Dal claim discende tutto il resto: conoscere l'avversario, anticiparne le mosse, fermarlo prima che il danno diventi notizia. Non un restyling, un cambio di postura.
Per anni il settore cyber ha parlato di eventi. Incidenti. Alert. Breach. Anomalie. Parole costruite per descrivere un fenomeno tecnico, e, nel descriverlo, cancellano l'unica cosa che conta: dall'altra parte c'è qualcuno.
Un evento è impersonale. Capita, si registra, si chiude. Trattare un attacco come un evento significa accettare un ruolo passivo: si reagisce a ciò che è già successo, si ripulisce, si attende il prossimo. È la postura di chi guarda i log dopo.
Ma un attacco non capita. Viene deciso. Ha un autore, un piano, un movente, un
calendario. Dietro ogni T1566 c'è una persona che ha scelto il phishing
come porta d'ingresso. Dietro ogni movimento laterale c'è qualcuno che conosce la
vostra rete meglio di quanto pensiate. L'avversario ha un nome, una storia operativa,
dei bersagli preferiti. Non è rumore: è intenzione.
Fortgale nasce da questo spostamento. Spostiamo lo sguardo dall'evento all'autore, perché solo ciò che ha un nome si può conoscere, anticipare e fermare.
Il linguaggio dell'evento non è neutro: produce un modo di difendersi. Se l'attacco è un fenomeno, la difesa diventa una catena di reazioni. Si comprano strumenti per intercettare i fenomeni, si misura quanti se ne chiudono, si ottimizza la velocità di pulizia. Tutto corretto, tutto insufficiente, perché manca il soggetto.
Non «cosa è successo», ma «chi sta agendo, cosa vuole, dove colpirà la prossima volta».
La prima domanda chiude un ticket. La seconda costruisce un vantaggio.
Rimettere l'avversario al centro non è retorica: è la condizione che rende possibile una difesa che precede l'impatto invece di rincorrerlo. Questo è il punto in cui ci separiamo da chi si limita a reagire.
Se un'azione non si colloca chiaramente in uno di questi tre, non è ancora un'azione Fortgale.
Intelligence proprietaria, non feed di terzi rietichettati, sugli attori che operano realmente contro il mercato italiano. 287 tra gruppi avversari e strumenti d'attacco, nominati e aggiornati da osservazione diretta, incidenti reali e monitoraggio del dark web. Il cliente riceve un report leggibile, non una lista di indicatori.
Conoscere l'avversario è il primo atto della difesa.
La conoscenza serve a sapere prima. Early-warning operativo e threat briefing periodico: l'informazione arriva mentre la campagna si forma, non quando ha già toccato il perimetro. Anticipare significa portare la difesa a monte dell'impatto, trasformare la sorpresa in attesa.
Presidio 24·7·365 con analisti senior che contengono l'attacco in corso, con playbook costruito per quell'attore e quel settore, non runbook generici. I tempi sono la prova: TTD <15 min, contenimento mediano <30 min, rumore ridotto >90% entro il trentesimo giorno.
Fermarlo in tempo è il secondo atto della difesa.
Una lista nominativa degli avversari che contano, non un report di volumi. Ogni mese: chi sta guardando il vostro settore, cosa sta facendo ai vostri pari, cosa significa per la vostra postura. Linguaggio di rischio, non di allarme.
Detection mappata su MITRE, contenimento in minuti, analisti che parlano la vostra lingua operativa. Il runbook è vivo, non un PDF fermo a due anni fa. Chi risponde decide e chiude il caso, nessun handover tradotto, nessun rimbalzo tra livelli.
Esposizione reale tradotta in numeri comprensibili: quali avversari, quali controlli mancano, quanto tempo serve per posarli, quale impatto in caso di incidente. Continuità operativa, non promesse.
Parliamo per nomi, codici MITRE, metriche verificabili. Non rivendichiamo feed di terzi: la conoscenza è un asset che produciamo. Chi risponde al cliente può decidere. Gli analisti sono italiani, la lingua è italiana, il fuso e il contesto normativo sono italiani, non come bandiera, ma come tempo di risposta misurabile.
Non promettiamo sicurezza totale: non esiste. Promettiamo una cosa più onesta e più difficile, sapere chi vi sta attaccando, e fermarlo prima che il danno diventi notizia. In Italia, nessuna azienda dovrebbe scoprire un attacco dai giornali.
Un attacco non è un evento. È qualcuno. E qualcuno si può conoscere, anticipare, fermare.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.
