LLa Cyber Threat Intelligence ha trasformato radicalmente il modo in cui le organizzazioni affrontano la sicurezza informatica, segnando il passaggio da una postura difensiva reattiva a strategie proattive basate sull’anticipazione delle minacce. Questa evoluzione non rappresenta un semplice aggiornamento tecnologico, ma un cambiamento fondamentale nella gestione del rischio cyber, che affonda le sue radici nelle strategie di intelligence militare e si proietta verso modelli integrati di analisi del rischio aziendale.
Indice degli argomenti
Dalle origini militari all’intelligence informatica moderna
Storicamente, l’intelligence, con radici che affondano nelle strategie militari antiche, è sempre stata lo strumento prediletto per nazioni e forze armate per mobilitare risorse sul campo di battaglia, spesso in preparazione di azioni preventive. La sua funzione centrale è rimasta immutata nel tempo: essa consiste nella raccolta, nell’elaborazione e nell’analisi dei dati con l’obiettivo ultimo di comprendere i moventi, gli obiettivi e i metodi di attacco di un attore della minaccia, trasformando i dati grezzi in insight utilizzabili (actionable insights).
Nel contesto moderno, questo concetto si estende al dominio cibernetico, dando vita alla più recente Cyber Threat Intelligence.
Inizialmente, la cybersecurity si affidava a misure basilari e risposte generate post-incidente, come l’utilizzo di antivirus e firewall. Le informazioni sulle minacce venivano spesso condivise in modo informale tra difensori e tecnici.
Con l’aumentare della complessità delle minacce informatiche, già a partire dagli anni 2000 (sul piano internazionale, in Italia diversi anni dopo), la materia è emersa come una disciplina proattiva, incentrata sulla raccolta e l’analisi dei dati per comprendere in anticipo i potenziali pericoli.
Nel decennio successivo (anni 2010, sul piano internazionale, in Italia diversi anni dopo), questa pratica si è formalizzata, portando alla costituzione di team dedicati e all’incremento della condivisione di informazioni attraverso piattaforme collaborative.
Oggi, la CTI – anche se ancora a macchia di leopardo – è generalmente più integrata nelle operazioni di sicurezza, grazie all’adozione di piattaforme centralizzate e all’automazione, elementi che permettono di generare intelligence contestualizzata e utilizzabile per prioritizzare le minacce in modo più efficace.
I 5 errori tipici della CTI nella cybersecurity aziendale
Nonostante gli sforzi degli ultimi anni, nel nostro paese (ed anche in molti paesi europei) la Cyber Threat Intelligence rappresenta uno degli aspetti più fraintesi e mal implementati della sicurezza informatica moderna. Troppo spesso viene ridotta a una semplice collezione di “black list” da importare nel SIEM, senza una reale comprensione della sua articolazione e del suo valore strategico.
La stratificazione dell’intelligence in tre livelli operativi
Per comprendere veramente cosa significhi fare intelligence nella cybersecurity, dobbiamo partire dalla sua stratificazione in tre livelli fondamentali, ciascuno con caratteristiche, finalità e cicli di vita completamente diversi.
- La Tactical Intelligence rappresenta il livello più operativo e immediato. Parliamo di indicatori tecnici concreti: hash di file malevoli, indirizzi IP utilizzati come server di comando e controllo, domini registrati per campagne di phishing, URL che ospitano exploit kit, certificati SSL fraudolenti, mutex di malware, chiavi di registro utilizzate per la persistence. Questi indicatori (che chiamiamo IOC) hanno un valore immediato perché permettono azioni automatiche e rapide: bloccare un dominio malevolo, mettere in quarantena un file con un hash conosciuto, droppare il traffico verso un indirizzo IP compromesso. Il problema fondamentale della Tactical Intelligence è la sua natura effimera. Un hash di malware ha una vita utile che si misura in ore o giorni, non settimane o mesi. Gli attaccanti moderni possono rigenerare payload polimorfici in pochi secondi, registrare nuovi domini per pochi euro, cambiare indirizzo IP dei loro server con un semplice click su una console cloud. Questo significa che la Tactical Intelligence è preziosissima nel momento in cui viene generata, ma decade rapidamente verso l’irrilevanza.
- La Operational Intelligence sale di livello analizzando non singoli indicatori atomici, ma campagne complete e attori di minaccia specifici. Qui parliamo di comprendere chi sta attaccando, perché lo sta facendo, quali sono i suoi target preferiti, quali settori prende di mira, quali sono le sue capabilities tecniche e operative. L’Operational Intelligence ci permette di studiare i pattern comportamentali di un gruppo APT, di tracciare l’evoluzione delle tattiche di una ransomware gang, di anticipare le prossime mosse basandoci su campagne precedenti. Questo livello di intelligence (ovvero, in sigla, TTP, acronimo di tattiche, tecniche e procedure) ha una shelf-life molto più lunga rispetto agli IOC tattici, perché gli attaccanti non cambiano facilmente il loro modus operandi complessivo. Possono cambiare strumenti specifici, ma difficilmente rivoluzioneranno completamente il loro approccio strategico dall’oggi al domani.
- La Strategic Intelligence ci porta al livello più alto, quello che interessa il board e il top management. Qui parliamo di trend globali del threat landscape, di motivazioni geopolitiche dietro campagne di cyber warfare, di evoluzione delle minacce nel medio-lungo termine, di analisi dei rischi emergenti legati a nuove tecnologie o cambiamenti normativi. La Strategic Intelligence fornisce il contesto necessario per decisioni di investimento, per valutazioni di rischio enterprise-wide, per comprendere come il panorama delle minacce impatterà il business nei prossimi anni. Non è intelligence operativa che si traduce in detection rules, ma intelligence direzionale che guida la strategia complessiva di cybersecurity dell’organizzazione (e quindi, di fatto, può aiutare ad indirizzare gli investimenti ed il budget).
Gli errori più comuni nelle organizzazioni
Ora, il problema è che moltissime organizzazioni confondono questi livelli o, peggio ancora, si limitano esclusivamente al livello tattico pensando di “fare intelligence”. Vediamo gli errori più comuni e pervasivi che incontriamo quotidianamente.
L’illusione dei feed gratuiti e la trappola della quantità
Il primo errore macroscopico è quello di alimentare il proprio SIEM esclusivamente con feed di IOC gratuiti, non curati e non contestualizzati. Molti team security scoprono l’esistenza di community come Abuse.ch, AlienVault OTX, MISP, Talos Intelligence, e decidono di importare tutto quanto è disponibile gratuitamente. Il ragionamento sembra sensato: più IOC ho, più sono protetto. Il risultato pratico è disastroso. Ti ritrovi con centinaia di migliaia di indicatori generici, molti dei quali completamente irrilevanti per il tuo contesto specifico. Un indirizzo IP identificato come malevolo perché ha partecipato ad attacchi DDoS contro infrastrutture governative in Asia Pacifica potrebbe essere totalmente irrilevante per una PMI manifatturiera italiana che non ha alcuna presenza o interesse in quella regione geografica. Eppure, quell’IP finisce nelle tue blacklist, genera potenziali falsi positivi se per caso qualche dipendente naviga su servizi hostati in quella regione, e soprattutto contribuisce al rumore di fondo che soffoca i segnali veramente rilevanti.
Confondere quantità con qualità nella gestione dell’intelligence
Il secondo errore è quello di confondere quantità con qualità nella gestione dell’intelligence. Sentiamo continuamente: “Abbiamo integrato cinquanta feed di threat intelligence diversi!”. La domanda che nessuno fa è: e poi? Cosa fai con quei cinquanta feed? Li hai contestualizzati? Li hai pesati in base alla rilevanza per il tuo settore, la tua geografia, il tuo technology stack? Hai implementato un processo per rimuovere IOC vecchi che ormai non hanno più valore? Hai metriche che misurano la quality e l’actionability di questi feed? Nella maggior parte dei casi, la risposta è no. Il risultato è che questi cinquanta feed si accumulano come strati di sedimenti geologici nel database del SIEM, rallentando le query, generando falsi positivi, distraendo gli analisti con alert su minacce obsolete o irrilevanti.
IOC senza TTP: la fragilità dell’approccio deterministico
Il terzo errore, forse il più grave dal punto di vista strategico, è quello di ignorare completamente l’aspetto TTP dell’intelligence per concentrarsi esclusivamente sugli IOC. Questo accade perché gli IOC sono percepiti come “facili”: sono deterministici, atomici, facilmente automatizzabili. Aggiungi un hash alla blacklist dell’EDR e hai finito, ti senti produttivo. I TTP invece richiedono analisi, comprensione, traduzione in detection logic più complessa. Richiedono che qualcuno studi il framework MITRE ATT&CK, che comprenda cosa significa “lateral movement via pass-the-hash” e come si manifesta nei log di Windows, che sappia tradurre una tecnica astratta in una query Splunk o una detection rule Sigma. È più faticoso, richiede competenze più elevate, e quindi viene sistematicamente procrastinato o ignorato. Il problema è che un approccio basato solo su IOC è intrinsecamente fragile e reattivo.
Mancanza totale di contestualizzazione dell’intelligence
Il quarto errore è la mancanza totale di contestualizzazione dell’intelligence rispetto al proprio profilo di rischio specifico. Ricevere un bollettino che avverte “APT cinese sta targetando il settore energia con focus su smart grid e sistemi SCADA” è informazione preziosissima se sei un operatore di rete elettrica, ma è completamente inutile se sei una catena di negozi di abbigliamento. Eppure, quanti SOC ricevono decine di report settimanali che leggono distrattamente, archiviano, e mai più rivedono? L’intelligence deve essere filtrata, tarata, calibrata sul proprio contesto. Devi chiederti: questa minaccia è rilevante per il mio settore? Per la mia geografia? Per le tecnologie che uso? Ho i controlli necessari per mitigarla? Se la risposta è no, quell’intelligence è rumore, non segnale.
Accumulare informazioni senza mai tradurle in azioni concrete
Il quinto errore è quello che chiamiamo “intelligence paralysis”: accumulare informazioni senza mai tradurle in azioni concrete. Vediamo organizzazioni che sottoscrivono costosi servizi di threat intelligence premium, ricevono report dettagliati e tempestivi, e poi non fanno assolutamente nulla con quelle informazioni. Non creano detection rules, non lanciano hunting campaign, non aggiustano le configurazioni, non fanno awareness mirata al personale. L’intelligence diventa un esercizio intellettuale fine a sé stesso, security theater nel senso più puro del termine. Se l’intelligence non si traduce in actionability operativa, stai sprecando tempo e denaro.
IOC e TTP, la complementarietà necessaria per una difesa efficace
Ora veniamo al cuore della questione: perché servono entrambi gli approcci, IOC e TTP, e come si integrano in una strategia efficace.
Gli Indicators of Compromise rappresentano l’aspetto più tattico e immediato dell’intelligence. Quando il tuo EDR rileva un file con hash corrispondente a una nota variante di ransomware, può bloccarlo istantaneamente senza necessità di analisi umana. Quando il tuo firewall vede traffico verso un IP identificato come server C2 di una botnet, può droppare la connessione immediatamente. Questa velocità di reazione è preziosa, specialmente contro minacce commodity e attacchi di massa. Gli IOC sono il vaccino contro malattie conosciute: se hai l’indicatore giusto al momento giusto, puoi prevenire l’infezione automaticamente. Il problema, come abbiamo detto, è che gli IOC hanno una vita brevissima. Un attaccante sofisticato può cambiare payload in pochi secondi usando packer automatici, può registrare un nuovo dominio per pochi euro, può spostare la sua infrastruttura C2 su un nuovo IP cloud con un click. Questo significa che se la tua strategia di detection si basa esclusivamente su IOC, stai giocando una partita persa in partenza contro qualsiasi attaccante minimamente determinato.
I Tactics, Techniques, and Procedures invece descrivono non “cosa” cercare in termini di artefatti specifici, ma “come” gli attaccanti operano in termini di comportamenti e metodologie. Quando mappiamo un attacco al framework MITRE ATT&CK, identifichiamo le tecniche utilizzate in ogni fase. Queste tecniche sono molto più stabili nel tempo rispetto agli IOC atomici. Un attaccante può cambiare il dominio da cui invia le phishing email ogni giorno, ma difficilmente cambierà la tecnica fondamentale di lateral movement se quella tecnica funziona bene nel suo contesto operativo. Cambiare TTP richiede investimento significativo: sviluppare nuovi tool, addestrare gli operatori, testare nuove metodologie, aggiornare i playbook. Non è qualcosa che si fa con leggerezza.
Detection multilivello e implementazione pratica della strategia ibrida
I TTP permettono detection basata sui comportamenti piuttosto che su signature deterministiche. Invece di cercare un hash specifico di malware, cerchi pattern comportamentali sospetti.
La combinazione vincente quindi è utilizzare IOC per la velocità e l’automazione delle minacce note, e TTP per la resilienza e la capacità di adattamento contro minacce sconosciute o evolute. Un SOC maturo implementa detection a più livelli: il primo livello è automatico e basato su IOC, blocca il noto senza intervento umano, riduce il rumore per gli analisti eliminando commodity malware e scanning di massa. Il secondo livello è basato su comportamenti e TTP, genera alert che richiedono analisi umana ma catturano attività sospette anche quando non ci sono IOC specifici. Il terzo livello è threat hunting proattivo, dove esperti cercano attivamente evidenze di compromissione basandosi su ipotesi di attacco costruite a partire dai TTP rilevanti.
L’implementazione pratica di questa strategia ibrida richiede investimento su più fronti. Dal punto di vista degli IOC, devi avere una combinazione di feed commerciali qualificati che forniscono intelligence curata e contestualizzata per il tuo settore, feed open source selezionati e filtrati per rilevanza, e soprattutto IOC interni generati dai tuoi incident passati.
Ogni volta che gestisci un incident, dovresti estrarre tutti gli IOC rilevanti e condividerli internamente, e possibilmente esternamente tramite community come MISP se appropriato. Dal punto di vista dei TTP, devi investire in threat modeling per il tuo ambiente specifico: quali sono le tecniche MITRE ATT&CK più rilevanti per il tuo settore? Quali sono state utilizzate negli incident che hai affrontato? Quali sono descritte negli intelligence report riguardanti attori che targetano organizzazioni come la tua? Una volta identificate queste tecniche prioritarie, devi tradurle in detection engineering: creare use case per il SIEM che cercano evidenze di quelle tecniche, configurare l’EDR per monitorare i comportamenti corrispondenti, sviluppare hunting queries che ti permettano di cercare proattivamente quelle tecniche nei tuoi ambienti.
Il framework C2M2 come guida per la maturità dell’intelligence
Per costruire capacità complesse e sostenibili, le organizzazioni leader si affidano a maturity model. Questi strumenti strategici forniscono un benchmark oggettivo per valutare lo stato attuale, definire obiettivi di miglioramento e tracciare un percorso misurabile verso uno stato futuro desiderato. Nel contesto della Cyber Threat Intelligence (CTI), l’adozione di una metodologia strutturata è fondamentale per passare da attività ad hoc a un programma maturo e integrato.
Il Cybersecurity Capability Maturity Model (C2M2), declinato dall’US department of Energy, è – ad avviso di chi scrive – un framework di riferimento ideale. Il suo scopo è aiutare le organizzazioni a valutare e migliorare i propri programmi di cybersecurity in modo coerente e programmatico, fornendo una guida descrittiva piuttosto che prescrittiva, applicabile a realtà di diverse dimensioni e settori.
Il modello C2M2 si basa su alcuni concetti chiave. La sua architettura è organizzata in 10 domini, che rappresentano raggruppamenti logici di pratiche di cybersecurity. All’interno di ciascun dominio, la progressione della maturità è misurata attraverso i Maturity Indicator Levels (MILs), che vanno da MIL0 (pratiche non eseguite) a MIL3 (pratiche gestite e guidate da policy). Un aspetto fondamentale dei MIL è la loro natura cumulativa: per raggiungere un determinato livello, un’organizzazione deve aver implementato tutte le pratiche di quel livello e di quelli precedenti.
Per guidare il miglioramento continuo, lo stesso framework suggerisce un processo iterativo in quattro fasi:
- Eseguire un’autovalutazione (Perform a Self-Evaluation): Misurare l’implementazione attuale delle pratiche di cybersecurity rispetto al modello.
- Analizzare le lacune identificate (Analyze Identified Gaps): Confrontare i risultati dell’autovalutazione con il profilo di maturità desiderato per identificare le aree di miglioramento.
- Prioritizzare e pianificare (Prioritize and Plan): Sviluppare un piano d’azione per colmare le lacune identificate, basato su priorità, costi e obiettivi di business.
- Implementare i piani e rivalutare periodicamente (Implement Plans and Periodically Reevaluate): Eseguire il piano e ripetere l’autovalutazione per misurare i progressi e adattare la strategia.
Questa metodologia fornisce il rigore necessario per trasformare la costruzione di un programma di CTI da un’aspirazione a una capacità matura, gestita e allineata strategicamente.
I quattro domini operativi per un programma CTI maturo
Una volta introdotta nell’organizzazione la metodologia C2M2, i suoi domini possono essere applicati come un vero e proprio schema operativo per costruire un programma di CTI maturo. Questo approccio ci permette di superare la semplice raccolta di indicatori e di orchestrare le capacità necessarie per l’intelligence strategica.
Il percorso prevede una sorta di “percorso” all’interno di 4 domini. Il primo, il “Threat and Vulnerability Management” è la parte principale.
Come definito nel C2M2 (Cfr. Version 2.1), il suo scopo è “stabilire e mantenere piani, procedure e tecnologie per rilevare, identificare, analizzare, gestire e rispondere a minacce e vulnerabilità di cybersecurity, in misura commisurata al rischio per l’infrastruttura dell’organizzazione (come quella critica, IT e operativa) e agli obiettivi organizzativi”. Questo dominio guida le attività operative chiave della CTI. Il percorso di maturità è chiaramente illustrato dalla progressione delle pratiche: a MIL1, un’organizzazione identifica le fonti di informazione sulle minacce in modo ad hoc; a MIL2, questa attività si evolve nella definizione di un profilo di minaccia formale per la funzione, trasformando la raccolta passiva di dati in un’analisi mirata e contestualizzata.
L’intelligence generata dal primo dominio non è un semplice input per il secondo, la Situational Awareness. Come noto, un programma CTI maturo fonde la telemetria interna con l’intelligence esterna sugli avversari, elevando la visione da una semplice raccolta di dati a un vero e proprio “quadro operativo comune” (common operating picture).
È la differenza tra vedere una spia lampeggiare su una console e capire chi sta cercando di forzare la porta, perché e con quali strumenti.
L’impatto di un programma CTI maturo si estende fino al livello strategico, trasformando radicalmente il dominio del Risk Management. Senza un’intelligence mirata, la gestione del rischio informatico è spesso un esercizio teorico, basato su modelli generici e scenari ipotetici. La CTI fornisce invece il fondamento probatorio che permette a questo dominio di passare da una valutazione astratta del rischio a un’analisi concreta e basata sull’evidenza. Permette di valutare la probabilità e l’impatto non di minacce generiche, ma degli specifici attori, TTP e campagne che prendono di mira l’organizzazione, il suo settore e la sua tecnologia. Su questo punto chiave si basa il futuro della materia e di nuovi framework e tecnologie. Molti vendor e consulenti, più o meno “forzosamente”, stanno iniziando a parlare di risk intelligence o di continous threat exposure management.
Infine, per garantire sostenibilità e allineamento strategico, il programma di CTI deve essere inquadrato all’interno del dominio Cybersecurity Program Management. Questo dominio assicura la governance, la sponsorizzazione da parte del senior management e l’allineamento degli obiettivi della CTI con gli obiettivi strategici dell’intera organizzazione. È attraverso questo dominio che la CTI cessa di essere una funzione puramente tecnica e diventa una componente riconosciuta e supportata della strategia di business.
Unified Cyber Risk Intelligence, oltre le operazioni di sicurezza
In conclusione, il percorso verso un programma di Cyber Threat Intelligence che fornisca un valore strategico richiede la fusione di una visione ambiziosa con una metodologia di implementazione pragmatica. La traiettoria futura della disciplina è chiara, ma il cammino per arrivarci è spesso impervio se non guidato da un approccio strutturato.
Recentemente (15 settembre 2025), gli analisi di Gartner hanno introdotto una nuova “sigla” in questo settore, seguendo in sostanza la strada di cui abbiamo già parlato in precedenza in ottica di framework, con un occhio alla vision del mercato. Gartner ha introdotto e definito la “Unified Cyber Risk Intelligence” come l’evoluzione della Threat Intelligence (TI), alimentando la trasformazione della strategia di cybersecurity da un approccio reattivo a uno proattivo, mitigando il rischio informatico a livello di tutte le funzioni aziendali.
L’Unified cyber risk intelligence è la fusione di tutti i segnali di minaccia rilevanti provenienti da diverse fonti interne (telemetria, log) ed esterne (database commerciali e condivisi) in motori analitici specializzati (machine learning, modellazione predittiva).
La UCRI consente una rilevazione più rapida e accurata di schemi di attacco emergenti e nascosti, permettendo alle organizzazioni di mitigare in modo proattivo il rischio di cybersecurity in tutte le funzioni aziendali. L’obiettivo primario della UCRI è stabilire una base di fatti ben corroborata per i decision maker, in modo che sappiano quali sono le migliori azioni da intraprendere.
In questa sede, senza ripetere concetti già in precedenza descritti e indirizzati, l’aspetto più importante di questa “nuova” declinazione è l’utilizzo dell’intelligence e della correlazione della telemetria interna per informare funzioni che vanno oltre le sole operazioni di sicurezza (SecOps), estendendosi a risk management, conformità (compliance) e decisioni esecutive.
Ad ogni buon conto, l’evoluzione verso la Unified Cyber Risk Intelligence non è un obiettivo raggiungibile attraverso la sola adozione di nuove tecnologie. Rappresenta un cambiamento di paradigma che richiede una maturazione delle capacità interne, una maggiore integrazione tra le funzioni di sicurezza e un allineamento profondo con la gestione del rischio a livello aziendale.
Dal dato all’azione attraverso un percorso metodologico misurabile
È qui che il citato framework C2M2 fornisce il valore più grande. Esso trasforma un obiettivo strategico, a volte astratto, in un percorso attuabile, suddiviso in domini, pratiche e livelli di maturità misurabili. Il C2M2 offre la roadmap necessaria per valutare le capacità attuali, identificare le lacune e pianificare investimenti mirati che costruiscano progressivamente le fondamenta di un programma di intelligence robusto e sostenibile.
Adottando questo approccio metodologico, le organizzazioni possono colmare il divario tra dati e azione, rafforzando la propria resilienza operativa complessiva in un panorama di minacce in continua evoluzione.
