La threat intelligence (o cyber threat intelligence, CTI) è il processo di raccolta, elaborazione, analisi e condivisione di informazioni sulle minacce informatiche — chi attacca, come, con quali strumenti, con quali obiettivi — al fine di prendere decisioni di sicurezza informate e anticipare gli attacchi prima che avvengano. A differenza di un semplice feed di indicatori tecnici, la threat intelligence autentica fornisce contesto e attribuibilità: non solo «questo IP è malevolo», ma «questo IP appartiene al cluster infrastrutturale usato dall’APT X, che storicamente prende di mira organizzazioni del settore Y con questa catena d’attacco».
Livelli di threat intelligence
Strategica: destinata al management e ai CISO. Descrive il panorama delle minacce a livello alto — tendenze, motivazioni degli attori, impatto sul business, valutazioni geopolitiche. Non contiene dettagli tecnici.
Operativa: descrive le campagne di attacco in corso — chi attacca, con quali obiettivi, con quale tempistica. Usata dai responsabili della sicurezza per adattare le priorità operative.
Tattica: descrive le TTP (Tactics, Techniques, and Procedures) degli attori di minaccia — come si muovono nella rete, quali strumenti usano, come evadono il rilevamento. Usata dai security engineer per aggiornare le regole di detection del SIEM e configurare i controlli.
Tecnica: indicatori di compromissione (IoC — Indicators of Compromise) concreti: indirizzi IP malevoli, domini C2, hash di file malware, URL di phishing, chiavi di registro. Direttamente consumabile da strumenti di sicurezza (firewall, EDR, SIEM).
Indicatori di Compromissione (IoC)
Gli IoC sono le impronte digitali lasciate da un attacco. Esempi:
- Hash (MD5, SHA-256) di file malware noti
- IP e domini usati come C2 o per phishing
- URL di payload o landing page malevole
- Chiavi di registro create da malware per la persistenza
- Nomi di processo o percorsi di file caratteristici di specifici malware
Gli IoC hanno vita breve: gli attaccanti cambiano IP, registrano nuovi domini e ricompilano il malware per cambiare hash. La threat intelligence di qualità eleva l’analisi agli IoC più durevoli: le TTP degli attori, che cambiano molto più lentamente delle infrastrutture.
Framework MITRE ATT&CK
Il framework MITRE ATT&CK è la base di conoscenza di riferimento per descrivere le TTP degli attori avanzati. Permette di mappare un’intrusione osservata sulle tecniche documentate, identificare l’attore probabile per comparazione, e valutare quali tecniche del proprio SIEM o EDR non hanno copertura di detection.
Fonti e condivisione
La threat intelligence si produce e si condivide attraverso:
- ISAC (Information Sharing and Analysis Centers): centri settoriali (finanziario, sanitario, energia) per la condivisione di intelligence tra organizzazioni dello stesso settore
- MISP (Malware Information Sharing Platform): piattaforma open source per la condivisione strutturata di IoC e TTP
- STIX/TAXII: formati standard per la rappresentazione e il trasporto di threat intelligence (STIX = struttura dati, TAXII = protocollo di trasporto)
- Feed commerciali: Mandiant, CrowdStrike, Recorded Future, Team Cymru — forniscono intelligence di alta qualità a pagamento
- Community open source: VirusTotal, AlienVault OTX, abuse.ch
Threat intelligence e ciclo di vita
La produzione di threat intelligence segue un ciclo: pianificazione (definizione dei requisiti di intelligence), raccolta, elaborazione, analisi, disseminazione, feedback. La qualità dell’intelligence dipende criticamente dall’analisi: trasformare dati grezzi in valutazioni con grado di confidenza dichiarato, distinguendo fatti da inferenze.