Icontrolli ISO 27002: Threat Intelligence (5.7)

In questo articolo proseguiamo l’esame dei controlli di sicurezza linee guida ISO/IEC 27002:2022, Information security controls (UNI CEI EN ISO/IEC  27002:2023 – Controlli di sicurezza) trattando il Controllo 5.7 – Threat Intelligence (Intelligence sulle Minacce): “Sapere cosa ci minaccia è il primo passo per difenderci.”

Limitarsi a reagire alle minacce informatiche non è sufficiente: è fondamentale prevenirle prima che si verifichino. Raccogliere e analizzare informazioni sulle minacce consente alle organizzazioni di comprendere meglio quali contromisure adottare per proteggersi da rischi concreti e rilevanti.



Obiettivo del controllo è quello di Fornire consapevolezza dell’ambiente di minaccia in cui opera l’organizzazione, in modo da poter prevenire, rilevare e rispondere efficacemente agli attacchi informatici o ad altri eventi pericolosi.

Ma cos’è la threat intelligence?

È il processo di raccolta, analisi e utilizzo di informazioni sulle minacce informatiche esistenti o emergenti, per:

  • Anticipare rischi.
  • Prendere decisioni informate.
  • Adattare difese e processi.

l monitoraggio delle minacce, noto come threat intelligence, è un’attività strategica che permette di raccogliere dati utili a prevenire, rilevare e contrastare attacchi informatici. Questo processo inizia con l’identificazione dei canali informativi da tenere sotto osservazione: newsletter specialistiche, riviste di settore, portali di sicurezza, media generalisti e, soprattutto, i centri di risposta agli incidenti informatici (come il CSIRT italiano). Anche eventi di cronaca possono offrire spunti utili per riconoscere minacce emergenti o precedentemente trascurate.

Una volta raccolte, le informazioni devono essere incrociate con l’inventario degli asset aziendali per determinare la rilevanza e la gravità della minaccia. È essenziale valutare se il sistema interessato è critico (ad esempio, un server di produzione) o esposto verso l’esterno (come un’applicazione accessibile da Internet).

Per sfruttare efficacemente la threat intelligence, l’organizzazione deve definire chiaramente ruoli, responsabilità e processi operativi: dalla valutazione del rischio alla configurazione dei sistemi di sicurezza (come firewall o sistemi di rilevamento delle intrusioni), fino alla pianificazione di test e simulazioni.

Le informazioni raccolte possono riguardare tecniche di attacco, strumenti utilizzati dagli attori malevoli (i cosiddetti agenti di minaccia) o nuove tendenze nel panorama delle minacce. Queste conoscenze devono provenire sia da fonti interne all’organizzazione, sia da fonti esterne come report di vendor, comunicazioni da parte di enti governativi o gruppi di esperti del settore (come indicato anche nel controllo 5.6 delle linee guida di sicurezza).

Si possono identificare 3 livelli di threat intelligence

Livello Descrizione Esempio
Strategico Analisi ad alto livello delle tendenze e attori di minaccia. Ransomware in aumento nei settori sanitari.
Tattico Informazioni su tecniche e strumenti usati dagli attaccanti. Phishing con allegati Excel con macro malevole.
Operativo Dati su attacchi specifici, indicatori tecnici (IoC). IP sospetti, hash di file malevoli, URL pericolosi.

Caratteristiche delle informazioni di threat intelligence

Le informazioni devono essere:

  • Rilevanti – legate ai rischi specifici dell’organizzazione.
  • Accurate – basate su dati affidabili e aggiornati.
  • Contestualizzate – inquadrate nel contesto dell’organizzazione.
  • Azionabili – utili per prendere decisioni rapide e mirate.

Fasi del processo di threat intelligence

  1. Definizione degli obiettivi
  2. Selezione delle fonti (interne ed esterne)
  3. Raccolta dati (es. feed, report, log, CSIRT)
  4. Elaborazione (normalizzazione, verifica, traduzione)
  5. Analisi (correlazione e interpretazione)
  6. Comunicazione (condivisione interna in formato comprensibile)

Come si usa la threat intelligence

  • Integrare nei processi di gestione del rischio
  • Migliorare i controlli tecnici (es. firewall, IDS/IPS, antivirus)
  • Supportare test di sicurezza (vulnerability assessment, penetration test)

Collaborazione esterna

Le organizzazioni dovrebbero scambiare informazioni con:

  • CERT/CSIRT nazionali
  • Altri enti pubblici e privati
  • Gruppi di settore o fornitori specializzati

La collaborazione rafforza l’intera comunità.

Conclusioni

L’intelligence sulle minacce non è solo un elenco di IP malevoli: è una fonte strategica di conoscenza che, se ben utilizzata, fa la differenza tra subire un attacco e prevenirlo.