Cyber Threat Intelligence Dashboard: Come Ho Costruito un Sistema OSINT per il Monitoraggio delle Minacce Globali
Quando lavori nella cybersecurity, ti rendi conto rapidamente che le informazioni sulle minacce sono ovunque ma mai dove le cerchi. Durante le mie analisi quotidiane, passavo ore a navigare tra diversi siti: MITRE ATT&CK per capire le tecniche di attacco, MISP per i threat actors, Malpedia per i dettagli sul malware, e poi tutti i vari leak sites ransomware sparsi nelle reti anonime. Era un processo estenuante e, soprattutto, inefficiente.
Un giorno, mentre stavo analizzando l'ennesimo incidente ransomware, mi sono fermato e ho pensato: deve esserci un modo migliore. Non potevo essere l'unico analista a passare metà del suo tempo a cercare informazioni invece di analizzarle. Da quella frustrazione è nata l'idea di creare una piattaforma unificata di Cyber Threat Intelligence, un punto centrale dove aggregare intelligence da fonti OSINT autorevoli e presentarla in modo che abbia senso per chi lavora sul campo.
Ho iniziato a progettare quella che sarebbe diventata la mia CTI Dashboard, con un obiettivo chiaro in mente: aggregare i dati da MITRE ATT&CK, MISP Project e Malpedia in un'unica interfaccia, tracciare in tempo reale l'attività ransomware globale, e mappare le relazioni tra threat actors, malware e tecniche di attacco. Volevo che fosse intuitiva, veloce, e soprattutto utile nel lavoro quotidiano di un analista.
Le Fondamenta: Scegliere le Fonti Giuste
Il primo problema da risolvere era: da dove prendere i dati? Non tutte le fonti di threat intelligence sono create uguali. Alcune sono piene di false positives, altre sono aggiornate sporadicamente, altre ancora sono troppo tecniche o troppo vaghe. Dopo aver valutato diverse opzioni, ho scelto tre pilastri che considero gli standard de facto nella community della cybersecurity.
Il framework MITRE ATT&CK è stato la scelta naturale per mappare le tecniche e tattiche degli avversari. È diventato praticamente il linguaggio universale della cyber threat intelligence. La piattaforma importa tutte le 691 tecniche catalogate, complete delle loro mappature su piattaforme come Windows, Linux, macOS, Cloud e Network. Ma la cosa più interessante è che ogni tecnica è collegata ai threat actors che la utilizzano, permettendo di costruire profili comportamentali dettagliati. Le 14 tattiche principali del ciclo di attacco coprono tutto, dall'Initial Access fino all'Impact finale.
Per i threat actors ho scelto il MISP Project, la Malware Information Sharing Platform. È una piattaforma collaborativa dove la community di intelligence condivide informazioni su attori delle minacce. Mi piaceva l'idea che questi dati provenissero da contributi verificati da analisti di tutto il mondo. MISP mi dà la classificazione tra attori Nation-state (APT sponsorizzati da governi), Criminal (gruppi motivati finanziariamente) e Unknown (quelli di cui ancora si discute l'attribuzione). Include anche l'attribuzione geografica e tutti gli alias che un threat actor può usare, perché sappiamo bene che questi gruppi cambiano nome come cambiano maglietta.
Infine, per il catalogo malware mi sono affidato a Malpedia del Fraunhofer FKIE. È uno dei repository più completi e tecnicamente accurati che abbia trovato, con 785 famiglie malware documentate. Non si limitano a elencare i nomi, ma forniscono metadati tecnici dettagliati, pattern di comportamento e, cosa fondamentale per l'attribution, le relazioni con i threat actors che le utilizzano.
Il Cuore della Piattaforma: La Dashboard
Quando apri la dashboard, la prima cosa che vedi è una panoramica aggregata dello stato delle minacce globali. Ho voluto creare quella sensazione che ottieni quando entri in un centro operativo di sicurezza: tutto a colpo d'occhio, senza dover scavare.
I numeri parlano da soli e si aggiornano in tempo reale. Al momento la piattaforma traccia:
- 938 threat actors catalogati e classificati
- 310 gruppi ransomware attivamente monitorati
- 785 famiglie malware documentate
- Tutte le 691 tecniche del framework ATT&CK
Ma la vera magia sta nei contatori dinamici delle vittime ransomware: puoi vedere quante organizzazioni sono state colpite negli ultimi 7 giorni e negli ultimi 30 giorni. Questi numeri cambiano costantemente, ed è inquietante ma anche affascinante vedere quanto sia attivo questo ecosistema criminale.
Ho dedicato molto tempo alle visualizzazioni perché volevo che fossero davvero utili, non solo belle da vedere. Il ranking dei gruppi ransomware più attivi ti dice subito chi sta facendo più danni in questo momento. La mappa di calore geografica mostra immediatamente quali paesi sono più sotto attacco. E poi c'è la distribuzione per settore industriale: è interessante notare come alcuni gruppi ransomware abbiano preferenze molto chiare, targettizzando quasi esclusivamente manufacturing o healthcare.
Il trend giornaliero degli ultimi 30 giorni è particolarmente utile per identificare pattern. A volte vedi picchi improvvisi di attività che possono correlare con eventi geopolitici o con il rilascio di nuovi exploit. Altre volte noti periodi di calma relativa, magari perché un gruppo importante è stato smantellato dalle forze dell'ordine.
Ma la parte che consulto più spesso è il feed delle vittime in tempo reale. È una tabella che si aggiorna automaticamente mostrando le ultime organizzazioni pubblicate sui leak sites ransomware. Ogni entry include il nome della vittima, il gruppo ransomware responsabile, il paese con la sua flag emoji per identificazione immediata, il settore industriale e il timestamp esatto di quando la vittima è stata scoperta sui leak sites. Questo feed è prezioso per analisti che devono monitorare specifici settori o regioni geografiche.
Conoscere il Nemico: La Sezione Threat Actors
La sezione dei threat actors è dove la piattaforma diventa davvero interessante per chi fa incident response e attribution. Ho sempre creduto che capire chi sta dietro un attacco sia importante quanto capire come è stato eseguito. Con 938 attori di minacce catalogati, questa sezione è diventata una vera e propria encyclopedia del cybercrimine e dello spionaggio informatico.
La prima cosa che ho dovuto affrontare è stata la categorizzazione. Nel mondo della threat intelligence, l'attribuzione è sempre una questione delicata e spesso dibattuta. Ho scelto di mantenere tre categorie principali:
- Nation-state per gli APT sponsorizzati da stati nazionali (quelli che fanno spionaggio industriale o militare)
- Criminal per i gruppi motivati finanziariamente (ransomware, banking trojans, cryptominers)
- Unknown per tutti quegli attori la cui attribuzione è ancora incerta o controversa
Una delle feature che trovo più utile sono i filtri geografici. Ho implementato filtri per 35 paesi di origine, e questo apre la porta a analisi geopolitiche affascinanti. Per esempio, puoi notare come certi gruppi cinesi si concentrino su specifici settori tecnologici, mentre gruppi russi dominano il panorama ransomware. O come alcuni gruppi nordcoreani si siano specializzati in attacchi al settore finanziario e crypto exchange. Questi pattern non sono casuali, riflettono interessi strategici nazionali o economie criminali organizzate a livello geografico.
Per ogni threat actor, il sistema traccia una serie di correlazioni multidimensionali. Puoi vedere quante famiglie malware diverse utilizza, quali tecniche ATT&CK impiega tipicamente, e tutti gli alias conosciuti. Gli alias sono importantissimi perché lo stesso gruppo può essere chiamato diversamente da vendor di sicurezza diversi, creando confusione nell'industry.
Dentro il Dark Web: Il Tracciamento Ransomware
Il modulo ransomware è forse l'elemento più dinamico di tutta la piattaforma, ed è anche stato il più complicato da implementare tecnicamente. Tracciare 310 gruppi ransomware attivi e le loro vittime significa monitorare costantemente i leak sites sparsi nelle reti anonime come Tor e I2P. Questi siti sono dove i gruppi ransomware pubblicano i dati rubati delle vittime che si rifiutano di pagare il riscatto.
Ho dovuto costruire un sistema di web scraping automatizzato capace di navigare il dark web. Il sistema:
- Controlla periodicamente lo stato di ogni leak site (Online, Offline o Unknown)
- Estrae le nuove vittime pubblicate
- Arricchisce automaticamente i dati con informazioni su paese e settore industriale
- Calcola metriche temporali come l'ultimo attacco documentato e la prima attività rilevata del gruppo
Ci sono due visualizzazioni principali in questa sezione. La vista Gruppi mostra tutti i 310 gruppi ransomware con lo stato corrente del loro leak site, i contatori delle vittime negli ultimi 30 giorni contro il totale storico, e la timeline della loro attività.
La vista Vittime è quella che consulto quando devo fare analisi settoriali o geografiche specifiche. Ogni vittima è documentata con tutti i dettagli: nome dell'organizzazione, il gruppo ransomware responsabile, la geolocalizzazione precisa con flag del paese, il settore industriale, e il timestamp esatto di quando è apparsa sul leak site.
Il sistema genera automaticamente diverse analisi di trend. Il ranking dei gruppi più prolifici è sempre in movimento, con Akira, LockBit (nelle sue varie incarnazioni), e altri big players che si contendono le prime posizioni. Le heat map geografiche sono particolarmente illuminanti: vedi chiaramente come gli Stati Uniti siano il target principale, seguiti da Europa e alcuni paesi asiatici.
L'Arsenale delle Minacce: Il Catalogo Malware
Con 785 famiglie malware catalogate, questa sezione è diventata una knowledge base tecnica che consulto costantemente. La distinzione tra "Other" e "Tool" è più importante di quanto sembri:
- Other: include malware custom o specializzato (RAT, trojan, backdoor, wiper)
- Tool: raccoglie gli strumenti legittimi che vengono weaponizzati (come AdFind, AADInternals, o utility di sistema)
Questa distinzione è cruciale per il detection engineering, perché bloccare un malware custom è una cosa, mentre devi essere molto più chirurgico con i tool legittimi per non bloccare attività amministrative legittime.
Per ogni famiglia malware, il sistema traccia relazioni fondamentali. Puoi vedere quali threat actors la utilizzano, e questo è oro per l'attribution. Se durante un incident response trovi un malware specifico, puoi immediatamente vedere chi tipicamente lo usa e costruire ipotesi su chi potrebbe essere dietro l'attacco.
Il sistema mantiene 1.104 collegamenti documentati tra threat actors e malware. Questo network di relazioni è quello che rende possibile fare attribution seria.
Decifrare le Tattiche: Il Framework MITRE ATT&CK
L'integrazione del framework MITRE ATT&CK è stata fondamentale fin dall'inizio. ATT&CK è diventato il linguaggio universale per descrivere il comportamento degli attaccanti, e qualsiasi piattaforma di threat intelligence seria deve parlare questo linguaggio fluentemente.
Le 691 tecniche e sub-tecniche catalogate coprono praticamente ogni mossa che un attaccante può fare. Sono distribuite attraverso 14 tattiche che rappresentano le fasi del kill chain: dall'Initial Access, passando per Execution, Persistence, Privilege Escalation, fino all'Impact finale.
Le mappature actor-technique sono forse la parte più preziosa. Il sistema traccia 4.362 collegamenti tra threat actors e tecniche utilizzate. Questo ti permette di:
- Identificare quali tecniche sono più popolari nel panorama delle minacce
- Analizzare il TTP completo di specifici threat actors
- Fare threat hunting informato cercando comportamenti tipici di certi gruppi
Cercare Nell'Ecosistema
Ho implementato un motore di ricerca unificato perché mi ero stancato di dover fare ricerche separate in ogni sezione. Ora puoi fare query che attraversano tutte le sezioni contemporaneamente: threat actors, ransomware, malware e tecniche. I risultati vengono aggregati con link diretti alle risorse, puoi filtrare per tipo di entità, e la ricerca supporta match parziali e wildcard.
Sotto il Cofano: Come Funziona Tecnicamente
Costruire questa piattaforma ha significato affrontare diverse sfide tecniche interessanti.
Database
Ho progettato uno schema relazionale che riflette la complessità delle relazioni nel mondo della threat intelligence. Ho tabelle normalizzate per le entità principali (actors, malware, techniques, ransomware), ma la vera complessità sta nelle tabelle di junction che gestiscono le relazioni many-to-many.
Pipeline ETL
Il pipeline ETL (Extract, Transform, Load) è il cuore pulsante del sistema:
- Extraction: scraper automatizzati raccolgono periodicamente dati dalle fonti OSINT
- Transformation: normalizzazione dei formati, deduplicazione, e enrichment
- Loading: inserimento incrementale dei dati nel database
Performance e Caching
Ho implementato una strategia di caching aggressiva ma intelligente. Le query aggregate più frequenti vengono cachate, ma l'invalidazione è selettiva. Ho anche implementato il pre-calcolo delle visualizzazioni più pesanti durante le ore notturne.
Sicurezza
Essendo una piattaforma di threat intelligence, la sicurezza è stata una priorità:
- Rate limiting su tutti gli endpoint API
- Validazione e sanitizzazione di ogni input
- HTTPS enforced per tutte le comunicazioni
- Headers di sicurezza: CSP, HSTS, X-Frame-Options
- Logging completo per audit trail
Come Uso la Piattaforma: Scenari Reali
Threat Hunting Proattivo
Quando faccio threat hunting proattivo, la piattaforma è il mio punto di partenza. Posso identificare quali gruppi ransomware stanno targetizzando attivamente un settore specifico, mappare i TTP dei threat actors rilevanti e costruire detection rules specifiche.
Incident Response
Durante un incident response, il tempo è critico. Quando trovo indicatori di compromissione, posso confrontarli velocemente con le famiglie malware note. Se identifico il malware, posso vedere immediatamente quali threat actors tipicamente lo usano e quali sono i loro TTP standard.
Risk Assessment
Per il risk assessment e threat modeling, uso la piattaforma per capire l'exposure reale: quali gruppi ransomware stanno targettando la mia industria? Quali threat actors sono attivi nella mia regione geografica?
Reporting
Quando devo creare report per il management, la piattaforma mi fornisce visualizzazioni e statistiche immediatamente presentabili.
Limiti e Responsabilità
È importante essere onesti sui limiti di questa piattaforma:
- Solo fonti OSINT: questa è intelligence basata esclusivamente su fonti pubbliche
- Attribution controversa: l'attribuzione dei threat actors è notoriamente difficile e dibattuta
- Lag temporale: esiste sempre un ritardo tra quando un attacco succede e quando appare nella piattaforma
- Copertura non esaustiva: non tutte le minacce vengono documentate pubblicamente
Questi dati sono forniti per scopo informativo, educativo, e di ricerca. Decisioni di sicurezza critiche dovrebbero sempre basarsi su intelligence multi-fonte e consulenza di esperti qualificati.
Riflessioni Finali
Costruire questa piattaforma è stato un progetto che è cresciuto organicamente da una necessità personale a qualcosa che spero possa essere utile alla community più ampia della cybersecurity. L'obiettivo è sempre stato democratizzare l'accesso a intelligence di qualità sulle minacce informatiche.
Il panorama delle minacce non è statico. Ogni giorno emergono nuovi threat actors, gruppi ransomware si riorganizzano sotto nuovi nomi, tecniche di attacco si evolvono. Una piattaforma di CTI efficace deve essere altrettanto dinamica.
Ma al di là degli aspetti tecnici, c'è una filosofia che guida questo progetto: la cybersecurity è uno sforzo collettivo. Nessuna organizzazione può affrontare da sola questa minaccia. La condivisione di intelligence e conoscenza è necessaria per innalzare le difese di tutta la community.
I dati presenti nella piattaforma sono aggregati da fonti pubbliche OSINT e forniti a scopo informativo ed educativo. Per questioni di intelligence critica, attribution sensibile, o decisioni di sicurezza significative, si raccomanda sempre di consultare fonti multiple e coinvolgere professionisti qualificati.
Fonti Dati Primarie
- MITRE ATT&CK - Framework di tattiche e tecniche degli avversari
- MISP Project - Malware Information Sharing Platform
- Malpedia - Fraunhofer FKIE Malware Repository