Sfoglia docs

Funzionalità

Come un indicatore entra nel feed

La catena decisionale di Cybora: fonti, comportamento, correlazione, rischio operativo, aging e consegna al firewall.

Ultimo aggiornamento: 29 giugno 2026

In questa pagina

Un feed Cybora non è una raccolta grezza di IP, domini e URL. Ogni indicatore fornito passa attraverso una valutazione che collega i segnali di minaccia tecnica con l’applicabilità operativa. Questa catena decisionale è ciò che separa un ampio elenco da un feed che gli amministratori possono difendere nelle policy del firewall di produzione.

Il principio di base è semplice:

I singoli passaggi sono descritti intenzionalmente in un modo che gli amministratori possono seguire. Le soglie concrete, i pesi, le fonti dei partner e le regole di punteggio interne rimangono protette perché fanno parte della qualità del feed e non devono essere sfruttate dagli aggressori o copiate dai concorrenti.

1. Le fonti forniscono segnali, non decisioni finali

Cybora utilizza diverse fonti di segnali: OSINT, feed commerciali di intelligence sulle minacce, honeypot, sensori, osservazioni di firewall reali da ambienti di produzione e segnali di identità attentamente valutati come ripetuti accessi al cloud non riusciti.

Nessuna fonte è perfetta da sola. OSINT può essere ampio e veloce, ma obsoleto o di basso contesto. I feed commerciali aggiungono copertura, ma non sono automaticamente predisposti per il firewall. Gli honeypot rilevano i primi rumori di Internet, mentre i firewall di produzione mostrano quale infrastruttura tocca i perimetri aziendali reali con servizi reali.

Cybora tratta quindi le sorgenti come segnali di ingresso. Solo la normalizzazione, la deduplicazione, la valutazione del comportamento e la correlazione li trasformano in candidati feed utilizzabili.

2. La normalizzazione rende i segnali comparabili

Prima che un segnale possa essere valutato, deve essere classificato tecnicamente. IP, domini e URL sono tipi di indicatori diversi e successivamente appartengono a funzioni firewall diverse.

In questa fase, i segnali vengono standardizzati, i duplicati vengono ridotti e gli ovvi problemi di formato vengono separati. Questo non è affascinante, ma è importante: un firewall può funzionare in modo affidabile solo quando il feed viene fornito in un formato chiaro e ogni indicatore viene utilizzato nel posto giusto.

Ulteriori informazioni sul formato di output sono documentate in Formato feed nativo del firewall.

3. Il comportamento spiega perché un indicatore è importante

Un puro colpo alla reputazione non dice abbastanza. Per le policy firewall di produzione, il comportamento osservato è importante:

  • scansione di massa
  • tentativi di sfruttamento contro i servizi esposti
  • botnet o comunicazione di comando e controllo
  • phishing o distribuzione di malware
  • ripetuti attacchi alle credenziali
  • attività sospette su più punti di osservazione

Questa classificazione rende il feed più operativo. Un amministratore può capire meglio se un indicatore rappresenta un ampio rumore automatizzato, un’infrastruttura attiva dell’aggressore o un segnale di campagna più forte.

Ulteriori informazioni su questo argomento sono documentate in Segnali basati sul comportamento.

4. La correlazione aumenta la fiducia

Un singolo colpo può essere rumore. Un indicatore diventa molto più forte quando più punti di osservazione indipendenti supportano la stessa infrastruttura.

Esempi:

  • lo stesso IP appare in OSINT e nei feed commerciali
  • un sensore rileva la scansione mentre anche i firewall di produzione osservano la stessa fonte
  • i segnali di identità si ripetono in ambienti indipendenti
  • un dominio corrisponde a un comportamento di phishing ed è confermato anche da ulteriori fonti

La correlazione non significa aggiungere ciecamente il maggior numero possibile di elenchi. La domanda chiave è se segnali diversi supportano in modo plausibile e indipendente lo stesso rischio.

Maggiori informazioni su questo sono documentate in Confermato attraverso punti di osservazione indipendenti.

5. I danni collaterali determinano l’idoneità del firewall

Un indicatore può essere tecnicamente sospetto ed essere comunque troppo rischioso per un blocco rigido. Cybora tratta con particolare cautela:

  • grandi provider di cloud e hosting
  • CDN e proxy inversi
  • infrastruttura SaaS, posta, VPN o identità condivisa
  • reti di fornitori dinamici
  • domini con uso primario legittimo e sottopercorsi compromessi

Quanto maggiore è il rischio di incidere sul traffico legittimo, tanto più solide devono essere le prove. Questa è una delle differenze più importanti tra l’intelligence di analisi e un feed per le policy firewall di produzione.

Ulteriori informazioni su questo argomento sono documentate in Rischio ridotto di falsi positivi, maggiore fiducia operativa.

6. L’invecchiamento mantiene il feed aggiornato

Minaccia i cambiamenti dell’infrastruttura. Gli IP vengono riassegnati, i domini cambiano proprietà, i sistemi compromessi vengono ripuliti e le vecchie campagne perdono rilevanza. Un feed non migliora semplicemente perché cresce.

Cybora valuta quindi non solo se un indicatore una volta era sospetto. Ciò che conta è quanto siano attuali le prove, se siano state osservate ripetutamente e se il ruolo dell’indicatore appaia ancora plausibile. Le prove stantie perdono peso in modo controllato.

Maggiori informazioni su questo argomento sono documentate in Segnali attuali invece di prove stantie.

7. Consegna come feed pronto per il firewall

Se un indicatore è adatto al feed pertinente, viene fornito in un formato semplice pronto per il firewall: un indicatore per riga, recuperabile tramite HTTPS, separato in feed IP, dominio e URL.

La posizione all’interno di un feed può essere intesa come priorità operativa. Gli indicatori con prove più forti, maggiore freschezza e minori danni collaterali attesi vengono riportati più in alto nell’elenco. Ogni voce consegnata deve comunque soddisfare i criteri interni per il feed pertinente.

Il firewall recupera il feed in base al proprio intervallo di polling e lo utilizza nelle funzioni native di elenco esterno, elenco dinamico, alias o feed di minacce.

Ciò che deliberatamente resta interiore

Cybora documenta il principio, non la ricetta esatta. Rimangono interni:

  • regole concrete di punteggio e ponderazione
  • soglie e finestre temporali
  • fonti dei singoli partner e dettagli del cliente
  • logica di rilevamento degli abusi e dei tentativi di evasione
  • regole esatte per l’ammissione, la definizione delle priorità e la rimozione

Per gli amministratori il punto fondamentale è questo: un indicatore non entra nel feed semplicemente perché è stato menzionato da qualche parte. Viene valutato come un segnale, confrontato con altre osservazioni, valutato per l’applicabilità della produzione e quindi consegnato in un formato che i firewall possono utilizzare direttamente.