La CTI di Fortgale rinforza la difesa aziendale prima e durante un attacco informatico: produce intelligence preventiva e supporta i decisori quando l'incidente è in corso. Il team CTI traccia gli attori ostili, genera feed IOC continui, produce advisory verticali, briefing per il CISO e report per il CDA, monitora deep & dark web e gestisce l'esposizione IT e del Brand aziendale.
La CTI Fortgale è erogata come otto servizi specialistici, attivabili separatamente o in combinazione in base al contesto della vostra organizzazione. Dal tracciamento degli attori ostili al monitoraggio dei fornitori critici: ogni modulo risponde a una domanda concreta del CISO, del SOC o del CDA. Sotto ogni servizio, una sezione «Rilevante quando…» per aiutarvi a capire quali vi servono davvero.
Profili strutturati dei gruppi criminali e attori statali attivi contro l'Europa: TTP mappate MITRE ATT&CK, infrastrutture C2 osservate, tooling, vittimologia. Quando possibile, attribuzione tecnica degli attacchi rilevati ai clienti.
Avete subito incidenti con segnali di mira specifica · operate in settori target (finanza, manifatturiero, energia, sanità, PA, difesa) · avete asset di valore (IP, dati sensibili).
Indicatori di compromissione (IP, domini, hash, URL, YARA rules) generati da incidenti reali e ricerca, distribuiti via STIX/TAXII direttamente nelle piattaforme di sicurezza dei clienti. Applicazione automatica, senza intervento manuale.
Avete SIEM/EDR/firewall che supportano TI custom · il vostro SOC vuole arricchire la detection con IOC contestuali · NIS2/DORA richiedono integrazione TI nei controlli.
Report dedicati a singoli settori: manifatturiero, finanza, sanità, energia, PA, infrastrutture critiche. Quando il team CTI rileva campagne mirate, i clienti del settore ricevono advisory ad-hoc con indicazioni operative immediate.
Operate in un settore verticale specifico (manifatturiero, finanza, sanità, energia, PA, infrastrutture critiche) e volete intelligence focalizzata sulle minacce che colpiscono la vostra industria.
Briefing periodici per il CISO, IT Manager, Head of Cybersecurity: stato dell'esposizione, attori attivi contro l'organizzazione, decisioni richieste. Report dedicati per il CDA in linguaggio di rischio business, conformità e impatto.
Il CDA richiede aggiornamenti periodici sul cyber risk · dovete dimostrare governance NIS2/DORA al board · il CISO deve comunicare in linguaggio business, non tecnico.
Presenza continuativa in marketplace criminali, forum underground, leak site ransomware, canali Telegram, reti anonimizzate. Ricerca di credenziali aziendali compromesse, dati esfiltrati, menzioni del cliente, pianificazione di attacchi imminenti.
Temete leak di credenziali aziendali · siete brand visibile · operate in settori target ransomware · volete intercettare la pianificazione di attacchi prima dell'esecuzione.
Discovery e monitoraggio continuo della superficie d'attacco esterna: asset internet-facing, vulnerabilità sfruttabili, shadow IT, certificati scaduti, leak credenziali, misconfig cloud. Prioritizzazione per impatto e sfruttabilità reale.
Avete una superficie esterna ampia (multi-cloud, M&A frequenti, shadow IT non governato) · faticate a prioritizzare le vulnerabilità note · volete essere preventivi, non reattivi.
Monitoraggio della superficie d'attacco non-IT: domini look-alike, fake profili LinkedIn/Telegram, phishing kit con logo cliente, executive impersonation, menzioni reputazionali, deepfake. Take-down coordinato dove possibile.
Brand riconoscibile target di phishing/spoofing · dirigenti con profilo pubblico esposto · il brand impatta la conversione (finanza, retail, lusso, sanità privata) · serve take-down coordinato di abusi online.
Monitoraggio continuo dell'esposizione esterna e degli incidenti pubblici dei fornitori critici: leak credenziali, vulnerabilità sfruttabili, comparsa su leak site ransomware, posture cyber generale. Alert immediato in caso di breach del fornitore — per comprendere il rischio informatico ereditato e attivare le contromisure prima che si traduca in un incidente vostro.
Avete fornitori critici (cloud, software, MSP, servizi finanziari, logistica) la cui compromissione vi espone · NIS2/DORA richiedono governance del rischio terze parti · dovete dimostrare due diligence in caso di breach del fornitore.
In una sessione gratuita rivediamo insieme il vostro contesto — settore, asset di valore, incidenti recenti, esposizione esterna — e identifichiamo quali dei 7 moduli portano valore reale, e quali no.
Una mappa di rilevanza dei moduli per la vostra organizzazione + proposta modulare su misura. Senza obbligo di prosecuzione.
Ogni modulo è attivabile separatamente o in combinazione. Pricing modulare in base al perimetro e al volume.
Sul mercato esistono centinaia di feed di threat intelligence. Quasi tutti aggregano dati di terzi e li rivendono. Fortgale fa qualcosa di radicalmente diverso: genera intelligence originale, ogni giorno.
Ogni incidente gestito dal SOC Fortgale diventa intelligence strutturata: IOC osservati in condizioni reali, TTP documentate, infrastrutture offensive mappate. Non modelli teorici — artefatti estratti da attacchi contro aziende italiane ed europee nelle ultime 24 ore.
Il team CTI Fortgale analizza in autonomia campagne, infrastrutture e strumenti dei principali gruppi criminali e attori statali attivi contro l'Europa. Senza dipendere da vendor o aggregatori: analisi originali, attribuzioni proprie, pubblicazioni indipendenti.
Fortgale utilizza intelligenza artificiale sviluppata internamente per potenziare gli analisti: correlazione di grandi volumi, pattern recognition su campagne note, prioritizzazione alert. Nessun prodotto AI di terze parti: sistemi interni, addestrati sui nostri dati.
Database proprietario di gruppi attivi contro l'Europa, IOC distribuiti in tempo reale, presidio dark web continuo, report bilingui per management e team tecnici.
Il team CTI profila gli attori, analizza i sample, traccia le campagne. Una parte di questa ricerca è condivisa con la community sul blog Fortgale. Non aggreghiamo feed di terzi — pubblichiamo solo ciò che abbiamo verificato direttamente.
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Leggi articolo →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Leggi articolo →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Leggi articolo →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Leggi articolo →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Leggi articolo →
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Leggi articolo →Le sette capability CTI vengono consegnate in quattro formati operativi: PDF bilingui per management e analisti, feed STIX/TAXII consumabili da SIEM/EDR, alert real-time via webhook e briefing live con gli analisti. Ogni deliverable è progettato per inserirsi nei processi esistenti, senza overhead.
Threat report, advisory verticali e briefing esecutivi in formato PDF, italiano e inglese. Due tagli per ogni report: tecnico per analisti SOC e threat hunter (TTP, IOC, MITRE mapping) ed esecutivo per management e CDA (rischio business, azioni prioritarie).
IOC machine-readable consumabili direttamente da SIEM, EDR, firewall e piattaforme TIP. Integrazione standard STIX 2.1 / TAXII 2.1, supporto a Custom Threat Intelligence sulle principali piattaforme MDR. Rotazione continua, indicatori validati.
Notifiche immediate al rilevamento di credenziali aziendali sui leak site, menzioni del cliente nei forum, comparsa di domini look-alike, IOC ad alta priorità. Distribuzione via email, webhook, Slack, Microsoft Teams. SLA di consegna sotto i 15 minuti.
Sessioni periodiche con il team CTI: walkthrough degli advisory, q&a tecnici, deep-dive su attori specifici rilevati nell'ambiente del cliente. On demand: convocazione di un analista per supporto in fase di triage o post-incidente.
L'AI trasforma i dati grezzi in segnali; gli analisti trasformano i segnali in decisioni. Fortgale ha sviluppato internamente gli strumenti AI che amplificano il proprio team — senza cedere il controllo a piattaforme esterne.
Sistemi AI interni correlano milioni di eventi di rete, endpoint e threat feed in tempo reale, identificando pattern che richiederebbero ore di analisi manuale. Gli analisti ricevono segnali già prioritizzati, non rumore grezzo.
I modelli interni riconoscono le fingerprint dei threat actor tracciati — infrastrutture, toolset, comportamenti — accelerando l'attribuzione e riducendo i tempi di risposta da ore a minuti.
Niente algoritmi black-box di terze parti. Ogni analisi è prodotta dal team con metodi documentati e risultati verificabili. Quando Fortgale attribuisce una campagna a un attore, è perché ha le prove tecniche — non per suggerimento di un vendor.
Ogni nuovo incidente arricchisce i modelli interni. La CTI Fortgale diventa progressivamente più accurata per i clienti con relazione continuativa: il contesto storico della loro infrastruttura è parte integrante di ogni nuova analisi.
Le TTP che alimentano la CTI Fortgale partono da incidenti reali: enumerazione, movimento laterale, credential dumping, esfiltrazione. Il video qui sotto è una simulazione del comportamento ricorrente di un attore — il tipo di evidenza che un cliente vede nei nostri report mensili.
L'intelligence ha valore solo quando si traduce in protezione concreta. Fortgale integra la CTI direttamente nel SOC e nel servizio MDR, creando un ciclo continuo: rilevamento → intelligence → difesa migliorata.
Il SOC Fortgale applica l'intelligence CTI alle regole di detection in tempo reale. Ogni nuovo IOC o TTP identificato viene distribuito immediatamente ai sistemi di tutti i clienti monitorati.
Scopri il SOC →L'MDR Fortgale non usa solo le regole del vendor EDR: le arricchisce con l'intelligence proprietaria sui threat actor attivi, aumentando il tasso di rilevamento e riducendo i falsi positivi.
Scopri MDR →Durante un incidente, la CTI accelera l'attribuzione e il contenimento. Sapere chi sta attaccando e come opera riduce drasticamente il tempo di risposta e limita il danno complessivo.
Contatta il team IR →La maggior parte dei vendor CTI rivende feed aggregati da terzi (VirusTotal, Mandiant, Recorded Future). Fortgale genera intelligence originale da tre fonti primarie: incidenti gestiti dal SOC quotidianamente, ricerca indipendente su threat actor, monitoraggio continuo di deep & dark web. Intelligence contestuale, aggiornata, applicabile.
Gli Indicatori di Compromissione (IP, domini, hash, URL, YARA rules) sono prodotti dagli incidenti reali e dalla ricerca su infrastrutture offensive. Vengono distribuiti automaticamente ai SIEM/EDR/firewall dei clienti via STIX/TAXII e applicati come Custom Threat Intelligence sulle piattaforme MDR, bloccando le minacce note prima dell'impatto.
Ricerca credenziali aziendali compromesse in marketplace criminali, monitoraggio forum dove gli attori pianificano attacchi, rilevamento di dati esfiltrati su leak site ransomware, tracking di canali Telegram e reti anonimizzate, alert real-time sulla comparsa del nome cliente.
Due formati: report tecnici per team di sicurezza (analisti SOC, threat hunter, CISO tecnici) con IOC, TTP MITRE-mapped e indicazioni operative; report esecutivi per il management con linguaggio di rischio, impatto business e azioni prioritarie. Pubblicati in italiano e inglese.
Sì. Il servizio CTI è disponibile sia come componente integrata del SOC/MDR (intelligence applicata automaticamente alle regole di detection), sia come servizio standalone per aziende con team di sicurezza interno che vogliono arricchirlo con IOC feed proprietari, advisory verticali e report su threat actor.
L'ASM Fortgale fa discovery e monitoraggio continuo della superficie d'attacco esterna del cliente: asset internet-facing, vulnerabilità sfruttabili, shadow IT, certificati scaduti, leak di credenziali, misconfig cloud (S3, Azure Blob, GCP). Tutto correlato con la threat intelligence interna per prioritizzare ciò che è realmente sfruttabile dagli attori attivi contro il settore del cliente — non un elenco di vulnerabilità teoriche, ma una lista di rischi concreti.
Monitoraggio della superficie d'attacco non-IT: domini look-alike, profili LinkedIn/Telegram falsi che impersonano dirigenti, phishing kit che usano il logo del cliente, executive impersonation, deepfake, menzioni reputazionali in canali criminali. Dove possibile, take-down coordinato con i provider (registrar, piattaforme social, hoster).
Sì. Il servizio Executive Briefing & Board Reporting genera report dedicati per il Consiglio di Amministrazione e i comitati di rischio, in linguaggio di rischio business: stato dell'esposizione, attori attivi contro l'organizzazione, conformità a NIS2 e DORA, decisioni richieste, impatto economico potenziale. Strumento operativo per la governance cyber al livello board.
L'attribuzione tecnica è parte del Threat Actor Profiling. Quando il team CTI rileva un incidente, correla TTP osservate (mapped MITRE ATT&CK), infrastruttura C2, tooling, codice malware e vittimologia con i profili attori già tracciati. Quando le evidenze sono sufficienti, viene formulata un'attribuzione documentata. Quando non lo sono, vengono indicate le ipotesi più probabili senza forzature — l'attribuzione affrettata è una delle cattive pratiche più comuni nella CTI commerciale.
Il monitoraggio dark web, gli IOC proprietari e i report Fortgale danno accesso all'intelligence che normalmente solo le grandi enterprise possono permettersi. Parla con il team CTI e scopri cosa stiamo tracciando oggi.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.
