Autore: Carlos Lillo, direttore della sezione news di ClickCiber e Telefónica AM per Ingecom
In questa intervista, pubblicata su ClickCiber, Borja Rosales, Regional VP EMEA di KELA, spiega come l'azienda riesce a operare nella Darknet, spazio nel quale i cyber criminali si muovono con facilità e nell’anonimato. Da oltre 12 anni l'azienda fornisce ai propri clienti l'intelligence che permette di anticipare e prevenire gli attacchi IT e utilizza, in aggiunta ad altri strumenti, il motore di ricerca proprietario Darkbeast, che è "facile da usare come Google e che è in grado di accedere all'archivio storico di informazioni di intelligence di KELA".
Intervista a Borja Rosales, VP regionale EMEA di KELA
Siamo abituati a sentire parlare di cybersecurity, ma il termine cyber intelligence è ancora nuovo per noi. Cos'è esattamente e come si differenzia dalla cybersecurity?
Per cyber intelligence intendiamo la disciplina che, all'interno del concetto generico di cybersecurity, cerca di rilevare minacce o vulnerabilità note al di fuori del perimetro dell'organizzazione. In altre parole, si occupa di tutelare le informazioni dell’azienda e che possono entrare in possesso di hacker per compiere un attacco o portarlo a termine con maggiori probabilità di successo.
Quali sono le principali minacce rilevate dalle soluzioni di cyber intelligence?
Tra le principali minacce possiamo citare quelle relative alla superficie di attacco, sia che si tratti di credenziali di accesso ai nostri sistemi e reti, sia che si tratti di vulnerabilità degli stessi sistemi che i nostri nemici conoscono.
Chi è l'interlocutore all'interno di un'azienda con cui parlare di cyber intelligence?
Dipende dal livello di maturità dell'azienda. Le aziende più avanzate di solito hanno un team di Threat-Intelligence. Mentre in altre organizzazioni, la responsabilità appartiene al SOC o CiberSOC. Più in generale, il responsabile di solito è il CISO.
KELA è un’azienda specializzata nel monitoraggio della Darknet per individuare le minacce mirate al cliente. Quali strumenti specifici offrite?
KELA offre una serie di strumenti e servizi che permettono di identificare le minacce negli angoli più oscuri, difficili da raggiungere e spesso pericolosi, del cyberspazio. In KELA ci dedichiamo solo ed esclusivamente al monitoraggio dell'ecosistema del cyber crime, monitorando costantemente le attività degli attori che operano in questo spazio, per mettere a disposizione dei nostri clienti e dei nostri partner l'intelligence che consente loro di anticipare le minacce.
L'azienda è stata fondata 12 anni fa a Tel Aviv (Israele) e la sua clientela si concentra negli Stati Uniti, Canada e Giappone. Tuttavia il mercato della cyber intelligence potrebbe essere descritto come emergente in Europa. Perché il mercato europeo ci ha messo così tanto a decollare?
Il mercato europeo non è omogeneo. Così come non tutte le aziende sono allo stesso livello di sviluppo, anche la situazione nei diversi paesi d'Europa è diversa. Diciamo che non c'è uno solo mercato europeo, ma molti mercati europei, ognuno con le sue peculiarità. E’ vero che noi di KELA ci siamo inizialmente concentrati sul mercato statunitense e giapponese, solo pochi mesi fa abbiamo deciso di penetrare anche in Europa.
Qual è il profilo dell'azienda a cui KELA si rivolge?
Data l'alta specializzazione e le caratteristiche della nostra attività, le soluzioni di KELA si adattano principalmente a due tipi di clienti. Da un lato, le grandi aziende e multinazionali che hanno il livello di maturità che abbiamo menzionato prima e che hanno bisogno di avere strumenti per arrivare a fonti di intelligence a cui non hanno accesso. Dall’altro lato ci sono gli MSSP, che utilizzano le nostre soluzioni per aumentare il livello di sicurezza dei loro clienti al fine di anticipare le potenziali minacce.
Quale percentuale di attacchi alla sicurezza aziendale proviene dalla Darknet rispetto a quelli tradizionali?
Questa è una domanda alla quale è quasi impossibile rispondere. C'è una grande interconnessione tra i due tipi di attacchi menzionati. In molti casi, quello che può sembrare un attacco tradizionale ha origine dall'accesso a informazioni di intelligence sulla Darknet. Infatti, lo vediamo sempre più spesso nella "professionalizzazione" o "industrializzazione" degli hacker. In passato un hacker era responsabile della realizzazione di un attacco dall'inizio alla fine, ma adesso vediamo che si stanno specializzando in diverse parti del processo che compone un attacco. Questo rende i cyber criminali molto più difficili da individuare. Troviamo broker di credenziali che vendono l'accesso a siti o aziende, sviluppatori di virus per terzi e criminali informatici che estorcono denaro alle organizzazioni. Il web sta diventando sempre più complesso.
Uno dei pilastri di KELA è Darkbeast, che voi stessi definite come il "Google della Darknet". Come funziona e cosa offre ai clienti?
Darkbeast è un motore di ricerca facile da usare come Google, che accede all'archivio storico delle informazioni di intelligence raccolte da KELA. In Darkbeast possiamo cercare qualsiasi dominio, nome, IP, ecc… insomma tutto quello che vogliamo, nella lingua che vogliamo e, se c'è qualche record nella replica Darknet, che è il repository di KELA, verrà visualizzato sullo schermo istantaneamente.
Darkbeast offre funzioni avanzate e allo stesso tempo semplici da usare, tra cui il riconoscimento dell'intelligenza nelle immagini tramite OCR e moltissimi altri vantaggi. In concreto, offre la possibilità di consultare immediatamente migliaia di fonti del Darknet simultaneamente e ottenere la risposta con una presentazione chiara e immediata da visualizzare. Sulla base dei risultati presenti nel report, si può intraprendere la strada più idonea sulla base delle proprie esigenze.