Un approccio proattivo alla Cyber Threat Intelligence

Studio delle minacce informatiche

Ci impegniamo a fornire alle aziende una protezione efficace contro le minacce informatiche. Questo si riflette nel nostro team dedicato Stormshield Customer Security Lab. Il nostro team di Cyber Threat Intelligence ha due missioni principali: studiare le minacce informatiche per comprenderle e migliorare continuamente la protezione offerta dai prodotti Stormshield. Il tutto con l'obiettivo di contribuire agli sforzi della comunità della sicurezza informatica per affrontare le minacce informatiche.

Migliorare continuamente la nostra protezione informatica

Per arricchire la nostra conoscenza degli IoC, il team di Cyber Threat Intelligence si avvale delle vaste informazioni fornite dalle nostre soluzioni UTM, EDR e sandboxing, insieme a fonti di dati esterne. L'attenzione si concentra sull'obiettivo costante di rendere sicure le soluzioni Stormshield e al ruolo centrale del CTI nell'approccio eXtended Detection & Response (XDR).

Inoltre, con il nostro Product Security Portal, perseguiamo la missione di informare i nostri partner e clienti sullo stato delle minacce informatiche a livello mondiale. Individuare se un indirizzo IP è presente nei nostri database di reputazione IP, trovare le protezioni esistenti sui nostri prodotti (firme SNS come regole SES) o accedere all'elenco dei CVE rilevati dal nostro modulo di gestione delle vulnerabilità; tutte queste informazioni sulla sicurezza sono aperte a tutti.

Un team dedicato di Threat Intel

L'analisi approfondita delle tecnologie e dei meccanismi sfruttati dai criminali informatici fa parte del lavoro quotidiano del nostro team di Cyber Threat Intelligence: lo Stormshield Customer Security Lab.

Avete una domanda da porre o un incidente da segnalare? I membri del nostro team di Security Intelligence sono a vostra disposizione.

Posti di lavoro in ambito informatico da coprire. Nuovi profili vengono aggiunti regolarmente al nostro team di Cyber Threat Intelligence. Esperti informatici, consulenti dedicati e altri profili di ogni tipo, siete alla ricerca di una nuova avventura nella sicurezza informatica? Date un'occhiata alle nostre posizioni aperte e candidatevi.

Avvisi di sicurezza e documenti tecnici

Infine, il nostro team di Threat Intelligence si occupa anche dell'approccio tecnico alla sicurezza informatica.

Con le mani nel codice, i nostri esperti di cybersicurezza affrontano la meccanica del malware e forniscono le loro analisi di alto livello, a volte in anteprima. Contenuti tecnici per lettori informati.

Dubbi su un file?

Non vi fidate molto dell'ultima e-mail ricevuta? Per non parlare dell'allegato che lo accompagnava? Diventate cyber-sicuri con Breach Fighter. Attraverso un portale gratuito, questo strumento di ricerca rileva possibili comportamenti dannosi. Questo servizio di rilevamento del malware è parte integrante della nostra soluzione di sandboxing Breach Fighter. Una soluzione basata sull'analisi comportamentale del nostro prodotto Stormshield Endpoint Security Evolution e sulla ricerca del nostro team di Threat Intelligence. Breach Fighter è in grado di analizzare e rilevare comportamenti dannosi nelle e-mail contenenti allegati e in file come Microsoft Office, PDF, JAR e Java, script (Powershell, Jscript...), file eseguibili di Windows e archivi (ZIP, RAR, 7zip...).

Che cos'è la CTI?

La CTI è l'attività di raccolta di informazioni per identificare le tendenze delle minacce informatiche e fornire un'intelligence perseguibile. La Cyber Threat Intelligence può assumere diverse forme.

  1. CTI strategica: una panoramica di alto livello del panorama delle minacce, che copre gli aspetti geografici, politici e commerciali per i decisori non tecnici.
  2. CTI tattica: un focus sugli approcci, i metodi e gli strumenti utilizzati dai gruppi di cyber-attaccanti.
  3. CTI operativa: un approccio in tempo reale ai nuovi software, ai metodi di attacco e agli attori delle minacce informatiche.
  4. CTI tecnica: un'analisi approfondita delle caratteristiche tecniche di vulnerabilità, malware e metodi di attacco per SOC e altri team di risposta

Che cos'è un IoC?

Un IoC (Indicator of Compromise) è un elemento tecnico derivante da un incidente di sicurezza. Questo indicatore di compromissione può assumere diverse forme: firme di file (hash di file, hash di malware), URL, domini, DNS, IP dannosi, chiavi di registro, ecc. Questi indicatori, o cyber intelligence, sono utilizzati per il rilevamento, l'analisi e la ricerca delle minacce (Threat Hunting) e la contestualizzazione degli eventi (per attribuire gli attacchi informatici, ad esempio).

In pratica, il termine IoC comprende generalmente IoA (Indicator of Attack). Questi altri indicatori sono collegati agli attacchi informatici in corso e utilizzati nelle soluzioni di sicurezza per rilevare e bloccare gli attacchi in tempo reale.

La necessaria durata di vita degli IoC. La minaccia informatica è in continua evoluzione; di fronte al rischio di falsi positivi e di sovraccarico dei database IoC, è il ciclo di vita dei marcatori a garantire l'efficacia delle soluzioni di rilevamento e risposta. Un IoC ha quindi una data di scoperta, uno stato attuale e una data di validità.