Cos'è la cyber intelligence
La cyber intelligence è la raccolta, l'analisi e l'uso strategico di informazioni relative al cyberspazio per supportare decisioni di sicurezza e di business. Include il monitoraggio delle minacce digitali, la protezione del brand online, il tracciamento degli avversari e la valutazione dell'esposizione dell'azienda nei mercati criminali underground.
A differenza della threat intelligence operativa — che si concentra su indicatori di compromissione tecnici (hash di malware, IP di C2, domini malevoli) — la cyber intelligence ha un perimetro più ampio e un focus strategico: risponde a domande come "Chi potrebbe volerci attaccare e perché?", "Esistono discussioni nei forum criminali che riguardano la nostra azienda?", "Qualcuno sta vendendo accesso alle nostre reti?".
In sintesi: la threat intelligence alimenta il SIEM e l'EDR con dati tecnici; la cyber intelligence informa il CISO, il CEO e il board su rischi e minacce a livello strategico.
Cyber intelligence vs threat intelligence: le differenze pratiche
| Aspetto | Threat Intelligence | Cyber Intelligence |
|---|---|---|
| Focus | Minacce tecniche (IOC, TTP) | Rischio strategico e di business |
| Audience | Analisti SOC, team tecnico | CISO, CEO, board |
| Output | Alert, feed IOC, report tecnici | Report strategici, assessment rischio |
| Fonti | Feed CTI, SIEM, honeypot | OSINT, dark web, social media, forum |
| Orizzonte | Ore/giorni | Settimane/mesi |
| Domanda tipo | "Questo IP è malevolo?" | "Qualcuno ci sta prendendo di mira?" |
In pratica, un programma di cyber intelligence maturo integra entrambe le dimensioni: la parte tecnica (threat intelligence operativa) alimenta la detection quotidiana; la parte strategica informa le decisioni di investimento in sicurezza e la gestione del rischio.
I componenti principali di un programma di cyber intelligence
OSINT (Open Source Intelligence)
L'OSINT è la raccolta di informazioni da fonti pubblicamente accessibili: siti web, social media, registri WHOIS, certificati SSL, job posting, GitHub, Pastebin. Per la sicurezza aziendale, l'OSINT permette di mappare la superficie d'attacco esterna — tutti gli asset esposti su internet che un attaccante può vedere prima ancora di iniziare l'attacco.
Strumenti comuni: Shodan (dispositivi esposti su internet), Censys (certificati e servizi), theHarvester (email e sottodomini), Maltego (correlazione di entità), OSINT Framework (raccolta strutturata da fonti multiple). Molti di questi sono accessibili gratuitamente o con licenze entry-level.
Dark Web Monitoring
Il dark web ospita i principali marketplace criminali dove vengono venduti accessi a reti aziendali compromesse (Initial Access Brokers), credenziali rubate, dati di clienti esfiltrati e tool di attacco. Il dark web monitoring automatizzato monitora questi marketplace per rilevare:
- Credenziali email aziendali in vendita o già pubblicate
- Menzioni del nome dell'azienda o dei brand nei forum criminali
- Accessi VPN o RDP all'infrastruttura aziendale messi all'asta
- Dati di clienti o documenti aziendali in dump pubblici
- Discussioni su vulnerabilità specifiche dell'infrastruttura target
Secondo Cybersecurity Ventures, circa 15 miliardi di credenziali trafugate circolano attualmente sui marketplace criminali. Molte appartengono a dipendenti di PMI che hanno usato email aziendali su piattaforme terze poi compromesse.
Brand Protection e Digital Risk
La cyber intelligence include anche la protezione del brand digitale: il monitoraggio di domini typosquatting (framesec-sicurezza.it, framesec-support.it), profili social fake, app mobile contraffatte, campagne di phishing che impersonano l'azienda verso i suoi clienti. Un dominio typosquatting non rilevato può essere usato per ingannare i clienti e danneggiare la reputazione aziendale.
Threat Actor Tracking
I gruppi criminali più organizzati — ransomware gang, APT statali, broker di accesso — hanno pattern operativi riconoscibili: infrastrutture C2, strumenti preferiti, tipologia di vittime. La cyber intelligence strategica traccia questi gruppi per anticipare se e quando potrebbero prendere di mira la propria organizzazione o il proprio settore.
Casi d'uso pratici per le PMI italiane
La cyber intelligence non richiede un team di 10 analisti. Ecco i casi d'uso più concreti per una PMI con risorse limitate:
Caso 1: Rilevamento precoce di credenziali compromesse
Un dipendente usa la stessa password per l'email aziendale e per un e-commerce poi violato. Le credenziali finiscono su un forum criminale. Il dark web monitoring lo rileva entro 24-48 ore dalla pubblicazione, permettendo di forzare il cambio password prima che vengano usate per un attacco BEC (Business Email Compromise) o per accedere alla VPN aziendale.
Caso 2: Rilevamento di un accesso in vendita
Un Initial Access Broker ha compromesso la rete dell'azienda (spesso tramite VPN vulnerabile) e sta vendendo l'accesso su forum criminali prima di rivenderlo a una gang ransomware. Il dark web monitoring rileva l'annuncio e avvia l'incident response prima che l'accesso venga usato per un attacco devastante.
Caso 3: Protezione da typosquatting
Un attaccante registra un dominio simile a quello aziendale e avvia una campagna di phishing verso i clienti. Il brand monitoring rileva il dominio entro poche ore dalla registrazione, permettendo di avviare la procedura di takedown e avvisare i clienti.
Caso 4: Intelligence per la NIS2
Il D.Lgs. 138/2024 richiede alle organizzazioni obbligate di mantenere "consapevolezza delle minacce informatiche rilevanti" (art. 21). Un programma di cyber intelligence — anche nella forma minimale di iscrizione ai feed CERT-AGID e monitoraggio dark web — soddisfa questo requisito normativo in modo documentabile.
Per le PMI che iniziano, il rapporto costo/beneficio migliore è il dark web monitoring mensile delle credenziali aziendali + iscrizione ai feed CERT-AGID. Questi due strumenti coprono i vettori di attacco più comuni (credential stuffing, phishing mirato) con costi minimi.
Come implementare la cyber intelligence in una PMI
Un programma proporzionato per una PMI si articola in tre livelli:
Livello 1 — Base (costo quasi zero)
- Iscrizione ai feed CERT-AGID e CSIRT Italia (gratuiti, in italiano)
- Monitoraggio Google Alerts per menzioni del brand e dei dirigenti
- Verifica periodica su HaveIBeenPwned per email aziendali
- Revisione trimestrale della superficie d'attacco con Shodan
Livello 2 — Intermedio (500-1.500 €/mese)
- Dark web monitoring automatizzato con alerting in tempo reale
- Brand monitoring per typosquatting e profili social fake
- Feed CTI commerciale per il settore di riferimento
- Integrazione degli IOC nel SIEM o nell'MDR
Livello 3 — Avanzato (incluso in MDR di fascia alta)
- Analyst-driven intelligence su threat actor specifici
- Threat modeling basato sullo scenario di attacco più probabile
- Intelligence sharing con ISAC di settore
- Report strategici periodici per il board
Navigare autonomamente nel dark web per raccogliere intelligence è tecnicamente complesso e comporta rischi legali e di sicurezza. Affidati a provider specializzati che accedono a queste fonti con strumenti professionali e in modo conforme alla normativa.
Domande frequenti
Cos'è la cyber intelligence?
La cyber intelligence è la raccolta, analisi e uso strategico di informazioni relative al cyberspazio per supportare decisioni di sicurezza e di business. Include OSINT, dark web monitoring, protezione del brand e tracciamento degli avversari. Si differenzia dalla threat intelligence operativa per il focus strategico e di business.
Cyber intelligence e threat intelligence sono la stessa cosa?
Sono correlate ma non identiche. La threat intelligence si concentra su minacce tecniche (IOC, malware, campagne). La cyber intelligence ha perimetro più ampio: brand monitoring, credenziali sul dark web, analisi degli avversari, frodi digitali. In un programma maturo convivono entrambe.
Il dark web monitoring serve davvero alle PMI?
Sì. Circa 15 miliardi di credenziali trafugate circolano nei marketplace criminali. Il dark web monitoring rileva quando credenziali aziendali vengono pubblicate, permettendo di forzare il cambio password prima di un attacco. È uno degli investimenti con il ROI più alto per le PMI.