La threat intelligence è un’attività fondamentale per qualsiasi Security Operations Center, ma spesso gli analisti di sicurezza si ritrovano a lavorare su troppe fonti dati e con strumenti scollegati tra loro. Alla frammentazione si associa il problema della mancanza di contesto, che rende difficile capire se e come una minaccia si applichi allo specifico ambiente informatico da proteggere. CrowdStrike risponde a queste criticità con la nuova release di Falcon Adversary Intelligence, soluzione che aiuta ad avere visibilità sul panorama degli attori malevoli, con oltre 265 profili avversari osservati (cybercriminali, gruppi state-sponsored e hacktivisti), monitoraggio del dark Web, indicatori di contesto e intelligence sulle vulnerabilità.
La nuova versione di Falcon Adversary Intelligence integra nei flussi di lavoro degli analisti insight personalizzati, aiutando ad accelerare le attività di rilevamento, indagine e risposta alle minacce. Per i fornitori di servizi Soc, diventa possibile allineare l’intelligence al profilo di rischio del cliente, ai suoi punti di esposizione e alle vulnerabilità rilevate in tempo reale.
Con questa release Crowdstrike si vanta di inaugurare “una nuova era di threat intelligence operativa, personalizzata per ogni ambiente cliente”. Il vendor invita le aziende e i Soc a “sostituire strumenti frammentati, feed statici e ricerche manuali con un’intelligence personalizzata, alimentata dalla telemetria proprietaria della piattaforma CrowdStrike Falcon”.
Come funziona la threat intelligence personalizzata
Fra le caratteristiche tecniche di Falcon Adversary Intelligence spiccano l’onboarding automatico e la creazione intelligente di regole: attraverso la mappatura dell’infrastruttura e altri dati raccolti dalla piattaforma Falcon, il sistema utilizza dinamicamente il profilo di rischio dell’organizzazione per personalizzare la threat intelligence, mettendo in evidenza le informazioni più significative in base al settore in cui opera l’azienda, allo stack tecnologico e ai rilevamenti di minacce attivi.
Altra funzionalità è la prioritizzazione delle minacce basata su profili contestuali, cioè sui rilevamenti in tempo reale, sulle esposizioni attive e sul profilo aziendale. Se, per esempio, viene identificata una nuova minaccia mirata al settore in cui opera il cliente, tale minaccia viene automaticamente evidenziata nella threat intelligence, con tutti i dettagli sulla sua attribuzione, sulle Ttp (tattiche, tecniche e procedure), su schemi di targeting e intrusion set.
La funzionalità Intelligence Explorer, invece, mette a disposizione in una schermata uno spazio di lavoro unificato per investigare le minacce, analizzare il contesto avversario e correlare i rilevamenti. Nella versione Premium di Falcon Adversary Intelligence sono, inoltre, disponibili le Threat Hunting Guides, che aiutano gli analisti a passare dagli insight all’azione necessaria, in meno tempo e con meno passaggi manuali. Le guide includono query preconfigurate e workflow che aiutano, passo passo, nella creazione di query o correlazioni complesse.
“Gli avversari di oggi usano la velocità e la furtività come armi, sfruttando la GenAI, gli attacchi cross-domain e il social engineering mirato per muoversi più velocemente che mai e restare invisibili”, ha commentato Adam Meyers, head of counter adversary operations di CrowdStrike. “L’intelligence non può più limitarsi a informare: deve generare un’azione. Questo è un modo più intelligente e dinamico di fornire informazioni allineate all’ambiente di ciascun cliente. Aumentando la rilevanza, accelerando la risposta e offrendo un vero ritorno operativo, permettiamo agli analisti di agire più velocemente, fare hunting in modo più efficace e restare un passo avanti rispetto alle minacce più sofisticate di oggi”.