La Cyber Threat Intelligence (CTI) ha servito a lungo come pietra angolare della moderna difesa digitale, eppure uno storico studio longitudinale ha rivelato che vent'anni di reportistica hanno prodotto un panorama frammentato, definito più dai silos dei vendor che da una strategia globale unificata. I ricercatori Mauro Conti, Manuel Suarez-Roman e Francesco Marciori hanno recentemente condotto un'analisi automatizzata su larga scala di 13.308 report CTI open-source, scoprendo che il settore soffre di un significativo effetto "camera dell'eco". Questa frammentazione significa che, mentre il volume di intelligence è esploso, la nostra comprensione collettiva delle dinamiche a lungo termine tra attori delle minacce e vittime rimane oscurata da standard di reporting incoerenti e dai bias strutturali inerenti all'ecosistema dei vendor di sicurezza.
La necessità di questa ricerca deriva dalla crescente complessità della geopolitica digitale e dal puro volume di dati non strutturati generati dalle aziende di sicurezza. Storicamente, la Cyber Threat Intelligence (CTI) è stata pubblicata in formati disparati, dai post sui blog ai white paper tecnici, rendendo quasi impossibile per gli analisti umani sintetizzare manualmente due decenni di tendenze. Per colmare questo divario, il team di ricerca ha sviluppato una pipeline ad alta precisione che sfrutta i Large Language Models (LLM) per ingerire e strutturare i dati, estraendo entità critiche come gli attori delle minacce attribuiti, le motivazioni e gli indicatori tecnici. Questo approccio automatizzato ha permesso la prima meta-analisi completa dell'output del settore, quantificando come l'intelligence venga effettivamente prodotta e condivisa.
In che modo la specificità del vendor influisce sull'analisi della CTI?
La specificità del vendor nell'analisi della CTI limita le visioni d'insieme vincolando i report ai prodotti o servizi di particolari vendor, creando potenzialmente camere dell'eco e trascurando le minacce a livello di intera catena di approvvigionamento. Questo focus specializzato si traduce spesso in zone d'ombra regionali, dove la sede geografica di un vendor o la sua base di clienti primaria dettano quali minacce vengono monitorate e segnalate. Di conseguenza, le organizzazioni che si affidano a un'unica fonte di intelligence possono ricevere una prospettiva distorta del panorama globale delle minacce, portando a valutazioni del rischio frammentate che non riescono a tenere conto delle vulnerabilità interconnesse in tutto l'ecosistema digitale.
Lo studio ha rilevato che i bias di reporting sono profondamente radicati negli interessi commerciali e nella visibilità tecnica delle singole aziende di sicurezza. I vendor dimostrano un chiaro bias settoriale, dando priorità a industrie come la finanza o il settore governativo in base alla loro specifica portata di mercato. Ad esempio, un vendor con una forte presenza in Nord America può fornire approfondimenti dettagliati sull'Hacking sponsorizzato dallo Stato proveniente dall'Asia orientale, rimanendo virtualmente cieco di fronte alle minacce emergenti in Sud America o in Africa. Questa specializzazione crea un effetto "silo", in cui l'intelligence è profonda ma ristretta, impedendo una comprensione olistica di come gli attori delle minacce migrino tra diversi settori e regioni nel corso del tempo.
Inoltre, questa specificità complica la capacità degli addetti ai lavori di valutare la completezza della propria intelligence. Poiché i report sono spesso personalizzati per dimostrare il valore di uno specifico strumento o servizio di sicurezza, i metadati e gli indicatori tecnici (IoC) forniti possono essere selettivi. Mauro Conti e i suoi colleghi sostengono che questa mancanza di standardizzazione renda difficile il riferimento incrociato dei dati tra i fornitori. Senza un quadro unificato, l'ecosistema CTI rimane una raccolta di singole istantanee piuttosto che un video continuo ad alta definizione dell'attività informatica globale.
Quale ruolo gioca l'automazione nell'analisi di 20 anni di CTI?
L'automazione consente l'elaborazione e l'analisi di vasti set di dati che coprono 20 anni di CTI fornendo avvisi in tempo reale, scoring del rischio e correlazione delle minacce tra diversi vendor. Utilizzando i Large Language Models (LLM), i ricercatori possono trasformare migliaia di documenti non strutturati in un database strutturato di motivazioni degli attori delle minacce e profili delle vittime. Questo approccio guidato dall'IA è essenziale per smascherare i bias storici e identificare modelli a lungo termine invisibili all'analisi manuale, trasformando efficacemente decenni di dati grezzi in approfondimenti operativi.
La pipeline basata su LLM del team di ricerca è stata specificamente progettata per gestire le sfumature linguistiche della reportistica tecnica attraverso diverse epoche. Nel periodo di vent'anni studiato, la terminologia utilizzata per descrivere Tattiche, Tecniche e Procedure (TTP) si è evoluta in modo significativo. L'automazione ha permesso ai ricercatori di normalizzare questi termini, assicurando che una "backdoor" descritta nel 2005 potesse essere accuratamente confrontata con un moderno meccanismo di minaccia persistente. Questo livello di estrazione granulare è fondamentale per comprendere l'evoluzione della densità di informazioni, poiché i report sono passati da brevi riassunti aneddotici a documenti carichi di dati e riempiti con migliaia di indicatori di compromissione.
Oltre alla semplice estrazione dei dati, l'automazione facilita un'analisi della copertura marginale che quantifica il valore dell'aggiunta di nuove fonti di intelligence. Lo studio ha utilizzato l'apprendimento automatico per determinare in quale punto un report aggiuntivo di un vendor smette di fornire nuove informazioni e inizia semplicemente a ripetere dati noti. Questo approccio quantitativo è vitale per i centri operativi di sicurezza (SOC) che devono bilanciare il costo di molteplici feed di intelligence rispetto all'effettivo guadagno di intelligence che forniscono. I risultati dei ricercatori suggeriscono che l'automazione sia l'unico modo praticabile per mantenere la consapevolezza situazionale in un ambiente informativo sempre più rumoroso.
L'evoluzione della densità di informazioni e dei moventi delle minacce
Negli ultimi due decenni, la natura del reporting della Cyber Threat Intelligence (CTI) ha subito una trasformazione drammatica sia in termini di volume che di profondità tecnica. Lo studio evidenzia diverse tendenze chiave nel modo in cui i dati vengono presentati al pubblico:
- Aumento del dettaglio tecnico: I report moderni contengono una densità molto più elevata di Indicatori di Compromissione (IoC) e TTP rispetto ai report dei primi anni 2000.
- Tracciamento delle motivazioni: I ricercatori hanno identificato una chiara correlazione tra specifici attori delle minacce e le loro motivazioni primarie, come spionaggio, profitto finanziario o hacktivism.
- Svolta strategica: Negli ultimi anni si è registrata una crescente enfasi sull'Hacking sponsorizzato dallo Stato, con report sempre più focalizzati sulla geopolitica digitale e sulle implicazioni per la sicurezza nazionale.
- Standardizzazione dei dati: Sebbene la densità sia aumentata, la mancanza di standard di reporting incoerenti continua a ostacolare l'interoperabilità di questi dati in tutto il settore.
Perché esiste una sovrapposizione nel reporting delle minacce informatiche?
La sovrapposizione nel reporting delle minacce informatiche deriva dalla condivisione di intelligence tra i vendor per superare le limitazioni dei dati individuali e ottenere vantaggi competitivi attraverso il clustering e le strutture comunitarie. Questa ridondanza riflette spesso una commoditizzazione della CTI, dove più aziende riferiscono sugli stessi incidenti di alto profilo per mantenere la pertinenza percepita sul mercato. Sebbene questa condivisione possa migliorare la conoscenza collettiva, crea anche dei "echi" in cui gli stessi dati distorti o incompleti vengono ripetuti in dozzine di fonti, dando un falso senso di consenso.
L'analisi della copertura marginale dello studio ha rivelato che la sovrapposizione dell'intelligence è sorprendentemente alta tra i principali fornitori. Quando viene rilevata una grande campagna sponsorizzata dallo Stato, quasi ogni principale vendor pubblica un report, spesso facendo affidamento sulla stessa telemetria sottostante o sugli stessi IoC pubblici. Ciò porta a una situazione di rendimenti decrescenti per i difensori; dopo i primi report, l'intelligence successiva fornisce spesso poco o nessun valore "marginale" in termini di nuovi approfondimenti tecnici. Questa ridondanza può essere effettivamente dannosa, poiché consuma il tempo degli analisti senza fornire una comprensione più profonda della minaccia.
Questa sovrapposizione indica anche un bias strutturale nel settore, dove le minacce "visibili" — quelle facili da rilevare o già di tendenza — ricevono la parte del leone dell'attenzione. Nel frattempo, campagne di cyber-spionaggio a lungo termine più sottili che prendono di mira settori di nicchia possono passare del tutto inosservate perché non rientrano nei modelli di reporting o nelle priorità commerciali dei principali vendor. Mauro Conti e il suo team sottolineano che questa concentrazione di sforzi su pochi attori di alto profilo lascia porzioni significative dell'infrastruttura digitale globale vulnerabili a minacce meno "popolari" ma ugualmente pericolose.
Direzioni future per la visibilità della sicurezza globale
Per andare oltre la camera dell'eco, i ricercatori suggeriscono diversi cambiamenti critici nel modo in cui la Cyber Threat Intelligence (CTI) viene prodotta e consumata. Primo fra tutti è la standardizzazione del reporting. Senza un linguaggio comune e un formato strutturato, la frammentazione dell'ecosistema peggiorerà solo con la crescita del volume dei dati. L'implementazione di protocolli di condivisione automatizzata in tempo reale, incentrati su approfondimenti unici piuttosto che su osservazioni ridondanti, potrebbe aiutare a colmare le attuali lacune informative.
Inoltre, il ruolo dell'IA e dell'automazione deve passare dalla semplice estrazione di dati al rilevamento dei bias. Le future piattaforme CTI dovrebbero essere in grado di avvisare gli utenti quando le loro fonti di intelligence forniscono una visione distorta del panorama basata su bias geografici o settoriali. Integrando queste pipeline LLM ad alta precisione nei flussi di lavoro di difesa standard, le organizzazioni possono valutare meglio la completezza dei propri dati e cercare fonti diversificate che forniscano un vero valore marginale. In definitiva, l'obiettivo è trasformare la geopolitica digitale da una raccolta di narrazioni specifiche dei vendor in una scienza globale e trasparente della difesa informatica.
Comments
No comments yet. Be the first!