Quando ho costruito Valta, il motore di threat intelligence di Securitix, la prima sfida non e stata trovare fonti di intelligence - e stata filtrarle. Esistono centinaia di feed CTI, gratuiti e a pagamento, e la tentazione e di ingerirli tutti. Il risultato? Rumore. Migliaia di IOC di bassa qualita che generano falsi positivi e diluiscono gli indicatori che contano davvero. I migliori threat intelligence feed sono quelli che offrono dati azionabili, non volume.
I feed che uso in produzione
Dopo aver testato decine di fonti, ecco i 9 feed che uso attivamente in Valta: NVD (vulnerabilita, la fonte autorevole), GHSA (vulnerabilita in pacchetti open source), CISA KEV (vulnerabilita attivamente sfruttate - questo e oro puro per prioritizzare il patching), Vulners (aggregatore con coverage ampia), Abuse.ch (malware, botnet, IOC di alta qualita - URLhaus, MalBazaar, ThreatFox), OTX di AlienVault (community intelligence con contesto), e feed RSS selezionati per advisory specifici di settore.
Il segreto: il relevance scoring
Avere 9 feed non basta se non filtri per rilevanza. In Valta, ogni indicatore passa attraverso il nostro motore di relevance scoring basato su AI. Il scoring considera il profilo tecnologico del cliente (usi Apache? Allora le CVE di Apache ti interessano), il settore industriale (sanita ha minacce diverse da manifatturiero), e l'attivita di sfruttamento in the wild (un CVE con exploit attivi ha priorita su uno teorico).
Un consiglio pratico: se stai iniziando con la threat intelligence, parti da tre fonti: CISA KEV (priorita di patching), Abuse.ch (IOC di rete), e NVD (vulnerabilita). Queste tre da sole ti danno una copertura base solida. Poi espandi in base alle tue esigenze specifiche. Non aggiungere feed solo per aumentare i numeri - ogni feed che aggiungi deve rispondere alla domanda: "Questo mi aiuta a prendere decisioni migliori?" Se la risposta e no, e solo rumore.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →