Il problema della threat intelligence non e mai stato la quantita di dati. Con 9 collector che aggregano da NVD, GHSA, CISA KEV, Vulners, Abuse.ch, OTX e feed RSS, Valta traccia oltre 19.000 minacce. Il vero problema e sempre stato: quali di queste 19.000 minacce sono rilevanti per TE, in QUESTO momento?
I feed CTI tradizionali ti bombardano con tutto. Ogni CVE, ogni advisory, ogni IOC. Un analista SOC che riceve centinaia di alert al giorno non ha il tempo di valutare manualmente la rilevanza di ognuno. Cosi ho costruito il relevance scoring engine di Valta - un sistema che usa GPT-4.1 per valutare ogni minaccia nel contesto specifico dell'organizzazione.
Come funziona il relevance scoring
Il motore non e un semplice "chiedi all'AI se e importante." Ogni minaccia passa attraverso un pipeline strutturato: prima la normalizzazione (formati diversi da fonti diverse), poi l'arricchimento (correlazione con dati MISP, lookup CVSS, check CISA KEV), infine lo scoring. Il prompt di scoring include il profilo tecnologico del cliente, il settore industriale, la superficie di attacco nota. Il risultato e un punteggio di rilevanza contestuale, non generico.
L'architettura di Valta - 17 container Docker su FastAPI, React, PostgreSQL, Elasticsearch, Redis e Celery - e stata progettata per scalabilita. I collector girano come task Celery asincroni, lo scoring avviene in batch per ottimizzare i costi API, e Elasticsearch permette ricerche full-text sub-secondo su tutto il corpus di intelligence.
La parte che mi rende piu orgoglioso e la gamification per analisti. Quiz su minacce reali, badge per competenze, learning path personalizzati. Perche la threat intelligence non serve solo a generare alert - serve a far crescere le persone che quegli alert li leggono.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →