Sfoglia docs

concepts

Privacy e flusso di dati

Come Cybora gestisce generalmente il firewall di produzione e i segnali di identità senza esporre gli ambienti sensibili dei clienti.

Ultimo aggiornamento: 29 giugno 2026

In questa pagina

Cybora può valutare segnali di intelligence sulle minacce provenienti da diverse fonti: OSINT, feed commerciali, honeypot, sensori, osservazioni di firewall reali e segnali di identità selezionati. Il firewall di produzione e i segnali di accesso sono particolarmente preziosi, ma devono essere trattati con particolare attenzione.

Il principio è semplice: per il feed conta il segnale rilevante per la sicurezza, non l’esposizione dell’ambiente del cliente.

Quali dati sono tecnicamente rilevanti

Per un feed sulle minacce del firewall, le osservazioni che aiutano a valutare l’infrastruttura esterna sono più rilevanti. Gli esempi includono:

  • un IP, dominio o URL esterno
  • comportamenti osservati come scansione, comunicazione botnet o ripetuti errori di accesso
  • timestamp o freschezza dell’osservazione
  • ripetizione in ambienti indipendenti
  • contesto tecnico rilevante per la fiducia e i danni collaterali

Le topologie interne dei clienti, le identità degli utenti, i registri grezzi completi o i dettagli riservati dei singoli ambienti non sono rilevanti per la distribuzione dei feed pubblici.

Minimizzazione dei dati e limitazione delle finalità

I segnali di produzione dovrebbero essere elaborati in modo tale da servire solo allo scopo di valutazione della minaccia. Ciò significa meno contesto possibile e quante più prove tecniche necessarie. Laddove siano inclusi segnali provenienti dall’ambiente del cliente o del partner, devono essere ridotti al minimo, opportunamente protetti e gestiti senza dettagli non necessari specifici del cliente.

Cybora non pubblica registri grezzi, nomi di clienti, soglie interne o pesi di origine. La documentazione pubblica spiega perché un tipo di segnale è prezioso, ma non quale ambiente concreto ha prodotto quale colpo.

Gestire i segnali di identità con particolare attenzione

Ripetuti accessi al cloud non riusciti in più ambienti indipendenti possono indicare password spraying, credential stuffing o infrastruttura compromessa. Allo stesso tempo, tali segnali sono soggetti a interpretazioni errate: NAT, VPN, proxy, reti mobili o IP condivisi possono combinare usi legittimi e dannosi.

I segnali di identità non dovrebbero quindi essere intesi come decisioni isolate in blocco. Aumentano di peso solo quando corrispondono a prove aggiuntive, ripetizioni e contesto. Ulteriori informazioni su questo argomento sono documentate in Segnali di identità contro lo spraying delle password e gli attacchi alle credenziali.

Cosa possono trarre gli amministratori da questo

Per gli amministratori, il punto importante è che il feed non sia costruito sulla pubblicazione incontrollata di dati grezzi. La pipeline di dati dovrebbe valutare i segnali, normalizzarli e controllarli per l’utilizzo del firewall di produzione. Ciò rafforza la fiducia senza esporre inutilmente l’aspetto dei singoli ambienti o le regole interne utilizzate da Cybora.

La consegna del feed tecnico stesso è documentata in Formato URL del feed e chiave di licenza. Le indicazioni per la gestione degli URL e delle chiavi dei feed sono documentate in URL dei feed protetti.