Poche settimane fa ha fatto notizia l’avvio di una campagna di reclutamento da parte dei nostri servizi d’intelligence di personale formato nel campo della sicurezza informatica. Tra le competenze richieste dai nostri 007 ce n’è una in particolare che merita un approfondimento, perché se ne parla spesso, la maggior parte delle volte a sproposito. Dunque cosa sia e come si applichi la cyber threat intelligence ce lo siamo fatti raccontare da un esperto del settore.
Eyepyramid: la più grande operazione di cyberspionaggio in Italia
Federico Ramondino lo abbiamo già incontrato diverse volte. Suo malgrado, è il protagonista di una vicenda giudiziaria che promette di fare scuola nel mondo della sicurezza informatica. Tra il 2016 e il 2017, infatti, contribuisce con la sua consulenza resa alla Procura della Repubblica di Roma e al Cnaipic (la branca della polizia postale che tutela le nostre infrastrutture critiche), allo smantellamento della più grande rete di cyber spionaggio mai individuata in Italia, portando allo scoperto il malware Eyepyramid, che nel corso di un decennio aveva agito indisturbato infettando migliaia di computer ed esfiltrando una mole incalcolabile di dati sensibili da molte infrastrutture critiche.
La vicenda portò all’arresto e alla condanna in primo grado dei fratelli Giulio e Francesca Maria Occhionero. Il primo, ingegnere informatico oggi residente negli Emirati Arabi, dal carcere denunciò il pm titolare dell’inchiesta a suo carico, Eugenio Albamonte, e i vertici del Cnaipic. A processo, però, c’è finito il solo Ramondino, che a distanza di sei anni sta ancora cercando di dimostrare di aver svolto correttamente il compito assegnatogli nel corso di un processo, che si sta tenendo a Perugia, non privo di qualche anomalia.
Siamo in (cyber)guerra
Se riguardo questa vicenda il suo riserbo è massimo, Ramondino, che nonostante la vicenda giudiziaria continua la propria attività e, con la Mentat, prosegue a occuparsi in prima persona di cybersecurity per importanti clienti di caratura nazionale, ha accettato di confrontarsi con noi su questo tema e ci ha spiegato, tra le altre cose, perché proprio ora l’intelligence stia reclutando esperti in un settore sempre più al centro delle cronache: “Il reclutamento in realtà è già stato avviato tanti anni fa, posso confermartelo perché conosco diverse persone del settore che hanno fatto colloqui e sono finite a lavorare con i servizi. Probabilmente ora fanno questo reclutamento in maniera più strutturata perché si sono a loro volto strutturati meglio, anche con la creazione dell’Agenzia per la cybersicurezza nazionale. Adesso stanno affrontando la cosa sotto un’ottica diversa. Di sicuro oggi poi c’è una maggiore richiesta di queste competenze, perché molte delle attività di guerra si svolgono soprattutto nel perimetro tecnologico e pertanto c’è bisogno di personale formato. Basta guardare alla situazione geopolitica in cui ci troviamo”.
In effetti le parole di Ramondino sono state confermate dall’ultimo rapporto del CLUSIT che, analizzando i dati del 2023 relativi agli attacchi informatici registrati in Italia, ha parlato di una situazione di “guerra cibernetica diffusa”. Letteralmente: “siamo di fronte a problematiche che per natura, gravità e dimensione travalicano costantemente i confini […] della stessa cyber security, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica”.
Ordine dal caos
Tornando alla threat intelligence, Ramondino ci ha spiegato in cosa consista: “La threat intelligence è una disciplina vasta, come il nome stesso suggerisce si occupa di recuperare le informazioni da diverse fonti e poi valutare queste informazioni che, per come arrivano, non sono strutturate, perché vengono da fonti diverse tra loro e possono riguardare anche argomenti differenti. È una disciplina che cerca di tirare fuori delle informazioni da questo flusso informe. Informazioni che siano utili alla difesa. E quando parlo di informazioni intendo davvero a 360 gradi: che vadano dalle analisi di notizie, fatti nel panorama mondiale, fino a cose più tecniche, come esemplari di malware che si ritiene attribuibili a vettori statali o para-statali, a determinati gruppi di attacco, ecc. Quindi il ventaglio è enorme. La threat intelligence di per sé è un grosso bacino in cui si mischiano queste informazioni da cui poi si deve tirar fuori degli indicatori di compromissione o delle azioni per consentire di individuare attacchi di un determinato tipo e difendersi, possibilmente prevenendo”.
Una disciplina, per come ci spiega Ramondino, non riservata esclusivamente a personale formato sotto il profilo tecnico. Ma allora quali sono le professionalità che possono essere impiegate in questo specifico campo? “Per farla bene c’è bisogno di un team di analisti di vario genere, non solo tecnici. Dobbiamo immaginare proprio gli analisti vecchio stampo tipo quelli del film I tre giorni del Condor. Affiancati da personale tecnico che sappia anche maneggiare gli strumenti informatici, malware, vulnerabilità e via dicendo”.
Sorvolando sulla sorte degli analisti del celebre film di Sydney Pollack del 1975, con uno straordinario Robert Redford, il concetto è chiaro. Altrettanto chiaro il fatto che non esista, ad oggi, una facoltà universitaria o un corso di studi specificatamente dedicati alla formazione in questo campo. Dipende molto, anzi soprattutto, dall’attitudine del singolo.
Un mercato saturo
Contestualmente all’esigenza della nostra intelligence di strutturare personale in grado di muoversi a proprio agio negli abissi della rete, si è assistito, negli ultimi anni (diciamo anche negli ultimi due/tre anni), al fioccare di tante aziende – medie, piccole, qualcuna piuttosto grande – che operano nel settore della sicurezza informatica e che offrono questo genere di servizio. Ma quando nasce l’esigenza di affidarsi alla threat intelligence? È un bisogno reale frutto delle sfide del presente o bisogna intenderla come una moda passeggera? Anche qui Federico Ramondino ci ha detto come la pensa:
“La richiesta di questo servizio non è nuova. Noi lavoriamo in questo settore da almeno una decina di anni. Le aziende che fanno questo in Italia ci sono, ma come spesso succede c’è una grande varietà di offerta e quindi quelle che la fanno bene sono poche, si contano sulle dita di una mano. Molte aziende offrono servizi di threat intelligence e poi consegnano al cliente una vagonata di dati e informazioni che difficilmente il cliente potrà utilizzare o addirittura comprendere. Mi spiego: se io sono un’azienda ospedaliera, me ne frega poco delle voci di corridoio o delle minacce nel settore energetico. Voglio solo informazioni che riguardano il mio settore e le tecnologie che io utilizzo normalmente. Un servizio ben confezionato dev’essere ritagliato sul profilo del cliente”.
In effetti il panorama delle aziende che negli ultimi tempi si sono gettate a capofitto nel settore è vasto e, come confermato da molti addetti ai lavori, si attende l’esplosione di una bolla. Il trend comincia a essere fuori controllo, la competizione inizia a farsi spietata e la coperta sempre più corta. Molte realtà medio/piccole offrono servizi a buon mercato, ma di dubbio spessore qualitativo. Altre aziende attive a vario titolo nella cybersecurity, per esempio, contattano grandi aziende e, nella speranza di acquisirle come clienti, mostrano analisi non richieste che, quasi sempre, le indicano come obiettivo di imminenti attacchi informatici.
La nostra intervista a Federico Ramondino si è conclusa con una domanda molto precisa: un servizio di threat intelligence ha mai sventato una situazione potenzialmente pericolosa? E se si, in quale occasione? “Questo non te lo posso dire. Però lo stesso caso Eyepyramid riguarda in parte la threat intelligence: la possibilità di attribuire un determinato attacco a un vettore di minaccia è uno degli obiettivi di questo servizio, forse il più ambizioso. È importante sapere chi si nasconda dietro un attacco andato a segno, ma anche al solo tentativo di attacco”.
