Cos'è la threat intelligence
La threat intelligence — nota anche come CTI (Cyber Threat Intelligence) — è l'insieme di informazioni contestualizzate sulle minacce informatiche, raccolte, analizzate e rese azionabili per supportare decisioni di sicurezza. Non si tratta di semplici dati grezzi (indirizzi IP malevoli, hash di file) ma di intelligence nel senso proprio del termine: informazioni elaborate che permettono di capire chi potrebbe attaccare un'organizzazione, con quali tecniche, con quali obiettivi e quando.
Il concetto nasce dal mondo della sicurezza nazionale e militare, ma negli ultimi dieci anni è diventato uno strumento operativo fondamentale per qualsiasi organizzazione connessa a internet. La differenza tra un'azienda che subisce un attacco ransomware all'improvviso e una che lo blocca prima che i dati vengano cifrati è spesso la disponibilità di intelligence sulle campagne in corso.
Secondo il Rapporto Clusit 2025, il tempo medio tra la prima compromissione e il rilevamento dell'attacco in Italia è di 197 giorni. La threat intelligence riduce drasticamente questo intervallo: un SOC che riceve feed CTI aggiornati può correlare eventi apparentemente innocui — un accesso insolito all'1 di notte, un processo PowerShell anomalo — con campagne note e intervenire in ore, non mesi.
Le quattro tipologie di threat intelligence
Non tutta la threat intelligence è uguale. Gli analisti distinguono quattro livelli in base a chi la usa e a quale scopo:
| Tipo | Audience | Contenuto | Orizzonte temporale |
|---|---|---|---|
| Strategica | C-level, board | Tendenze geopolitiche, settori target, motivazioni degli attori | Mesi / anni |
| Tattica | CISO, responsabili sicurezza | TTP (Tattiche, Tecniche, Procedure) — framework MITRE ATT&CK | Settimane / mesi |
| Operativa | Analisti SOC, incident response | Campagne in corso, infrastrutture C2 attive, malware in distribuzione | Giorni / settimane |
| Tecnica | Sistemi automatici (SIEM, EDR) | IOC: IP, domini, hash, URL malevoli | Ore / giorni |
Per una PMI, i livelli più rilevanti sono l'operativo e il tecnico: sapere che c'è una campagna ransomware attiva che prende di mira il settore manifatturiero italiano, con specifici hash di payload e indirizzi C2, permette di bloccare l'attacco prima che raggiunga i sistemi aziendali.
Come funziona un processo di threat intelligence
Il ciclo di vita della threat intelligence segue un processo strutturato in sei fasi, spesso chiamato Intelligence Cycle:
- Planning & Direction — si definiscono le domande a cui rispondere: quali minacce sono rilevanti per il mio settore? Chi sono i threat actor attivi in Italia?
- Collection — raccolta dei dati da fonti aperte (OSINT), feed commerciali, dark web, honeypot, comunità ISAC, segnalazioni di partner.
- Processing — i dati grezzi vengono normalizzati, deduplicati e arricchiti. Uno stesso indicatore (es. un IP) può apparire in 20 feed diversi: il processing li aggrega.
- Analysis — gli analisti correlano gli indicatori con campagne note (es. APT29, LockBit 3.0) e valutano la rilevanza per l'organizzazione.
- Dissemination — l'intelligence viene distribuita nei formati giusti: report narrativi per il CISO, IOC in formato STIX/TAXII per i sistemi automatici.
- Feedback — il ciclo si chiude con la verifica dell'utilità dell'intelligence prodotta e l'aggiornamento dei requisiti.
STIX e TAXII sono gli standard aperti per condividere threat intelligence in formato machine-readable. STIX (Structured Threat Information eXpression) definisce il formato dei dati; TAXII (Trusted Automated eXchange of Intelligence Information) il protocollo di scambio. La maggior parte dei SIEM moderni e dei feed CTI supportano entrambi nativamente.
Fonti di threat intelligence: commerciali, open source e condivise
Le fonti di CTI si dividono in tre grandi categorie:
Feed open source (OSINT)
Sono gratuiti e accessibili a tutti. I più utilizzati includono AlienVault OTX, Abuse.ch (per ransomware e botnet), URLhaus, PhishTank e i feed pubblicati da CERT-AGID e CSIRT Italia. La qualità è variabile: i false positive sono frequenti e richiedono filtraggio manuale.
Feed commerciali
Provider come Recorded Future, Mandiant Threat Intelligence, CrowdStrike Falcon Intelligence e Flashpoint offrono intelligence curata, arricchita e spesso esclusiva — incluse informazioni raccolte dal dark web. I costi partono da 15.000-30.000 €/anno per licenze enterprise.
Community e ISAC
Gli Information Sharing and Analysis Centers (ISAC) aggregano intelligence settoriale: FS-ISAC per il settore finanziario, H-ISAC per la sanità. In Italia, il ACN promuove la condivisione di indicatori tramite la piattaforma nazionale di threat intelligence.
MISP: la piattaforma open source per condividere IOC
MISP (Malware Information Sharing Platform) è lo standard de facto per la gestione e condivisione di indicatori di compromissione nelle organizzazioni che non possono permettersi feed commerciali. Molti SOC italiani lo usano per aggregare feed eterogenei e arricchire gli alert del SIEM.
Perché le PMI italiane hanno bisogno di threat intelligence
Un errore comune è pensare che la threat intelligence sia uno strumento riservato alle grandi aziende con SOC interni di 20 analisti. I dati dicono il contrario: secondo il Verizon Data Breach Investigations Report 2025, il 43% delle violazioni di dati ha coinvolto piccole imprese. Le PMI italiane sono bersagli attraenti per motivi precisi:
- Sono fornitori di aziende più grandi (supply chain attack): colpire la PMI è spesso più facile che attaccare il cliente enterprise
- Hanno meno difese ma dati ugualmente preziosi: credenziali bancarie, dati di clienti, segreti industriali
- Pagano i riscatti ransomware più spesso: secondo Coveware, le PMI con meno di 100 dipendenti pagano nel 40% dei casi
- Sono meno preparate a rilevare attacchi silenti che durano mesi (es. credential harvesting, cryptomining)
La threat intelligence permette a una PMI di conoscere in anticipo quali campagne sono attive nel proprio settore e quali tecniche vengono usate, senza dover mantenere un team di analisti. Il modello più pratico è integrare la CTI nel servizio MDR/SOC esterno: il SOC riceve i feed, li correla con i log aziendali e genera alert contestualizzati.
Come una PMI può iniziare con la threat intelligence
Non è necessario costruire una CTI practice da zero. Ecco un percorso in quattro passi realistici per una PMI con risorse limitate:
- Iscriversi ai feed CERT-AGID e CSIRT Italia — gratuiti, in italiano, con IOC specifici per le campagne che colpiscono le organizzazioni italiane. È il punto di partenza con zero costo.
- Integrare i feed nel SIEM — se l'azienda ha già un SIEM (o lo ottiene tramite MDR), configurare l'ingestion degli IOC STIX/TAXII permette di rilevare automaticamente traffico verso infrastrutture malevole note.
- Affidarsi a un MDR/SOC esterno con CTI inclusa — il modo più efficiente per le PMI. Un buon provider MDR include feed di threat intelligence operativa e analistiche già nel canone, senza costi aggiuntivi per i singoli abbonamenti.
- Monitorare la propria esposizione sul dark web — il servizio CTI di FrameSec include il monitoraggio delle credenziali aziendali sui marketplace criminali e il tracking delle menzioni dell'azienda nei forum underground.
Prima di investire in feed CTI commerciali costosi, verifica se il tuo provider MDR/SOC include già la threat intelligence nel servizio. La maggior parte dei provider qualificati aggrega feed sia commerciali che open source e li correla con i tuoi log — senza che tu debba gestire nulla.
MITRE ATT&CK: il framework di riferimento per la CTI tattica
Il framework MITRE ATT&CK è la base concettuale della threat intelligence tattica. Cataloga oltre 400 tecniche usate dagli attaccanti, organizzate in 14 tattiche (da Initial Access a Exfiltration). Ogni tecnica è documentata con esempi reali, gruppi APT che la usano e possibili detection.
Per una PMI, il valore pratico di ATT&CK non è implementarlo completamente — è troppo vasto per un team ridotto — ma usarlo per rispondere a domande specifiche: "Il ransomware LockBit 3.0, che ha colpito aziende del mio settore, usa quali tecniche di persistence?" La risposta permette di configurare detection rule mirate nel SIEM o nell'EDR.
Il MITRE ATT&CK Navigator è uno strumento gratuito che visualizza la copertura del tuo stack difensivo rispetto alle tecniche usate da specifici threat actor — utile per identificare i gap di visibilità prima che vengano sfruttati.
Domande frequenti
Cos'è la threat intelligence?
La threat intelligence (CTI) è l'insieme di informazioni contestualizzate sulle minacce informatiche — attori, tecniche, indicatori di compromissione — raccolte, analizzate e condivise per supportare decisioni di sicurezza. Non sono semplici dati grezzi, ma intelligence azionabile che aiuta a capire chi potrebbe attaccare, come e con quali strumenti.
Le PMI hanno bisogno di threat intelligence?
Sì. Oltre il 60% degli attacchi in Italia colpisce organizzazioni con meno di 250 dipendenti (Clusit 2025). La CTI permette alle PMI di anticipare le minacce più probabili per il proprio settore senza un team interno: i servizi MDR/SOC as a service includono già feed CTI operativi nel canone mensile.
Quanto costa un servizio di threat intelligence per PMI?
I feed CTI commerciali enterprise partono da 15.000-30.000 €/anno. Per le PMI il modello più conveniente è l'MDR/SOC as a service con CTI inclusa, solitamente tra 500 e 2.000 €/mese in base alla dimensione aziendale — molto meno di un team di analisti interno che costerebbe oltre 200.000 €/anno.