Perché un feed di intelligence proprietario, non rivenduto
Un feed di intelligence vale quanto la sua fonte. I feed generici rivenduti aggregano indicatori di terzi, spesso datati e fuori contesto: rumore che intasa il SIEM. Un feed proprietario field-observed nasce da incidenti reali e da ricerca diretta sugli attori: IOC freschi, attribuiti, rilevanti per il tuo settore. La differenza non è la quantità di indicatori, è quanti di quegli indicatori contano davvero per te.
La tesi
Tutti vendono «threat intelligence». Pochi la producono. La differenza tra un feed che protegge e uno che fa solo rumore non è il numero di indicatori, è da dove vengono: un feed proprietario nato da incidenti reali sa dirti chi ti attacca e perché; un feed rivenduto ti dà una lista. Per la definizione della disciplina vedi Cos’è la CTI.
Il costo del non averlo (o di averlo sbagliato)
Un feed generico riempie il SIEM di indicatori isolati, spesso datati: il SOC annega in falsi positivi e i segnali veri si perdono. Il costo non è solo il canone del feed, è il tempo degli analisti e gli alert importanti mancati. Avere «un feed» non equivale ad avere intelligence: un indicatore senza attore, senza settore, senza TTP è un dato, non una difesa.
Dal feed alla detection: dove un feed serio fa la differenza
Un feed non si misura nel punto in cui arriva, ma in cosa diventa. Un feed field-observed entra in un processo di correlazione che, attraverso il SOC, produce detection mirata. Un feed generico, allo stesso punto, produce rumore.
Il punto di svolta è la correlazione: un IOC attribuito incrociato con la telemetria del cliente dice all’analista non solo «è successo qualcosa», ma «è questo attore, ecco cosa cerca». Un indicatore anonimo, allo stesso punto, è solo un altro alert da triagiare.
Cosa fornisce di unico un feed field-observed
Un feed nato dal campo porta quattro cose che un’aggregazione di terzi non può avere.
- IOC freschi e attribuiti. 34k+ indicatori validati a settimana, legati a un attore e a un settore, non a un'origine ignota.
- Contesto, non solo dato. Ogni indicatore arriva con l'attore, la TTP mappata su MITRE ATT&CK e il settore colpito.
- Preavviso da deep e dark web. Credenziali in vendita, accessi offerti dai broker, dati esfiltrati: segnali prima dell'attacco, non dopo.
- Formato operativo. STIX/TAXII machine-readable: gli IOC entrano in SIEM, EDR e firewall senza lavoro manuale.
La rilevanza batte il volume. Il feed migliore non è il più grande: è quello che ti consegna gli indicatori degli attori che colpiscono il tuo settore, già attribuiti e pronti per la detection. Diecimila IOC anonimi valgono meno di cento attribuiti e contestualizzati.
Attenzione alla parola «proprietario»
Verificate la fonte, non l'etichetta. Molti chiamano «proprietario» un feed che è solo riconfezionato. La domanda di controllo è semplice: questo fornitore ha attribuito attori, gestito incidenti reali, pubblicato ricerca originale? Se la risposta è no, state comprando un'aggregazione con un nome nuovo.
Quando serve davvero (e quando basta meno)
Serve quando hai un SOC/SIEM che può consumarlo e agire, o un MDR che lo applica per te. Se non hai ancora detection operativa, prima viene il presidio (un MDR o un SOC), poi il feed lo potenzia: un feed senza chi lo usa resta un file. Onestamente: una microimpresa senza SOC trae più valore dal mettere in sicurezza identità e backup che dal comprare un feed. Nel modello Fortgale il feed non si vende come file: è integrato in un servizio dove un SOC italiano 24·7·365 lo applica in tempo reale alla detection.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: un feed conta solo se serve entrambi.
Feed generico rivenduto vs feed proprietario field-observed
| Feed generico rivenduto | Feed proprietario Fortgale | |
|---|---|---|
| Fonte | Aggregazione di terzi | Incidenti reali + ricerca diretta |
| Contesto | Indicatore isolato | Attore, TTP, settore colpito |
| Formato | Liste eterogenee | STIX/TAXII, mappato MITRE ATT&CK |
| Freschezza | Spesso datata | 34k+ IOC validati a settimana |
| Effetto sul SOC | Rumore e falsi positivi | Detection mirata, meno rumore |
Fortgale ha attribuito per prima l'attore italiano Nebula Broker (malware BrokerLoader, 2023), poi confermato da Mandiant (Google) come UNC4990. I TTP e gli IOC di quell'attore sono entrati nel feed dei clienti: intelligence prodotta, non comprata.
Leggi la ricerca →Domande frequenti.
Cosa rischio con un feed generico?
Volume senza rilevanza: migliaia di indicatori non contestualizzati che generano falsi positivi, saturano gli analisti e nascondono i segnali che contano. Un feed che non sai da dove viene non è una difesa, è rumore.
Cosa rende 'proprietario' un feed?
Che l'intelligence è prodotta da chi la usa: incidenti gestiti, ricerca sugli attori, monitoraggio deep e dark web. Fortgale traccia 287 tra gruppi avversari e strumenti d'attacco rilevanti per l'area EU.
Cosa sono STIX e TAXII?
Sono gli standard con cui l'intelligence viaggia in modo machine-readable: STIX è il formato che struttura indicatori, attori e TTP; TAXII è il protocollo che li distribuisce. Un feed serio li parla, così gli IOC entrano automaticamente in SIEM, EDR e firewall senza copia-incolla.
Il feed si integra nel mio SIEM?
Sì: gli IOC sono machine-readable (STIX/TAXII) e si integrano nei SIEM/EDR/firewall. Nel modello Fortgale il feed è già integrato nel servizio MDR, applicato in tempo reale alla detection.
Perché contano deep e dark web?
Perché è lì che gli attori vendono accessi, dati esfiltrati e strumenti prima dell'attacco. Il monitoraggio deep e dark web trasforma quei segnali in preavviso: credenziali della tua azienda in vendita o un broker che offre accesso al tuo settore diventano IOC e allerta, non una scoperta postuma.
Serve anche a una media azienda?
Sì. Conta sapere quali attori colpiscono il tuo settore e ricevere indicatori applicabili al tuo stack, non avere il feed più grande. La rilevanza batte il volume.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Feed di Intelligence Fortgale.
Risorse correlate: Cos'è la CTI · Il ruolo della CTI nella difesa · CTI per il board (CIO e CdA) · Cos'è un MDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.