Il ruolo della CTI nella difesa cyber
Il ruolo della CTI nella difesa è trasformare la conoscenza sugli avversari in azione: alimenta le regole di detection con IOC freschi, guida il threat hunting con le TTP, prioritizza le vulnerabilità realmente sfruttate e informa le decisioni del board. Non è un report da archiviare: è intelligence applicata che rende la difesa proattiva invece che reattiva.
Conoscere non basta: serve applicare
La differenza tra una difesa reattiva e una proattiva non è quanti strumenti hai, è quanto sai dell’avversario e quanto rapidamente lo applichi. La Cyber Threat Intelligence è il motore che trasforma la conoscenza sugli attori in azione difensiva concreta. Non è un PDF da archiviare a fine trimestre: è un flusso continuo che entra nelle regole di detection, nelle ipotesi di hunting e nelle decisioni di spesa. Per la definizione vedi Cos’è la CTI.
Il ciclo dell’intelligence
La CTI non nasce da un feed comprato: nasce da un processo. Il ciclo dell’intelligence porta un requisito grezzo fino a un’azione difensiva, e poi torna indietro per affinarsi. È la disciplina che distingue l’intelligence dalla semplice raccolta di dati.
Ogni stadio conta, ma il punto di svolta è l’azione: un’analisi brillante che non entra in una regola di detection o in una query di hunting resta carta. È qui che la maggior parte delle organizzazioni si ferma, e dove la CTI fa la differenza.
Strategico, operativo, tattico: tre livelli, tre destinatari
La stessa intelligence parla a interlocutori diversi. Confonderli è il primo errore: il board non legge gli hash, il SOC non decide il budget. Una CTI matura serve tutti e tre i livelli con lo stesso impianto.
- Strategico. Per il board e il CISO: chi ci minaccia e perché, tendenze geopolitiche, attori attivi sul settore, scenari di rischio. Orizzonte lungo, linguaggio di decisione.
- Operativo. Per il SOC e l'Incident Response: campagne in corso, infrastrutture C2, modus operandi e profilazione degli attori. Alimenta hunting e priorità.
- Tattico. Per detection, EDR e firewall: IOC, hash, domini, regole machine-readable. Orizzonte breve, applicazione immediata e automatizzabile.
IOC contro TTP. Un IOC (hash, IP, dominio) è atomico e ha vita breve: l'attore lo cambia in un'ora. Una TTP, mappata su MITRE ATT&CK, descrive il comportamento ed è molto più stabile. Difendersi sulle TTP, non solo sugli IOC, è la differenza tra inseguire l'avversario e anticiparlo.
Quattro modi in cui la CTI difende
A valle del ciclo, l’intelligence applicata lavora su quattro fronti concreti. Non sono fasi separate: la stessa attribuzione di un attore può alimentarli tutti contemporaneamente.
- Detection · gli IOC freschi entrano in SIEM, EDR e firewall; le TTP diventano analytics mappate su MITRE ATT&CK. La detection smette di basarsi su firme generiche e segue gli attori realmente attivi.
- Threat hunting · le TTP osservate di un attore diventano ipotesi di caccia: query proattive sull’infrastruttura del cliente per trovare ciò che la detection automatica non ha ancora visto.
- Prioritizzazione · la vulnerabilità da correggere prima non è quella col CVSS più alto, è quella che gli attori attivi sul tuo settore stanno realmente sfruttando. La CTI dà l’ordine giusto.
- Decisioni del board · il rischio sale al consiglio in linguaggio di governo, con scenari ancorati ad attori reali. Vedi CTI per il board.
Diamond Model e profilazione dell’attore
Per trasformare segnali sparsi in un quadro coerente, l’analisi CTI usa modelli consolidati. Il Diamond Model lega quattro vertici, avversario, capacità, infrastruttura e vittima: collegando un IOC a uno di questi vertici si ricostruisce la campagna e si attribuisce l’attore. La profilazione del threat actor raccoglie nel tempo TTP, infrastrutture e obiettivi di un gruppo, fino a riconoscerne la firma anche quando cambia malware. È così che un’intrusione apparentemente isolata diventa «questo è lo stesso attore di sei mesi fa, ecco cosa farà dopo».
Attenzione ai feed senza contesto. Un elenco di indicatori senza attore, senza settore, senza TTP non è intelligence: è rumore che intasa il SIEM. La domanda non è «quanti IOC ricevo», è «quanti di quegli IOC riguardano davvero chi attacca me». Vedi perché un feed proprietario.
Da descrittiva a operativa
Un’intelligence che descrive e basta è inutile. Quella che conta è applicata: l’attribuzione di un attore diventa subito regola di detection, l’infrastruttura C2 individuata diventa IOC bloccato, la TTP osservata diventa query di hunting. È così che la CTI rende un MDR davvero intel-driven. Nel presidio Fortgale questo flusso è continuo: un SOC italiano 24·7·365 e intelligence proprietaria sugli attori attivi in Italia e in area EU, applicata in tempo reale alla detection. Il servizio: Cyber Threat Intelligence Fortgale.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo: la CTI è ciò che collega i due.
L'attribuzione di Nebula Broker da parte di Fortgale (poi confermata da Mandiant come UNC4990) non è un esercizio accademico: i suoi TTP e IOC diventano regole di detection e hunting per i clienti. Intelligence che protegge, non solo che descrive.
Leggi la ricerca →Domande frequenti.
A cosa serve la CTI in concreto?
A quattro cose: alimentare la detection con IOC aggiornati, guidare il threat hunting con le TTP, prioritizzare le vulnerabilità realmente sfruttate, e informare le decisioni del board sul rischio. È intelligence applicata, non un report.
Quali sono i tre livelli della CTI?
Strategico (per il board: chi ci minaccia e perché, tendenze geopolitiche e di settore), operativo (per il SOC e l'IR: campagne attive, infrastrutture, modus operandi degli attori) e tattico (per detection e firewall: IOC, hash, domini, regole). Tre livelli, tre destinatari, un'unica intelligence che scende dal contesto all'indicatore.
Che differenza c'è tra IOC e TTP?
Un IOC (Indicator of Compromise) è un dato atomico, un hash, un IP, un dominio: cambia facilmente e ha vita breve. Una TTP (Tattica, Tecnica e Procedura, mappata su MITRE ATT&CK) descrive il comportamento dell'attore: è più stabile e più difficile da eludere. Difendersi sulle TTP, non solo sugli IOC, significa anticipare l'avversario invece di inseguirlo.
La CTI riduce il rumore degli alert?
Sì: il contesto sugli attori e sulle campagne attive permette di distinguere ciò che è rilevante dal rumore, e di arricchire gli alert con attribuzione e priorità. Meno falsi positivi, decisioni più rapide.
Che rapporto c'è tra CTI e threat hunting?
La CTI fornisce le ipotesi di caccia: le TTP osservate di un attore diventano query di hunting proattivo sull'infrastruttura del cliente, per trovare ciò che la detection automatica non ha ancora visto.
Serve la CTI se ho già un MDR?
La CTI è ciò che rende un MDR intel-driven invece che reattivo: senza intelligence, l'MDR insegue gli alert; con la CTI, anticipa gli attori. Nel modello Fortgale è integrata nel servizio. Vedi Cos'è un MDR.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Servizio CTI Fortgale.
Risorse correlate: Cos'è la CTI · CTI per il board (CIO e CdA) · Perché un feed proprietario · Cos'è un MDR
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.