenti o precedentemente trascurate.
Una volta raccolte, le informazioni devono essere incrociate con l’inventario degli asset aziendali per determinare la rilevanza e la gravità della minaccia. È essenziale valutare se il sistema interessato è critico (ad esempio, un server di produzione) o esposto verso l’esterno (come un’applicazione accessibile da Internet).
Per sfruttare efficacemente la threat intelligence, l’organizzazione deve definire chiaramente ruoli, responsabilità e processi operativi: dalla valutazione del rischio alla configurazione dei sistemi di sicurezza (come firewall o sistemi di rilevamento delle intrusioni), fino alla pianificazione di test e simulazioni.
Le informazioni raccolte possono riguardare tecniche di attacco, strumenti utilizzati dagli attori malevoli (i cosiddetti agenti di minaccia) o nuove tendenze nel panorama delle minacce. Queste conoscenze devono provenire sia da fonti interne all’organizzazione, sia da fonti esterne come report di vendor, comunicazioni da parte di enti governativi o gruppi di esperti del settore (come indicato anche nel controllo 5.6 delle linee guida di sicurezza).
Si possono identificare 3 livelli di threat intelligence
| Livello | Descrizione | Esempio |
| Strategico | Analisi ad alto livello delle tendenze e attori di minaccia. | Ransomware in aumento nei settori sanitari. |
| Tattico | Informazioni su tecniche e strumenti usati dagli attaccanti. | Phishing con allegati Excel con macro malevole. |
| Operativo | Dati su attacchi specifici, indicatori tecnici (IoC). | IP sospetti, hash di file malevoli, URL pericolosi. |
Caratteristiche delle informazioni di threat intelligence
Le informazioni devono essere:
- Rilevanti – legate ai rischi specifici dell’organizzazione.
- Accurate – basate su dati affidabili e aggiornati.
- Contestualizzate – inquadrate nel contesto dell’organizzazione.
- Azionabili – utili per prendere decisioni rapide e mirate.
Fasi del processo di threat intelligence
- Definizione degli obiettivi
- Selezione delle fonti (interne ed esterne)
- Raccolta dati (es. feed, report, log, CSIRT)
- Elaborazione (normalizzazione, verifica, traduzione)
- Analisi (correlazione e interpretazione)
- Comunicazione (condivisione interna in formato comprensibile)
Come si usa la threat intelligence
- Integrare nei processi di gestione del rischio
- Migliorare i controlli tecnici (es. firewall, IDS/IPS, antivirus)
- Supportare test di sicurezza (vulnerability assessment, penetration test)
Collaborazione esterna
Le organizzazioni dovrebbero scambiare informazioni con:
- CERT/CSIRT nazionali
- Altri enti pubblici e privati
- Gruppi di settore o fornitori specializzati
La collaborazione rafforza l’intera comunità.
Conclusioni
L’intelligence sulle minacce non è solo un elenco di IP malevoli: è una fonte strategica di conoscenza che, se ben utilizzata, fa la differenza tra subire un attacco e prevenirlo.
