Threat Intelligence

La threat intelligence è ciò che distingue un team di sicurezza che anticipa gli attacchi da uno che si limita a ripulire dopo. Ogni avversario lascia tracce: gli strumenti che costruisce, le tecniche che riutilizza, l'infrastruttura che affitta e gli obiettivi che insegue. La threat intelligence è la disciplina di raccogliere quelle tracce, analizzarle e trasformarle in contesto che orienta decisioni concrete, dalla prossima rilevazione da scrivere fino a dove l'azienda dovrebbe spendere il suo budget di sicurezza. Senza di essa, i difensori reagiscono alla cieca a qualunque allerta scatti; con essa, sanno quali minacce contano davvero per loro.

I dati non sono intelligence

Una lista di indirizzi IP malevoli è un dato. Un feed di hash di file è un dato. Niente di tutto questo diventa intelligence finché qualcuno non lo analizza rispetto a una domanda che conta per un pubblico specifico. Quell'analisi è il lavoro di un analista di threat intelligence, che raccoglie da molte fonti, elimina il rumore, aggiunge contesto e produce qualcosa su cui un difensore può agire.

Il modo più utile di organizzare questo lavoro è per livelli:

Questi livelli sono prodotti diversi per lettori diversi. Un dirigente non ha bisogno di un hash di file, e un analista che scrive una regola di rilevazione non ha bisogno di un riassunto di rischio per il consiglio. Confondere i livelli è uno dei motivi più comuni per cui i programmi di intelligence non portano valore.

Il linguaggio comune: MITRE ATT&CK

L'intelligence tattica diventa molto più potente quando tutti descrivono il comportamento dell'avversario nello stesso modo. È questo il ruolo di MITRE ATT&CK, una base di conoscenza di tattiche e tecniche del mondo reale. Invece di note vaghe come "l'attaccante ha rubato le credenziali", i team mappano il comportamento su tecniche precise (per esempio OS Credential Dumping, T1003), il che rende l'intelligence confrontabile tra report, strumenti e team.

Raccogliere le fonti

→arricchire

Analizzare e mappare su ATT&CK

→produrre

Intelligence finita

→agire

Rilevare e cacciare

Un cambiamento notevole è che ora i fornitori di tecnologia contribuiscono direttamente a questo quadro. Anthropic, per esempio, ha pubblicato un LLM ATT&CK Navigator che mappava come i suoi modelli venivano abusati dagli attaccanti, e quell'intelligence è confluita nel registro più ampio del settore, incluso il Verizon DBIR. La nostra analisi su come gli attaccanti stanno trasformando l'IA in un'arma spiega cosa significa tutto questo per i difensori nella pratica.

Dalla conoscenza all'azione

L'intelligence conta solo quando cambia ciò che fa un team. Dentro un security operations center, l'intelligence tattica affina le rilevazioni e dà priorità agli allarmi. Alimenta anche il threat hunting: invece di frugare i sistemi a caso, i cacciatori usano l'intelligence sui TTP noti per guardare nei punti dove gli attaccanti operano davvero. A livello strategico, la stessa conoscenza orienta dove investe la dirigenza, quali controlli costruire per primi e quali rischi accettare.

La threat intelligence è il ponte tra conoscere il tuo nemico ed essere pronto ad affrontarlo. Raccolta bene e mappata su un linguaggio comune, ti permette di muoverti per primo invece che per ultimo.