Una riflessione preliminare sul processo di istituzionalizzazione della Cyber Intelligence

«There is nothing more necessary than good intelligence to frustrate a designing Enemy: and nothing that requires greater pains to obtain»
George Washington a Robert Hunter Morris, 1 January 1756

«Cyber is such a perfect prefix. Because nobody has any idea what it means, it can be grafted onto any old word to make it seem new, cool and therefore strange, spooky”
New York magazine, 23 December 1996

Aspetti concettuali e definitori propedeutici a un processo di istituzionalizzazione della cyber intelligence

L’attuale campo disciplinare della Cyber Security (CS) è connotato da un’inflazione di termini definitori di cui Cyber Threat Intelligence (CTI), Cyber Intelligence (CI) e Cyber Counter Intelligence (CCI) ne rappresentano esempi preclari. Tutti e tre, difatti, sono costrutti concettuali chiaramente collegati gli uni agli altri in quanto vi sono sì differenze sostanziali tra gli stessi ma vi sono altrettanti aspetti comuni, sia nei metodi di collazione delle informazioni che nel loro più generale modus operandi. Vi è da dire, inoltre, che le stesse definizione di CTI, CI e CCI che si ritrovano comunemente in documenti ufficiali, articoli scientifici, materiale divulgativo e pubblicitario non sono per nulla univoche e, dunque, con significativi gradi di variabilità interna. Una breve esposizione, di carattere definitorio, può senz’altro esemplificare tale aspetto.

Si può iniziare da quello relativo alla CTI in cui è centrale il concetto di minaccia la quale è «any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, or individuals through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service. Also, the potential for a threat-source to successfully exploit a particular information system vulnerability».

Una definizione di CTI, utilizzata da un fornitore di servizi, è la seguente:
«Threat intelligence is data that is collected, processed, and analyzed to understand a threat actor’s motives, targets, and attack behaviors. Threat intelligence enables us to make faster, more informed, data-backed security decisions and change their behavior from reactive to proactive in the fight against threat actors».

In questo caso, l’accento è posto sull’acquisizione di dati mentre in una definizione utilizzata da una società di consulenza viene evidenziato l’aspetto della conoscenza basata sulle evidenze empiriche, dunque, con modalità non troppo dissimili dalla precedente.
«Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s response to that menace or hazard».

In una terza definizione, essa è maggiormente incentrata sulle motivazioni, intenzioni e metodi messi in atto dagli attori malevoli.
«Cyber threat intelligence is knowledge about adversaries and their motivations, intentions, and methods that is collected, analyzed, and disseminated in ways that help security and business staff at all levels protect the critical assets of the enterprise».

Se si passa a prendere in esame il costrutto di CCI si nota la stessa variabilità. Essa viene definita come «all efforts made by one intelligence organization to prevent adversaries, enemy intelligence organizations or criminal organizations from gathering and collecting sensitive digital information or intelligence about them via computers, networks and associated equipment».

In essa sono contemplate, in buona sostanza, tutte le misure atte a identificare, penetrare o neutralizzare le azioni dell’avversario e il focus è non solo sull’intrusione, ma anche sull’intento dell’attore malevolo e sulle modalità operative da questi utilizzate. Essa si connota, dunque, come un sottocampo della CI, di cui ne rappresenta una postura prettamente offensiva.

Il concetto di CI può essere inteso in termini più generali rispetto a quelli di CCI e CTI in quanto ci si riferisce agli «efforts made by intelligence organizations to prevent adversaries or enemy intelligence organizations from gathering and collecting sensitive information or intelligence about them».

In un’altra definizione l’accento è posto sulle modalità di raccolta delle informazioni, ovvero «the acquisition and analysis of information to identify, track, and predict cyber capabilities, intentions, and activities to offer courses of action that enhance decision-making».

Come si è potuto vedere da questa breve esposizione, ridotta solo per ragioni di spazio, vi sono concetti quali CI, CCI e CTI che si sovrappongono in parte tra di loro ma anche con una forte variabilità nell’utilizzo dello stesso termine.

Vi è, infine, da aggiungere che lo stesso concetto CI è interessato da tali ambiguità semantiche sia dal lato del concetto di “intelligence” il quale viene spesso utilizzato, in maniera intercambiabile, sia con quello di “dati” e di “informazioni sia con quello di cyber (spazio) il quale, anch’esso, viene spesso inteso come un sottocampo di quello di “Information Environment” (IE).

Tornando alla disamina dei tre costrutti concettuali della CI, CTI e CCI, nell’interpretazione degli stessi può essere utile far riferimento a quello che viene chiamato il ciclo dell’intelligence mediante il quale i dati grezzi vengono identificati, raccolti e poi sviluppati in informazione rifinita, messa a disposizione del processo decisionale. In questo senso, si può operare una suddivisione analitica tra intelligenza tattica, operazionale e strategica.

Facendo uso di questo framework operativo si può mettere in evidenza che la CTI sembra essere caratterizzata soprattutto da un livello tattico ed operazionale così come, a livello di scala, essa agisce tipicamente su un livello prettamente organizzativo, mentre la CI è caratterizzata da un livello strategico, in quanto è più legata a un focus olistico e, in qualità di attori, riguarda i vertici aziendali e i decisori politici a livello nazionale. La CTI mira, difatti, al rilevamento di possibili indicatori di minaccia al livello dell’analista operativo e, considerato il flusso continuo di dati, il suo utilizzo necessita di essere abbondantemente filtrato prima di essere utilizzato, come informazione strategica, dai responsabili delle decisioni strategiche.

La CCI, invece, è la stessa CI, intesa in maniera speculare, ovvero impiegata con una postura prettamente offensiva tesa a colpire le attività e le risorse degli avversari. È per questa ragione che il suo utilizzo è più sporadico e viene poco enfatizzata nei documenti ufficiali, negli articoli scientifici e nel materiale divulgativo in quanto tipicamente di competenza delle autorità militari e statuali, ovvero non nell’effettiva disponibilità delle imprese.

Del resto, tale interpretazione viene sottolineata anche in letteratura. «The focus on CTI is more due to a catch-phrase in marketing services than real understanding of the concepts. CTI as is provided cannot be considered true intelligence as it is a stream of data; it is not in context and it is limited in how actionable it is. Whilst network security devices and cyber security analysts can use CTI as an aid in detecting possible threats, the real intelligence is the analysis and interpretation of any indicators that have found matches in the network. Therefore, CTI on its own is of limited use; it needs to correlated with internal data (processing) to provide possible threat detections, which can then be analysed and interpreted to form an improved view of the threat environment».

Come si può evincere da questo lungo estratto la CTI si riferisce ai dati che vengono raccolti, elaborati e analizzati per comprendere le motivazioni, gli obiettivi e i comportamenti di attacco di un attore malevole. L’intelligence relativa alle minacce cibernetiche consente, difatti, di prendere decisioni di sicurezza basate sui dati le quali sono più rapide, più informate così come, più in generale, di cambiare il comportamento di difesa cibernetica da uno meramente reattivo a uno più proattivo. Si tratta di una tipica conoscenza basata sulle evidenze apportate dai dati, vale a dire data-driven, relativa alle minacce esistenti o emergenti o sui rischi per gli asset, sia essi aziendali oppure statuali.

Di tutt’altra natura, invece, l’essenza precipua della CI la quale si situa a un livello superiore e può racchiudere, dunque, al suo interno, come sottocampi specifici sia la CCI che la CTI. In questo senso, la CI riesce a ricomprendere al suo interno gli aspetti tattici e operazionali davvero importanti al fine di includere sia l’ambiente tecnologico e operativo delle minacce sia per identificare ciò che è legato al fattore umano ed è basato, dunque, su una serie di fattori organizzativi interni. Nello stesso tempo, la CI riesce ad esplicare tutta la sua funzione precipua al livello laddove vengono prese le decisioni strategiche, nell’interesse della nazione o dell’azienda.

Il passaggio da una conoscenza tipicamente tecnica e operativa a quella di più alto livello rappresenta un passaggio obbligato compiuto da tutte le discipline che, nel corso del loro sviluppo, hanno consolidato e sistematizzato vieppiù il loro background di conoscenze teoriche tanto da divenire un campo disciplinare ampiamente legittimato a livello internazionale, con un crescente peso all’interno dei boards aziendali e nei livelli apicali delle entità statuali, con propri percorsi di studi universitari, conferenze e riviste scientifiche dedicate. Il che vuol dire, sostanzialmente, l’aver contribuito a creare una diffusa comunità di esperti i quali si riconoscono in una serie di principi scientifici, codici deontologici e di tecniche operative.

È chiaro, dunque, che per un ulteriore consolidamento di un processo di istituzionalizzazione della tematica della CS appare rilevante accentuare, ancor di più, rispetto a quanto fatto finora gli aspetti legati alla CI. L’intelligence a tutto tondo da svolgere anche nel dominio cyber non può che basarsi sulla centralità di tale componente ed essa abbisogna di essere maggiormente innervata dalle competenze di altre discipline, siano esse appartenenti alle scienze “dure” ma anche a quelle latamente umanistiche. Tale percorso, del resto, è lo stesso compiuto, già in precedenza, dalla disciplina madre, ovvero quella degli studi dedicati all’Intelligence. Detto in altri termini, in un campo quale quello della CI dove sembrano predominare gli aspetti tecnico informatici e che da questi traggono la loro stessa esistenza materiale (reti, hardware, software, ecc..) potrebbe essere, invece, nondimeno utile fuoriuscire in direzione di un percorso nettamente multidisciplinare piuttosto che solo disciplinare, peraltro del tutto complementari.

Anche solo da un punto di vista della pratica professionale quotidiana le competenze apportare da altre discipline possono essere, in moltissimi casi, di estremo interesse per la CI, in quanto la metodologia per affrontare i problemi conoscitivi e i processi decisionali sono sostanzialmente gli stessi. L’intelligence è, allo stesso tempo, un prodotto e un processo di raccolta, elaborazione, analisi e utilizzo delle informazioni per soddisfare un obiettivo ben preciso.

In una conferenza del 2012 veniva messo in evidenza proprio questo aspetto comune a più discipline. «Professionals in other fields… also face many similar challenges to those that exist in intelligence analysis, including: difficulties acquiring information from a wide variety of sources, vetting and evaluating the information that is acquired, deriving understanding and meaning from that information, impact of deadlines, editing, and other production processes on accuracy of analysis and assessment, problems in dissemination and distribution to consumers or customers, managing relationship between producer and consumer (role, responsibility, independence & objectivity), developing professional infrastructure (recruit, select, train, & develop personnel; code of ethics), and overcoming impact of changing technology and alternative information distribution systems. How do practitioners in various non-intelligence fields overcome these kinds of challenges? How are their challenges similar to or different from those that exist in the intelligence arena? What can be learned from the comparison?»

In definitiva, molte delle sfide che la CI affronta non sono uniche come si può credere a un primo e superficiale sguardo e questo anche perché una certa insularità e tecnofilia del campo disciplinare può ostacolare la messa in comune di metodologie e pratiche da parte di altre discipline.

Conclusioni

A livello di costrutti concettuali il campo disciplinare della CI è attraversato da tensioni definitorie promosse da parte di tutte le entità e gli attori che ne fanno parte. Tale frammentazione è, tuttavia, indizio sia di una crescita impetuosa che di un carente consolidamento a livello disciplinare. A questo riguardo, ulteriori indagini dovrebbero essere svolte in una prossima fase, anche mediante ricerche qualitative di analisi testuale, al fine di acquisire maggiori informazioni in merito a tale aspetto.

Dalla breve disamina qui condotta sono emerse delle differenze tra il concetto di CI e quello di CTI mentre quello di CCI appare speculare a quello di CI. Tra tutti e tre i termini la CI viene considerata maggiormente adatta a sottolineare il carattere olistico, strategico e di alto livello di tale disciplina emergente mentre quello di CTI sembra far riferimento soprattutto a un livello organizzativo, localizzato su scala locale nonché tattico ed operazionale.

Un altro aspetto che emerge dalla breve ricognizione sul campo, svolta con modalità di fonti aperte, è che la prevalenza delle definizioni attualmente in uso deriva soprattutto dal campo delle agenzie governative e del settore commerciale dei fornitori di tecnologia e servizi della CS e già ciò appare essere un indizio di un parziale o carente processo di istituzionalizzazione di tale tematica. In buona sostanza, nel suo sviluppo continuano a prevalere aspetti istituzionali ed economici piuttosto che esigenze correlate allo sviluppo di un campo scientifico univoco e ben determinato.

Si ritiene inoltre che, riguardo all’ulteriore consolidamento disciplinare della CI, potrebbe giovare non solo una maggiore acribia di tipo concettuale quanto piuttosto un orientamento teorico maggiormente comprensivo dell’apporto di altre discipline scientifiche, in una tipica ottica multidisciplinare. Il passaggio da un insieme di tecniche e metodologie, di attività e di pratiche professionali, in direzione di una disciplina scientifica orientata da una conoscenza istituzionalizzata necessita, difatti, a parere dello scrivente, di una serie di ulteriori passaggi i quali devono per forza ricomprendere sia una chiarificazione concettuale che una maggiore definizione dei suoi confini disciplinari.

Vale qui sottolineare, en passant, che la multidisciplinarità riguarda lo studio di una tematica non in una sola disciplina ma in più discipline contemporaneamente ma essa rimane sempre al servizio, prettamente in funzione ancillare, della disciplina centrale, che in questo caso sarebbe la CI.

Un ulteriore aspetto è quello, infine, dell’orientamento al valore sotteso a questa tematica così come alla socializzazione diffusa delle basilari tecniche e metodologie corrispondenti, ad esempio in termini di cyber igiene divulgata presso tutto il corpo sociale, che la società nel suo complesso considera degna di rappresentare l’interesse collettivo. Quest’ultimo aspetto sembra, oggigiorno, essere in via di consolidamento sia per l’incremento degli attacchi ransomware i quali hanno accresciuto tantissimo il valore sociale e collettivo della sicurezza cibernetica sia per il crescente processo di digitalizzazione del Paese, anche a seguito delle ingenti risorse messe a disposizione del pino Nazionale di Ripresa e Resilienza (PNRR) il quale non potrà che accentuare maggiormente tale orientamento al valore.

In conclusione, la consapevolezza finale che deriva da questa breve esposizione è che per una piena comprensione della valenza strategica della CI essa non possa essere declinata solo dal punto di vista tecnico e tecnologico.

Il campo della CI è, di fatto, socialmente e culturalmente costruito in quanto lo spazio cibernetico è uno spazio costantemente ri-descritto e ri-negoziato e il cui potere può essere appannaggio anche da parte di piccole entità organizzative quali gli attivisti, le gang cybercriminali di media entità oppure potenti entità di emanazione statuale. Intesa in questo senso, il fondamento multidisciplinare della CI ha come precipuo focus di interesse il tessuto costitutivo di molteplici discipline in vista del consolidamento della CI. Ciò implica che quest’ultima debba sempre più mettere in conto una relativa espansione del campo di analisi al fine di includere nuove teorie e nuove metodologie; ciò significa tendere verso una più complessiva integrazione del più ampio contesto socioeconomico entro cui essa si situa ed è storicamente situata.

Continua a leggere o scarica il white paper gratuito “Quaderni di Cyber Intelligence #1

Articolo a cura di Achille Pierre Paliotta

Profilo Autore

Achille Pierre Paliotta, ricercatore INAPP(ex ISFOL), afferente alla Struttura Lavoro e Professioni. Laureato in Sociologia presso l’Università La Sapienza ha conseguito, nel 2015, il Master in Data Science presso l’Università di Tor Vergata. Sta attualmente frequentando il Master in Sicurezza delle informazioni e informazione strategica presso l’Università La Sapienza. I suoi interessi di ricerca vertono su nuove tecnologie, sicurezza informatica, nuove professioni, contrattazione collettiva, welfare occupazionale, data science, blockchain, open data e deep learning.

Condividi sui Social Network:

Articoli simili