La maggior parte, o la totalità, delle decisioni in materia di cyber security sono prese senza tenere conto delle informazioni sugli attaccanti che le stanno prendendo di mira. È il dato incredibile che risulta dal report Global Perspectives on Threat Intelligence di Mandiant interpellando i responsabili della sicurezza IT di 1.350 organizzazioni, fra cui 100 italiane.

Non stiamo parlando di piccole e medie imprese, ma di aziende che operano nel campo della finanza, governativo, manifattura, retail&hospitality e telecomunicazioni, che dovrebbero avere un SOC interno di buon livello e solide politiche di contrasto delle minacce cyber. Invece, ben il 79% degli intervistati a livello globale non ha una buona comprensione del panorama delle minacce, nonostante il 67% dei decisori in ambito cyber security a livello globale (il 76% invece il dato italiano) ritenga che i senior leader continuino a sottovalutare le minacce informatiche, e più di due terzi (68% sia a livello globale che in Italia) concordino sulla necessità di dover migliorare la comprensione del panorama delle minacce.

Il problema è grave se si pensa che questo modus operandi si contestualizza in un quadro di forte crescita degli attacchi cyber sia per numero sia per danni arrecati alle vittime. Circoscrivendo i dati all’Italia, negli ultimi 12 mesi, 26 intervistati su 100 hanno subito almeno un significativo attacco cyber. Dovrebbe essere uno stimolo a fare meglio, invece il sentimento dominante sembra la rassegnazione: il 63% si sente completamente o parzialmente sopraffatto dalla quantità di dati e/o alert che devono essere gestiti.

Eppure tutti sanno molto che cosa servirebbe: il 96% reputa che l’azienda debba essere più veloce nell'implementare modifiche alla propria strategia di sicurezza cyber sulla base delle ultime informazioni sulle minacce. Il 39% pensa a come si dovrebbe applicare efficacemente la threat intelligence all'interno dell'organizzazione.

È proprio questa la sfida maggiore, perché le informazioni sugli attaccanti sono frutto della threat intelligence, che non può agire se lasciata a sé stessa: dev’essere integrata con gli altri strumenti di security in modo da fornire dati contestualizzati e utilizzabili dagli analisti per anticipare le mosse degli attaccanti e identificare gli indicatori di compromissione non appena i cyber criminali entrano in rete, quindi all’inizio della catena di attacco.