Ogni giorno un'azienda italiana scopre di essere stata compromessa settimane prima. I dati erano già in vendita sul dark web. Gli attaccanti avevano già mappato l'infrastruttura. Eppure nessuno lo sapeva. La threat intelligence esiste precisamente per colmare questo divario: trasformare il rumore del panorama delle minacce in informazioni azionabili, prima che il danno sia già fatto.
Non è fantascienza. Non è roba solo per grandi aziende con budget illimitati. È un processo — e come tutti i processi, si può imparare, strutturare e applicare.
Cos'è la threat intelligence (e cosa non è)
Fare threat intelligence non significa raccogliere feed di IP malevoli e importarli nel firewall. Quello è l'uso di dati grezzi, non di intelligence.
La distinzione è fondamentale:
Dati grezzi: un indirizzo IP, un hash di file, un dominio. Nessun contesto, nessun significato intrinseco.
Informazioni: dati elaborati con un minimo di contesto. "Questo IP è associato a connessioni sospette."
Intelligence: analisi finalizzata a supportare una decisione. "Questo IP appartiene all'infrastruttura C2 di un gruppo APT che prende di mira il settore bancario europeo. Ecco cosa sta facendo e come difendersi."
Il processo che trasforma i dati in intelligence si chiama ciclo dell'intelligence e si articola in cinque fasi:
Pianificazione: definire i Priority Intelligence Requirements (PIR). Cosa dobbiamo sapere? Quali sono i rischi prioritari per la nostra organizzazione?
Raccolta: acquisire dati dalle fonti rilevanti — OSINT, dark web, feed commerciali, log interni.
Analisi: normalizzare, correlare, contestualizzare. Separare il segnale dal rumore.
Disseminazione: consegnare il prodotto finito al destinatario giusto, nel formato giusto, al momento giusto.
Feedback: verificare che l'intelligence sia stata utile e aggiustare il processo.
Saltare uno di questi passaggi significa produrre rumore, non intelligence.
I quattro tipi di threat intelligence
La cyber threat intelligence non è un monolite. Si divide in quattro livelli, ciascuno rivolto a un pubblico diverso con esigenze diverse.
1. Strategica
Destinata al board e al management. Risponde a domande come: "Quali threat actor prendono di mira il nostro settore? Qual è l'andamento degli attacchi ransomware in Europa nel prossimo trimestre?" Non contiene tecnicismi — contiene contesto di business. Esempio: un report che mostra come gli attacchi alle supply chain stiano aumentando del 40% nel manifatturiero italiano.
2. Tattica
Si concentra su Tattiche, Tecniche e Procedure (TTP) degli attaccanti, codificate nel framework MITRE ATT&CK. È rivolta ai security architect e ai team di detection. Esempio: sapere che un gruppo APT utilizza Living-off-the-Land techniques con PowerShell per il movimento laterale permette di costruire regole di detection mirate.
3. Operativa
Riguarda campagne specifiche in corso. Chi sta attaccando, come, con quale obiettivo, in quale timeframe. È l'intelligence più tempestiva e riguarda direttamente il SOC e l'incident response. Esempio: un avviso che un gruppo ransomware ha iniziato a sondare VPN vulnerabili nei settori energia e utilities in Italia.
4. Tecnica
Indicatori di compromissione (IoC): IP, domini, hash, URL, pattern di traffico. È il livello più granulare, utile per bloccare e rilevare in modo automatizzato. Ha però una shelf life breve — gli attaccanti ruotano l'infrastruttura continuamente.
Capire quale tipo di intelligence serve, a chi, e quando è la metà del lavoro.
Fonti di threat intelligence: OSINT e oltre
Un analista CTI lavora su tre categorie principali di fonti.
Fonti aperte (OSINT)
Il dark web e i forum underground sono miniere d'oro: credential dumps, annunci di accesso iniziale, discussioni su vulnerabilità 0-day. I paste site come Pastebin vengono monitorati per rilevare leak di dati aziendali. I feed pubblici — MISP community feeds, AlienVault OTX, abuse.ch con i suoi tracker su malware e botnet — offrono IoC aggiornati gratuitamente. Shodan permette di mappare l'esposizione di un'organizzazione dall'esterno, esattamente come farebbe un attaccante in fase di reconnaissance.
Fonti commerciali
Piattaforme come Recorded Future e Mandiant Advantage offrono copertura più profonda, con analisti dedicati e accesso a fonti non pubblicamente accessibili. Il costo è significativo, ma per organizzazioni enterprise o MSSP l'investimento si giustifica con la velocità e la profondità dell'analisi.
Fonti interne
Spesso sottovalutate: i log del SIEM, gli alert degli endpoint, i dati degli incident response passati. L'intelligence che emerge dall'interno — pattern di comportamento anomali, tecniche già usate contro di te — è contestualizzata per definizione e non ha prezzo.
La vera capacità di un analista CTI sta nell'integrare queste tre categorie in modo coerente.
Strumenti per fare threat intelligence con budget limitato
Non serve un budget da grande azienda per costruire una pipeline CTI funzionante. Questi strumenti sono gratuiti o freemium e coprono l'intero workflow.
MISP — La piattaforma open source per eccellenza per condividere, archiviare e correlare IoC. Supporta STIX/TAXII e si integra con quasi tutto. Caso d'uso: costruire un repository centralizzato di IoC condivisibile con altri team o organizzazioni.
OpenCTI — Più orientato alla gestione strutturata della knowledge base CTI. Visualizzazione grafica delle relazioni tra attori, malware e TTP. Ideale per chi vuole mappare campagne e gruppi APT nel tempo.
AlienVault OTX — Feed di IoC aggiornati in tempo reale, contributori globali, integrazione con SIEM. Ottimo come fonte di arricchimento rapido.
VirusTotal — Analisi di file, URL, IP e domini con decine di motori antivirus e sandbox. Indispensabile per il triage rapido di indicatori sospetti.
Shodan — Il motore di ricerca per dispositivi connessi a internet. Usato per la ricognizione offensiva e difensiva: mappa l'esposizione della tua organizzazione prima che lo faccia qualcun altro.
theHarvester — Raccolta di email, sottodomini, IP associati a un target. Fondamentale nella fase di raccolta OSINT su un threat actor o su se stessi.
Maltego Community — Visualizzazione grafica di relazioni tra entità: domini, IP, persone, organizzazioni. La versione community è limitata ma sufficiente per indagini di medio livello.
Usati in combinazione, questi strumenti permettono di coprire l'intera catena dalla raccolta all'analisi.
Il processo: come si trasformano i dati in intelligence azionabile
La teoria del ciclo dell'intelligence è una cosa. Applicarla su un caso reale è un'altra. Ecco un workflow concreto su un caso di phishing mirato.
Scenario: il SOC rileva un'email di phishing che ha colpito tre dipendenti di un'azienda manifatturiera. L'allegato è un documento Word con macro.
Raccolta: si estraggono gli IoC dall'email — dominio mittente, IP del mail server, hash del documento, URL nel corpo del messaggio.
Normalizzazione: gli indicatori vengono formattati in STIX 2.1 e caricati in MISP o OpenCTI.
Correlazione: si verifica se quegli IoC compaiono in feed pubblici (OTX, abuse.ch). Si controlla su VirusTotal l'hash del documento. Si cerca il dominio su Shodan e Maltego per capire l'infrastruttura correlata.
Analisi: il dominio è stato registrato 48 ore prima. L'infrastruttura somiglia a campagne precedentemente attribuite a un gruppo che prende di mira il manifatturiero europeo. Le macro nel documento corrispondono a un loader noto.
Report: si produce un documento sintetico per il SOC (blocca questi IoC, cerca questi pattern nei log) e uno strategico per il management (questo gruppo sta colpendo il vostro settore, ecco le misure strutturali).
Azione: gli IoC vengono spinti al SIEM, al firewall, all'EDR. Si avvia una threat hunt retroattiva sui log degli ultimi 30 giorni.
Questo è il processo. Non è magia: è metodo.
Threat intelligence e OSINT: due discipline che si parlano
La threat intelligence e l'OSINT non sono la stessa cosa, ma si alimentano a vicenda in modo profondo.
L'OSINT è la disciplina che insegna a trovare, raccogliere e analizzare informazioni da fonti aperte. La threat intelligence è un dominio applicativo che usa l'OSINT come uno dei suoi motori principali. Chi sa fare OSINT — ricercare su forum underground, monitorare paste site, mappare infrastrutture con Shodan e Maltego, analizzare profili e connessioni — ha un vantaggio competitivo diretto nella produzione di cyber threat intelligence.
Concretamente: un analista con competenze OSINT solide può tracciare un threat actor partendo da un nickname su un forum russo, collegarlo a un'infrastruttura, associarla a campagne note e produrre un profilo che un analista senza quella formazione non potrebbe mai costruire.
Nel ciclo CTI, l'OSINT entra principalmente nella fase di raccolta e nella fase di analisi. Ma la differenza vera la fa la qualità del metodo: sapere dove cercare, come verificare le fonti, come evitare falsi positivi. Queste sono competenze OSINT, non competenze CTI in senso stretto.
È per questo che sempre più aziende cercano professionisti con un background ibrido.
Chi fa threat intelligence in Italia e sbocchi professionali
Il mercato della threat intelligence in Italia sta maturando rapidamente. L'intelligence sulle minacce informatiche è passata dall'essere un lusso per pochi a un requisito operativo per chi gestisce infrastrutture critiche o dati sensibili. Le organizzazioni che investono in CTI sono principalmente:
Banche e istituti finanziari: obiettivi ad alto valore, obblighi normativi (DORA), threat actor dedicati.
Telco e operatori TLC: infrastruttura critica, perimetro enorme, volumi di log che richiedono automazione.
Pubblica Amministrazione: ACN (Agenzia per la Cybersicurezza Nazionale) ha aumentato i requisiti per gli enti pubblici.
Grandi aziende e multinazionali italiane: soprattutto energia, manifatturiero avanzato, difesa.
MSSP (Managed Security Service Provider): offrono CTI come servizio ai clienti. Crescita forte, molte posizioni aperte.
I ruoli principali:
CTI Analyst: produce intelligence su minacce, threat actor, campagne. Richiede capacità analitiche, conoscenza del panorama delle minacce, competenze OSINT.
SOC Analyst (L2/L3): usa la CTI per contestualizzare alert e guidare l'incident response.
Threat Hunter: usa la CTI per costruire ipotesi di compromissione e cercare proattivamente nei log.
Per chi vuole strutturare le proprie competenze, le certificazioni più rilevanti sono SANS FOR578 (Cyber Threat Intelligence) e eCTHPv2 (eLearnSecurity Certified Threat Hunting Professional). Non sono economiche, ma sono riconosciute dal mercato.
Il punto di ingresso più accessibile, però, rimane lo sviluppo solido delle competenze OSINT — che alimentano direttamente il lavoro CTI e aprono le porte a questi ruoli.
Inizia da qui
La threat intelligence non è un prodotto che si compra. È una capacità che si costruisce — con metodo, strumenti e pratica.
Il punto di partenza più concreto per chi lavora in sicurezza in Italia è sviluppare una base OSINT solida: sapere dove cercare, come correlare, come documentare. Quelle stesse competenze diventano il motore di un processo CTI efficace, anche con risorse limitate.
Scopri il percorso OSINT di Zuretti — il punto di partenza per chi vuole lavorare seriamente con le fonti aperte e costruire le competenze che il mercato della sicurezza sta cercando.