Il tempo che perdi non è nel rispondere, è nel capire
In un attacco informatico l'avversario non compete solo con le tue difese. Compete con il tuo orolog 2026-7-2 13:55:12 Author: www.certego.net(查看原文) 阅读量:1 收藏

In un attacco informatico l'avversario non compete solo con le tue difese. Compete con il tuo orologio.

Ogni minuto che passa tra il primo segnale e la risposta è un minuto in cui la compromissione si estende: un host in più raggiunto, una credenziale in più sottratta, un backup in più individuato. Per questo l'MTTR — Mean Time to Respond, il tempo medio di risposta — è la misura concreta di quanto a lungo la tua organizzazione resta esposta mentre un attacco è in corso.

E qui arriva la parte controintuitiva. Quando si prova ad abbassare l'MTTR, l'istinto è aggiungere: più sensori, più regole, più alert. Ma la maggior parte del tempo di risposta non se ne va nel rispondere. Se ne va nel capire. E capire più in fretta non è una questione di volume di dati: è una questione di contesto.

L'MTTR è una metrica composta. Assorbe la latenza di ogni fase della catena di risposta: rilevamento, triage dell'alert, investigazione, contenimento, eradicazione, ripristino. Un MTTR alto raramente significa "team lento". Quasi sempre indica un attrito strutturale da qualche parte in quella catena.

Il punto critico è quasi sempre lo stesso: il triage e l'investigazione. È lì che un analista, davanti a un alert, deve rispondere a domande tutt'altro che banali. Questo IP è davvero malevolo o è un falso positivo? Questo dominio a cosa è collegato? Questo hash appartiene a una famiglia di malware nota? A che fase di un eventuale attacco corrisponde quello che sto vedendo?

Se la risposta a queste domande non è già disponibile, l'analista la deve ricostruire. Un controllo reputazionale, una ricerca su un feed, un passaggio in sandbox, un confronto con un report. Ogni singolo passaggio dura pochi minuti — ma moltiplicato per centinaia di alert al giorno diventa il principale moltiplicatore dell'MTTR. E un team sommerso da questo lavoro manuale è anche un team che fatica a distinguere il segnale vero dal rumore.

Prima di entrare nel merito, una precisazione tecnica che spesso si perde: la Threat Intelligence non lavora su un solo tempo. Ne presidia due, distinti e complementari.

La prima funzione è preventiva. Indicatori di compromissione nuovi e verificati — IP, domini, hash — vengono integrati in tempo reale nei controlli di sicurezza già in campo: blocklist dei firewall, IPS/IDS, proxy, risolutori DNS, SIEM. L'effetto è bloccare la minaccia prima che causi danno. Qui la distanza tra alert e decisione non si accorcia: scompare. È il caso, per esempio, dell'aggiornamento automatico delle blocklist dei firewall: in casi reali documentati, l'integrazione degli IOC di Certego ha prodotto un incremento dei blocchi tra il +10% (settore finance) e il +21% (settore manufacturing), arrivando a fermare da 12 a 20 milioni di tentativi di connessione malevola in una sola settimana. Sono attacchi che non sono mai diventati incidenti.

Gallery 1

Gallery 1

La seconda funzione è analitica. Nessuna prevenzione intercetta tutto: quando una minaccia supera la prima linea di difesa ed è già in corso — o va ricostruita a posteriori — la Threat Intelligence fornisce il contesto per capirne natura, origine e portata, e rispondere di conseguenza. È qui che si gioca la distanza tra l'alert e la decisione.

Due funzioni, un solo obiettivo: ridurre quella distanza. Prevenendo, la si elimina. Analizzando, la si accorcia. Il resto di questo articolo si concentra sulla seconda — ma la prima resta il primo guadagno di tempo che un'intelligence di qualità ti mette in tasca.

Un alert senza contesto costringe a ripartire da zero. Un alert con contesto si chiude in pochi minuti.

È esattamente qui che vive la Threat Intelligence. Non come un elenco statico di indicatori da scaricare, ma come lo strato che porta il contesto dentro l'alert, nel momento esatto in cui serve. Quando un indicatore di compromissione (IOC) arriva già accompagnato da un verdetto affidabile, dalla famiglia di malware associata, dall'attore che lo utilizza e dalla fase della kill chain a cui appartiene, l'analista non deve più indagare: deve solo decidere.

Ed è proprio questo spostamento — dall'indagare al decidere — il modo più efficace per comprimere l'MTTR su tutta la linea.

Gallery 1

Quando la minaccia è già dentro il perimetro, la Threat Intelligence non migliora una sola fase del ciclo di risposta: le tocca tutte.

  • Triage. Quando un alert scatta contro un indicatore già caratterizzato, il verdetto e il contesto sono immediatamente disponibili. La decisione di escalation o chiusura non richiede ricerche aggiuntive.

  • Investigazione e Incident Response. Conoscere già famiglia di malware, infrastruttura C2 collegata e fase della kill chain consente di stimare rapidamente la portata della compromissione e i possibili percorsi di movimento laterale, agendo su informazioni complete invece che ricostruirle sotto pressione.

  • Threat Hunting. Gli indicatori più recenti diventano ipotesi di caccia immediate, mentre i dati storici possono essere ri-analizzati alla luce di IOC emersi solo in seguito, facendo emergere minacce sfuggite in passato.

Su ognuna di queste fasi, il risultato è lo stesso: meno tempo speso a ricostruire, più tempo speso a decidere e contenere.

Qui sta il punto che fa la differenza. La qualità della Threat Intelligence non dipende da quanti indicatori raccogli, ma da come li gestisci lungo l'intera filiera.

I feed pubblici tendono a privilegiare la quantità a discapito della qualità. Il risultato è intelligence rumorosa: indicatori non verificati, datati, privi di contesto. Operativamente, è la ricetta perfetta per aumentare i falsi positivi e quindi l'MTTR, non per ridurlo. Trasformare i dati grezzi in informazioni realmente azionabili richiede competenze e automazione lungo tutta la catena. È per questo che in Certego abbiamo costruito un ecosistema proprietario di Threat Intelligence il cui cuore sono due piattaforme: Quokka e IntelOwl.

Quokka è il centro dell'ecosistema. Raccoglie dati da honeypot, sensori di rete ed endpoint, community di information sharing e dark web. Ma la sua funzione chiave non solo è raccogliere: è assegnare un verdetto. Il motore di valutazione di Quokka elabora e correla i dati e produce, per ogni IOC, un giudizio dettagliato e altamente affidabile basato sul contesto del rilevamento e sulle fonti esterne. Solo gli indicatori realmente malevoli vengono classificati come ad alta affidabilità. Questo verdetto è esattamente ciò che mancava al triage manuale.

IntelOwl — nato dalla divisione di ricerca e sviluppo di Certego e oggi anche progetto open source riconosciuto a livello internazionale (oltre 3.500 stars su GitHb) — collabora con Quokka per arricchire e validare i dati raccolti. Automatizza i controlli reputazionali di routine sugli osservabili (IP, domini, hash) interrogando da un'unica interfaccia molteplici fonti esterne, e integra strumenti avanzati di analisi del malware come Yara, Cuckoo e Passive DNS. In altre parole: tutto il lavoro manuale di enrichment che normalmente erode i minuti dell'analista viene eseguito in automatico.

Il valore, ai fini dell'MTTR, nasce da come questa filiera è strutturata:

  • Affidabilità. Ogni indicatore è etichettato per livello di affidabilità (A – massima, B – alta, C – media). Un IOC in classe A può alimentare un blocco automatico con rischio minimo di azione su falso positivo: la risposta diventa immediata e sicura.

  • Contesto. Ogni indicatore arriva arricchito con famiglia di malware, attore, fase della kill chain e data di prima rilevazione. È il contesto che il triage cercava — pronto all'uso.

  • Decadimento. Gli indicatori vecchi vengono rimossi e si conservano solo quelli recenti. Feed sempre freschi significano meno falsi positivi, e meno falsi positivi significano analisti liberi di concentrarsi sui segnali che contano.

C'è una dimensione dell'MTTR di cui si parla poco: la prossimità.

Le minacce non colpiscono tutti i mercati allo stesso modo e nello stesso momento. Le campagne malspam a tema fattura veicolate via PEC, le infrastrutture che prendono di mira per prime il tessuto produttivo italiano, i kit di phishing localizzati: sono fenomeni che il contesto nazionale vive in anticipo rispetto a quando vengono recepiti dai grandi feed globali. E un indicatore che il tuo feed riconosce con qualche giorno di ritardo è un indicatore che, nel frattempo, ti è costato tempo di risposta.

È la differenza tra un atlante mondiale e la mappa dettagliata del tuo territorio. A differenza dei feed di fonti internazionali, i Data Feeds di Certego sono classificati sulle specifiche esigenze delle aziende italiane. Questo vantaggio nasce da due fonti dirette e verificabili:

  • Deception assets — honeypot e spamtrap distribuiti su infrastrutture italiane, che simulano ambienti reali e forniscono un flusso costante di IOC ad alta affidabilità, raccolti osservando come gli attaccanti colpiscono davvero il contesto locale.

  • Sensori — telemetria e log di rete raccolti dagli ambienti di oltre 200 clienti monitorati, con estrazione di IOC da ogni tentativo di attacco reale e verificato.

Tradotto in MTTR: quando un attacco colpisce un'azienda italiana, è probabile che lo stesso indicatore sia già stato visto, verificato e classificato altrove nel perimetro italiano osservato da Certego. Il riconoscimento è immediato, la risposta pure.

Gallery 1

L'MTTR è la metrica che ti dice quanto a lungo resti esposto mentre un attacco è in corso. E la strada per abbassarlo non passa da più alert, ma da più contesto: intelligence tempestiva da bloccare a monte ciò che può essere bloccato, ricca da eliminare i colli di bottiglia dell'investigazione su ciò che la supera.

Non è la quantità di indicatori che cambia il tempo di risposta. È la filiera che ci costruisci intorno — e quanto bene conosce il terreno su cui ti muovi.


文章来源: https://www.certego.net/blog/mttr-threat-intelligence-tempo-risposta/
如有侵权请联系:admin#unsafe.sh