Risorse · Guida · CTI · 4 min di lettura

Perché un feed di intelligence proprietario, non rivenduto

In breve

Un feed di intelligence vale quanto la sua fonte. I feed generici rivenduti aggregano indicatori di terzi, spesso datati e fuori contesto: rumore che intasa il SIEM. Un feed proprietario field-observed nasce da incidenti reali e da ricerca diretta sugli attori: IOC freschi, attribuiti, rilevanti per il tuo settore. La differenza non è la quantità di indicatori, è quanti di quegli indicatori contano davvero per te.

La tesi

Tutti vendono «threat intelligence». Pochi la producono. La differenza tra un feed che protegge e uno che fa solo rumore non è il numero di indicatori, è da dove vengono: un feed proprietario nato da incidenti reali sa dirti chi ti attacca e perché; un feed rivenduto ti dà una lista. Per la definizione della disciplina vedi Cos’è la CTI.

Il costo del non averlo (o di averlo sbagliato)

Un feed generico riempie il SIEM di indicatori isolati, spesso datati: il SOC annega in falsi positivi e i segnali veri si perdono. Il costo non è solo il canone del feed, è il tempo degli analisti e gli alert importanti mancati. Avere «un feed» non equivale ad avere intelligence: un indicatore senza attore, senza settore, senza TTP è un dato, non una difesa.

Dal feed alla detection: dove un feed serio fa la differenza

Un feed non si misura nel punto in cui arriva, ma in cosa diventa. Un feed field-observed entra in un processo di correlazione che, attraverso il SOC, produce detection mirata. Un feed generico, allo stesso punto, produce rumore.

FEED → CORRELAZIONE → DETECTION FEED PROPRIETARIO IOC attribuiti · TTP STIX/TAXII CORRELAZIONE SOC telemetria + intel analista decide DETECTION MIRATA regole · hunting meno rumore RESPONSE contenimento qui il contesto fa la differenza
Un feed proprietario entra nella correlazione del SOC e diventa detection mirata, non un elenco da filtrare a mano.

Il punto di svolta è la correlazione: un IOC attribuito incrociato con la telemetria del cliente dice all’analista non solo «è successo qualcosa», ma «è questo attore, ecco cosa cerca». Un indicatore anonimo, allo stesso punto, è solo un altro alert da triagiare.

Cosa fornisce di unico un feed field-observed

Un feed nato dal campo porta quattro cose che un’aggregazione di terzi non può avere.

  • IOC freschi e attribuiti. 34k+ indicatori validati a settimana, legati a un attore e a un settore, non a un'origine ignota.
  • Contesto, non solo dato. Ogni indicatore arriva con l'attore, la TTP mappata su MITRE ATT&CK e il settore colpito.
  • Preavviso da deep e dark web. Credenziali in vendita, accessi offerti dai broker, dati esfiltrati: segnali prima dell'attacco, non dopo.
  • Formato operativo. STIX/TAXII machine-readable: gli IOC entrano in SIEM, EDR e firewall senza lavoro manuale.

La rilevanza batte il volume. Il feed migliore non è il più grande: è quello che ti consegna gli indicatori degli attori che colpiscono il tuo settore, già attribuiti e pronti per la detection. Diecimila IOC anonimi valgono meno di cento attribuiti e contestualizzati.

Attenzione alla parola «proprietario»

Verificate la fonte, non l'etichetta. Molti chiamano «proprietario» un feed che è solo riconfezionato. La domanda di controllo è semplice: questo fornitore ha attribuito attori, gestito incidenti reali, pubblicato ricerca originale? Se la risposta è no, state comprando un'aggregazione con un nome nuovo.

Quando serve davvero (e quando basta meno)

Serve quando hai un SOC/SIEM che può consumarlo e agire, o un MDR che lo applica per te. Se non hai ancora detection operativa, prima viene il presidio (un MDR o un SOC), poi il feed lo potenzia: un feed senza chi lo usa resta un file. Onestamente: una microimpresa senza SOC trae più valore dal mettere in sicurezza identità e backup che dal comprare un feed. Nel modello Fortgale il feed non si vende come file: è integrato in un servizio dove un SOC italiano 24·7·365 lo applica in tempo reale alla detection.


Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: un feed conta solo se serve entrambi.

Confronto

Feed generico rivenduto vs feed proprietario field-observed

Feed generico rivendutoFeed proprietario Fortgale
FonteAggregazione di terziIncidenti reali + ricerca diretta
ContestoIndicatore isolatoAttore, TTP, settore colpito
FormatoListe eterogeneeSTIX/TAXII, mappato MITRE ATT&CK
FreschezzaSpesso datata34k+ IOC validati a settimana
Effetto sul SOCRumore e falsi positiviDetection mirata, meno rumore
Prova field-observed · intelligence originale

Fortgale ha attribuito per prima l'attore italiano Nebula Broker (malware BrokerLoader, 2023), poi confermato da Mandiant (Google) come UNC4990. I TTP e gli IOC di quell'attore sono entrati nel feed dei clienti: intelligence prodotta, non comprata.

Leggi la ricerca →
FAQ

Domande frequenti.

Cosa rischio con un feed generico?

Volume senza rilevanza: migliaia di indicatori non contestualizzati che generano falsi positivi, saturano gli analisti e nascondono i segnali che contano. Un feed che non sai da dove viene non è una difesa, è rumore.

Cosa rende 'proprietario' un feed?

Che l'intelligence è prodotta da chi la usa: incidenti gestiti, ricerca sugli attori, monitoraggio deep e dark web. Fortgale traccia 287 tra gruppi avversari e strumenti d'attacco rilevanti per l'area EU.

Cosa sono STIX e TAXII?

Sono gli standard con cui l'intelligence viaggia in modo machine-readable: STIX è il formato che struttura indicatori, attori e TTP; TAXII è il protocollo che li distribuisce. Un feed serio li parla, così gli IOC entrano automaticamente in SIEM, EDR e firewall senza copia-incolla.

Il feed si integra nel mio SIEM?

Sì: gli IOC sono machine-readable (STIX/TAXII) e si integrano nei SIEM/EDR/firewall. Nel modello Fortgale il feed è già integrato nel servizio MDR, applicato in tempo reale alla detection.

Perché contano deep e dark web?

Perché è lì che gli attori vendono accessi, dati esfiltrati e strumenti prima dell'attacco. Il monitoraggio deep e dark web trasforma quei segnali in preavviso: credenziali della tua azienda in vendita o un broker che offre accesso al tuo settore diventano IOC e allerta, non una scoperta postuma.

Serve anche a una media azienda?

Sì. Conta sapere quali attori colpiscono il tuo settore e ricevere indicatori applicabili al tuo stack, non avere il feed più grande. La rilevanza batte il volume.

Come Fortgale lo eroga

Dalla teoria al presidio reale.

Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Feed di Intelligence Fortgale.

Risorse correlate: Cos'è la CTI · Il ruolo della CTI nella difesa · CTI per il board (CIO e CdA) · Cos'è un MDR

Vuoi approfondire con un analista?

Una conversazione tecnica, non un funnel.

Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.

Tempo di risposta: < 1 giorno lavorativo.