Cos'è la Cyber Threat Intelligence (CTI)
La Cyber Threat Intelligence (CTI) è la disciplina che raccoglie, analizza e contestualizza le informazioni sulle minacce (chi attacca, con quali tecniche e infrastrutture) per anticipare e bloccare gli attacchi. Si traduce in IOC machine-readable, profili di threat actor e advisory di settore. La differenza la fa l'intelligence originale, prodotta da incidenti reali, rispetto ai feed semplicemente rivenduti.
Dall’informazione all’anticipazione
La Cyber Threat Intelligence trasforma dati grezzi sulle minacce in conoscenza azionabile: non «c’è del malware in giro», ma «questo threat actor, con queste tecniche, sta colpendo il tuo settore, ecco gli indicatori da bloccare». È la differenza tra reagire e anticipare, tra subire un attacco e sapere in anticipo da dove arriverà.
Il valore non sta nella quantità di dati, ma nel contesto. Un IP sospetto in una lista è un dato; lo stesso IP collegato a un attore che sta preparando una campagna contro il tuo settore è intelligence. La CTI esiste per fare questo salto, e lo fa attraverso un processo strutturato, non con uno scarico di feed.
- 287tra gruppi avversari e strumenti d'attacco tracciati · EU-relevant
- 3livelli · strategico, operativo, tecnico
- Top 50tecniche MITRE ATT&CK EU-relevant coperte
I tre livelli della CTI
La CTI non parla a un solo pubblico. La stessa minaccia va raccontata in tre modi, ognuno per chi deve agire:
- Strategica · per il board e il CISO. Trend, attori attivi per settore, rischio di business. Risponde a «dove devo investire e perché».
- Operativa · per il SOC e i threat hunter. Campagne attive, TTP, infrastrutture di comando-controllo. Risponde a «cosa cercare e come si muove l’avversario».
- Tecnica · per SIEM, EDR e firewall. IOC machine-readable: IP, domini, hash, regole YARA. Risponde a «cosa bloccare, subito».
Una buona CTI le serve tutte e tre, ciascuna al pubblico giusto. Una CTI che parla solo di IOC è un feed; una che parla solo di trend è un report di mercato. L’intelligence vera lega i tre livelli.
Il principio operativo. Un IOC dice «cosa cercare»; una TTP dice «come si muove l'avversario». I primi scadono in fretta (un IP cambia in ore), le seconde durano (un attore non cambia metodo da un giorno all'altro). La CTI che conta lavora sulle TTP, non solo sugli indicatori.
Come si produce: l’intelligence cycle
La CTI non è uno scarico di dati una tantum, ma un ciclo che si affina sugli incidenti reali:
Il cuore del ciclo è l’analisi: è dove un dato grezzo diventa attribuzione, dove l’analista collega TTP, infrastrutture e obiettivi a un attore con un nome. È il passaggio che nessun feed automatico può fare al posto vostro.
Originale, non rivenduta
Non tutta la CTI è uguale. Molti vendor rivendono feed aggregati da terzi: utili, ma generici e spesso già scaduti. Il valore vero nasce dalle fonti primarie:
- Incidenti realmente gestiti. Le TTP osservate sul campo durante una response, non lette in un report di terzi.
- Ricerca diretta sugli attori. Profilazione, tracciamento delle infrastrutture, analisi degli strumenti offensivi.
- Monitoraggio deep e dark web. Il sottosuolo criminale dove si vendono accessi, dati e servizi di attacco, prima che diventino un incidente.
Diffida del «feed di intelligence». Un elenco di IOC comprato e rivenduto non è intelligence: è un dato senza contesto, spesso già noto e già scaduto. Chiedete sempre da dove viene l'intelligence e quanto è originale: è ciò che distingue chi anticipa da chi inoltra.
È l’intelligence di prima mano che permette attribuzioni come Nebula Broker, prodotta da Fortgale nel 2023 e poi confermata da un vendor globale. Fortgale traccia 287 tra gruppi avversari e strumenti d’attacco rilevanti per l’Europa, applicati ogni giorno nel SOC italiano. Il servizio: CTI Fortgale.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: la CTI è il primo atto messo in pratica, ogni giorno.
I tre livelli di CTI
| Livello | Per chi | Esempi |
|---|---|---|
| Strategica | Board, CISO | Trend, attori per settore, rischio business |
| Operativa | SOC, threat hunter | Campagne attive, TTP, infrastrutture C2 |
| Tecnica | SIEM/EDR | IOC: IP, domini, hash, YARA |
Fortgale ha attribuito per prima l'attore italiano Nebula Broker (2023); Mandiant (Google) lo ha poi confermato come UNC4990. Intelligence originale, non rivenduta.
Leggi la ricerca →Domande frequenti.
Cosa sono IOC e TTP?
Gli IOC (Indicatori di Compromissione) sono dati tecnici osservabili: IP, domini, hash, URL. Le TTP (Tattiche, Tecniche e Procedure) descrivono come agisce un attore, mappate su MITRE ATT&CK. Gli IOC dicono «cosa cercare», le TTP «come si muove l'avversario».
Che differenza c'è tra CTI propria e feed commerciali?
Molti vendor rivendono feed aggregati da terzi. Una CTI propria genera intelligence originale da fonti primarie: incidenti gestiti, ricerca sugli attori, monitoraggio deep e dark web. È più contestuale e applicabile.
La CTI serve solo alle grandi aziende?
No. Anche una media azienda beneficia di sapere quali attori colpiscono il suo settore e di ricevere IOC applicabili al proprio stack. La CTI è disponibile sia integrata nel SOC/MDR sia standalone.
Come si usa la CTI in difesa?
Gli IOC alimentano automaticamente SIEM/EDR/firewall per bloccare minacce note; le TTP guidano il threat hunting; gli advisory verticali avvisano in anticipo quando un attore prepara campagne contro un settore.
Cos'è l'intelligence cycle?
È il ciclo con cui si produce intelligence: direzione (cosa serve sapere), raccolta (fonti primarie e OSINT), analisi (contesto e attribuzione), diffusione (al pubblico giusto, dal board al SIEM) e feedback. Non è uno scarico di dati una tantum: è un processo continuo che si affina sugli incidenti reali.
Cos'è l'attribuzione e perché conta?
Attribuire significa collegare un'attività a un threat actor specifico, dalle sue TTP, infrastrutture e obiettivi. Conta perché cambia la difesa: sapere chi ti sta colpendo permette di anticiparne le mosse, non solo di reagire a un IOC isolato. È la differenza tra «sophisticated attackers» generici e un avversario con nome, tecniche e bersagli noti.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio CTI Fortgale.
Risorse correlate: Cos'è un MDR · CTI per il board (CIO e CdA) · Servizio CTI Fortgale
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.