• Collegamento a LinkedIn
  • Collegamento a Youtube
  • Collegamento a Facebook
Kinetikon S.r.l. - Torino - +39 011 0122340
Kinetikon
logo
  • Formazione per aziende
      • Formazione ICT
          • AI & Machine Learning Engineering
          • AI Literacy & Strategy
          • Backend Development
          • Business & Collaboration Platform
          • Cloud Native & Container Management
          • Cloud Platform Administration
          • Cybersecurity Fundamentals
          • Data & Business Intelligence
          • Database Management & Administration
          • Defensive Security & Operations
          • Digital Marketing
          • Frontend & Web Application Development
          • Governance & Compliance
          • IT Observability & Monitoring
          • Metodologie Agile & DevOps
          • Offensive Security & Penetration Testing
          • Project & IT Service Management
          • Strumenti e framework per lo sviluppo
          • System Network & Operations
        • Scarica il catalogo ICT & AI
      • Soft Skills for Tech People
          • Age Diversity Management
          • Comunicazione efficace per Team Tech
          • Cultura DE&I e Parità di Genere: strumenti per prepararsi alla certificazione UNI/PdR 125:2022
          • Cyber Crisis Communication
          • Gestione dello stress e sicurezza psicologica
          • La cultura del feedback nei team tech
          • Leadership Management
          • Product Mindset per Developer
          • Sviluppo strategico per team tech
        • Scarica il Catalogo – Soft Skill for Tech People
      • Formazione e-learning
        • Utilizzo consapevole dell’Intelligenza Artificiale
        • Cyber Security Awareness
        • Project Management Overview
        • Introduzione alla sostenibilità aziendale
        • Privacy & GDPR
        • Scarica il Catalogo dei corsi E-learning
      • Formazione certificata
        • Intelligenza Artificiale
          • Artificial Intelligence for Business Professional – AIBIZ
          • Generative AI for Business Professional
        • Cyber Security
          • CompTIA Security+
          • CompTIA PenTest+
          • CompTIA CySA+
        • Project & IT Service Management
          • ITIL® Foundation (Version 5)
          • ITIL® 4 Foundation
          • PRINCE2® – Foundation
          • PRINCE2® – Practitioner
          • ISIPM Base
          • Professional Scrum Product Owner I (PSPO I)
          • Professional Scrum Master I (PSM I)
          • Professional Scrum Master II (PSM II)
        • Scarica il Catalogo dei corsi con Certificazione
      • Sicurezza
          • Accordo Stato Regioni
          • Agenti Biologici e chimici
          • Agenti fisici
          • Antincendio
          • Attrezzi di sollevamento
          • BLSD
          • DPI
          • HACCP
          • LOTO
          • Mezzi di movimentazione
          • PES-PAV - PEI
          • Primo soccorso
          • RLS
          • Spazi confinati
        • Scarica il Catalogo – Salute e Sicurezza sul lavoro
  • Consulenza
      • Servizi IT
        • Penetration test
        • Fractional IT Manager
        • Consulenza gestionale per MSP e MSPP
        • Microsoft 365 & Security
        • Google Workspace Administration
      • Organizzativa
        • Project Management
        • Progettazione della formazione
        • Formazione Finanziata
      • Normativa
        • GDPR & DPO
        • ISO/IEC 27001
  • Info utili e Risorse
      • Contatti e info aziendali
        • Chi siamo
        • Contatti
        • Lavora con noi
      • Risorse Gratuite
        • Blog
  • Partnership e Accreditamenti
      • Partnership
        • Partner Accreditato PeopleCert
        • CertNexus Authorized Training Partner
        • CompTIA Authorized Delivery Partner
        • Red Hat Ready Business Partner
      • Accreditamenti
        • Ente accreditato dalla Regione Piemonte
        • Fondimpresa – Soggetto proponente qualificato
        • Fondirigenti – Soggetto proponente
        • Fondo Conoscenza – Soggetto Proponente
  • Menu Menu
Sei in: Home1 / Cyber Security2 / Gli elementi fondamentali della Cyber Threat Intelligence
05 Dicembre 2023

Gli elementi fondamentali della Cyber Threat Intelligence

La cyber security è ormai un elemento critico per tutte le aziende a livello globale. Hacker e cybercriminali attaccano i sistemi informativi di aziende, persone e enti governativi sia per motivi economici, sia per ideali e cause geopolitiche. Gli attacchi spesso si concludono nella perdita di dati sensibili, proprietà intellettuali e interruzioni di sistemi critici.

Nonostante l’avanzamento significativo nel panorama delle minacce cyber, le difese delle aziende non si sono evolute di conseguenza. In Italia, in particolare, il 35% delle PMI non dispone di alcuna risorsa dedicata alla cyber security (Fonte). Questa situazione crea uno scenario pericolosamente asimmetrico, in cui le aziende si trovano a fronteggiare avversari agili e aggressivi, capaci di superare anche le difese più sofisticate.

Per rendere più stabile la propria postura di sicurezza, aziende e organizzazioni possono integrare la Threat Intelligence nelle operazioni di cyber sicurezza contro gli attori ostili. La Cyber Threat Intelligence (CTI), se integrata in modo efficace, trasforma l’approccio alla sicurezza informatica da una prospettiva reattiva a una proattiva, preventiva e dinamica.

Definizione e caratteristiche della Cyber Threat Intelligence

La Cyber Threat Intelligence è il processo di acquisizione, elaborazione, analisi e condivisione delle informazioni che identificano, tracciano e prevedono minacce, rischi e opportunità di migliorare il processo decisionale per quanto riguarda le operazioni di sicurezza.
Secondo il più recente rapporto del Clusit (ottobre 2023), l’85% delle organizzazioni ha riferito di “produrre” o “consumare” forme di intelligence. Sebbene quindi la CTI sia diventata una componente essenziale di una strategia di sicurezza matura e sana, il suo pieno valore non è ancora stato compreso fino in fondo. La CTI può derivare da diverse fonti, tra cui: log di sistema e telemetria di rete, feed di minacce esterne, fonti OSINT, forum sul deep e dark web, esempi di malware e scambio di informazioni con partner fidati e esperti del settore.

Questi dati diventano davvero utili quando sono realmente utilizzabili e “azionabili” dai team di sicurezza, ovvero quando i professionisti di cyber security possono effettivamente implementare tecniche e prendere decisioni sulla base dei dati raccolti. Secondo l’ENISA, la CTI può essere definita azionabile se presenta cinque caratteristiche fondamentali: rilevanza, attualità, accuratezza, completezza e capacità di essere assimilata nel contesto di riferimento. Altri aggiungono a queste caratteristiche: livello di rischio, l’implementazione, l’attendibilità della fonte, la pertinenza al settore di riferimento, contesto sufficiente e una chiara guida per affrontare la minaccia.

In questo contesto, una definizione più dettagliata di Cyber Threat Intelligence potrebbe essere quella della Bank of England:

Un output contestualizzato di un processo strategicamente guidato finalizzato alla raccolta e all’analisi di informazioni riguardanti identità, obiettivi, motivazioni, strumenti e tattiche di entità malevole che mirano a danneggiare o minare le operazioni di un’organizzazione bersaglio, i sistemi IT o le informazioni in transito

Questa definizione sottolinea l’inclusione di dati convalidati che offrono contesto, modalità operative, indicatori ed eventuali, suggerimenti.
In altre parole, la Cyber Threat Intelligence permette ai professionisti della cyber security di difendersi in modo proattivo dagli attacchi, individuare e diagnosticare reattivamente una violazione e dare priorità agli incidenti in base all’esposizione al rischio.

Per fare questo, ad un livello più operativo e immediato (anche detto tattico), la CTI si occupa di supportare le operazioni difensive raccogliendo, analizzando e sfruttando gli indicatori di compromissione e di attacco e le tattiche, le tecniche e le procedure (TTP) degli attori delle minacce.

> Scopri anche il corso “Security Operations & Threat Intelligence”

Elementi Fondamentali di Cyber Threat Intelligence

Indicatori di compromissione e indicatori di attacco

Gli indicatori di compromissione (IoC) e gli Indicatori di Attacco (IoA) forniscono ai team di cyber security informazioni cruciali sul contesto per rilevare e reagire agli attacchi. Queste informazioni costituiscono una parte di Threat Intelligence definita tattica, che può far luce sull’attaccante, le sue attività e gli strumenti impiegati nella violazione di dati e sistemi.

Un indicatore di compromissione (IoC) è la prova su un computer che indica una possibile compromissione nella sicurezza della rete. Gli analisti tipicamente raccolgono questa informazione dopo segnalazioni di incidenti sospetti o attraverso monitoraggi regolari, o ancora in seguito a attività anomale nella rete. Questi dati sono raccolti per sviluppare sistemi “più intelligenti”, che in futuro potrebbero riconoscere e isolare file sospetti in modo autonomo. I sistemi che rilevano gli IoC sono reattivi, in quanto esaminano gli eventi dopo che sono successi. Sono indicatori di compromissione, ad esempio: nomi dei file, connessioni di rete al server di comando e controllo, indirizzi IP e chiavi di registro.

Un indicatore di attacco, invece, è proattivo e basato sul comportamento e rileva che cosa sta cercando di ottenere l’attaccate. Un sistema basato su indicatori di attacco lavora in tempo reale e rileva gli attacchi nel momento in cui si verificano, indipendentemente dall’exploit o dal malware utilizzato. Questi sistemi sono in grado di rilevare le operazioni tecniche e si assicurano di avere una visibilità in real time di tutto l’ambiente informatico.
Esempi di indicatori di attacco includono comunicazioni da server pubblici verso host interni, connessioni attraverso porte non standard e traffico SMTP eccessivo.

Tattiche, Tecniche e Procedure degli attori delle minacce

Le tattiche, tecniche e procedure (TTP) descrivono il comportamento dell’attore delle minacce e costituiscono un elemento importante della Threat Intelligence tattica e operativa. Le tattiche sono una visione del comportamento ad alto livello, le tecniche sono descrizioni dettagliate nel contesto della tattica e le procedure sono dettagli ancora più specifici nel contesto di una tecnica. Insieme, le TTP dovrebbero descrivere la tendenza di un attaccante ad utilizzare una specifica variante di malware, l’ordine delle operazioni, strumenti di attacco e meccanismi di distribuzione (ad esempio phishing) o operazioni tecniche.

Più nello specifico:

  • Le tattiche delineano il comportamento dell’attaccante durante le varie fasi dell’attacco: riconoscere pattern comuni può consentire la previsione dei passaggi successivi attraverso la raccolta di dati sull’ingresso iniziale, nodi compromessi o credenziali colpite.
  • Le tecniche comprendono tutto quello che può fare l’attore della minaccia per causare problemi e interruzioni, ad esempio infiltrarsi in una rete o stabilire i centri di comando e controllo. In particolare le tecniche si concentrano sulla metodologia della campagna di attacco e delineano la sequenza di azioni.
  • Le procedure dettagliano l’esecuzione delle tattiche, usando una serie di tecniche e azioni precise e studiate, spesso personalizzabili, ma frequentemente ripetute.

Le TTP indicano i tentativi non autorizzati di eseguire azioni bloccate, ad esempio cambiare la rete, accedere a risorse sensibili o inviare dati ad un server di comando e controllo esterno. Questi indicatori tipicamente fanno riferimento ad un framework consistente. Il security framework MITRE ATT&CK, ad esempio, è una collezione completa delle TTP che gli attori delle minacce utilizzano nel mondo reale. Anche Pulsedive offre una piattaforma gratuita di Threat Intelligence per i team di sicurezza in tutto il mondo.

Gli attacchi informatici sono cresciuti per frequenza e ricercatezza e presentano sfide significative per le aziende che devono difendere i propri dati e i propri sistemi attori malevoli capaci e competenti. Questi attori possono essere attaccanti individuali e autonomi, oppure gruppi ben riforniti e coordinati, parte di un gruppo criminale più ampio o parte di uno stato nazione. Gli attori delle minacce possono essere persistenti, motivati e agili e utilizzare una grande varietà di tattiche, tecniche e procedure per compromettere un sistema, interrompere servizi critici, commettere frodi finanziarie o rubare proprietà intellettuali e altre informazioni sensibili. La condivisione e l’utilizzo delle informazioni sono diventati essenziali per migliorare la sicurezza aziendale.

> Contattaci e scopri il nostro servizio Cyber Security as a Service 

Fonti:

Kotsias, J., Ahmad, A., & Scheepers, R. (2023). Adopting and integrating cyber-threat intelligence in a commercial organisation. European Journal of Information Systems, 32(1), 35-51.

Wagner, T. D., Mahbub, K., Palomar, E., & Abdallah, A. E. (2019). Cyber threat intelligence sharing: Survey and research directions. Computers & Security, 87, 101589.

Rapporto 2023 sulla Sicurezza ICT in Italia – aggiornamento ottobre 2023 (2023) Clusit.it. Disponibile su: https://clusit.it/rapporto-clusit/ (Ultimo accesso: 01 December 2023).

Condividi questo articolo
  • Condividi su Facebook
  • Condividi su WhatsApp
  • Condividi su LinkedIn
  • Condividi attraverso Mail

Potrebbe interessanti anche:

  • Formazione obbligatoria NIS2: guida per aziende e HR30/06/2026 - 10:07
  • Fondimpresa: Avviso 3/2026 – Innovazione25/06/2026 - 08:56
  • Aggregatori IA per PMI: che cosa sono e come sceglierli23/06/2026 - 08:22
  • Learning Agility nei team tech: il segreto per l’upskilling15/06/2026 - 11:40
  • Le soft skill più richieste nel 2026: guida per HR nell’era dell’Intelligenza Artificiale nel settore IT09/06/2026 - 14:38
  • Automazione dei processi aziendali: Agenti IA vs. RPA03/06/2026 - 16:41
  • Mappatura e automazione dei processi aziendali nell’era dell’Agentic AI26/05/2026 - 08:07

Iscriviti alla newsletter

Resta sempre aggiornato sulle ultime news del mondo IT e della formazione finanziata!

Scopri le altre tematiche:

  • Cloud (21)
  • Coding & Programming (20)
  • Cyber Security (46)
  • Data Analysis e Business Intelligence (11)
  • Eventi (1)
  • Fondimpresa (11)
  • Fondirigenti (3)
  • Formazione (26)
  • industria 4.0 (4)
  • Intelligenza Artificiale e Machine Learning (52)
  • ITSM (25)
  • LMS e E-learning (6)
  • News (213)
  • Project Management (12)
  • Red Hat (5)

KINETIKON S.R.L.

Via Verolengo 29/9 – 10149 Torino
Tel. +39 011 0122340
Fax +39 011 19213523

Via Asi Asse Attrezzato 11 – 03013 Ferentino (FR)
Tel. +39 0775 1741757

email: info@kinetikon.com
pec: kinetikon@pec.it

P. IVA 08061210012
Rea: 944416

La tua iscrizione non può essere convalidata.
La tua iscrizione è avvenuta correttamente.

Iscriviti alla newsletter

Informative: 

Privacy Policy
Cookie Policy

Politica per la Qualità

Codice Etico

Procedura Whistleblowing

Whistleblowing

Kinetikon è certificata ISO 9001

Azienda certificata ISO 9001
Certificato n° IT25-27302A

Chi siamo

Aiutiamo le aziende ad ottenere il meglio dal proprio ambiente IT. Attraverso lo sviluppo di competenze del personale e il potenziamento dei singoli componenti infrastrutturali, il tuo ambiente IT sarà pronto a scalare e ad innovare con te, a qualunque velocità o livello di complessità tu intenda andare.

© Copyright - KINETIKON s.r.l. - Capitale Sociale: 10.000 €
  • Collegamento a LinkedIn
  • Collegamento a Youtube
  • Collegamento a Facebook
Collegamento a: Code Review: standard, checklist e strumenti Collegamento a: Code Review: standard, checklist e strumenti Code Review: standard, checklist e strumenticode review principi strumenti Collegamento a: Intelligenza Artificiale e Cyber Security: tre campi di applicazione Collegamento a: Intelligenza Artificiale e Cyber Security: tre campi di applicazione Intelligenza Artificiale e Cyber Security: tre campi di applicazione Scorrere verso l’alto Scorrere verso l’alto Scorrere verso l’alto