Paper. What i write

Big Data e Machine Learning per la Cyber Threat Intelligence

Pubblicato il 12 luglio 2026
Vincenzo Calabro' | Big Data e Machine Learning per la Cyber Threat Intelligence

Le difese basate su firme non reggono più un'offesa che si è fatta industria, e la threat intelligence è praticabile solo se automatizzata. Una rassegna critica della letteratura recente mostra però che i veri colli di bottiglia non stanno negli algoritmi: stanno nei dati, nelle metriche con cui li valutiamo e nell'organizzazione dello scambio.
L'ultimo ENISA Threat Landscape analizza 4.875 incidenti registrati in dodici mesi e descrive un ecosistema offensivo che lavora come una filiera. Il phishing, ormai venduto as-a-service, apre circa il 60% delle intrusioni iniziali; le campagne supportate dall'intelligenza artificiale rappresentano oltre l'80% del social engineering osservato; nel solo periodo di riferimento sono state contate 82 varianti ransomware distinte in azione contro organizzazioni europee. Sul fronte opposto i numeri non sono gestibili a mano da tempo. AV-TEST registra oltre 450.000 nuovi programmi malevoli al giorno, la telemetria interna di una media organizzazione si misura in terabyte, e uno studio qualitativo presentato a USENIX Security nel 2022 ha fotografato la condizione degli analisti SOC: sommersi da allarmi che vanno validati uno a uno, dove gran parte dei presunti falsi positivi è in realtà fatta di benign trigger, allarmi tecnicamente corretti ma spiegabili con comportamenti legittimi del contesto. Il problema, più che il volume, è il contesto che manca.
La Cyber Threat Intelligence nasce per fornire quel contesto: conoscenza evidence-based sulle minacce, corredata di indicatori e raccomandazioni azionabili. La tesi di fondo del lavoro qui sintetizzato è che oggi produrla sia possibile solo alla confluenza di due tecnologie, il Big Data per raccogliere ed elaborare e il Machine Learning per analizzare. La confluenza funziona, ma a condizioni precise, che la letteratura ha impiegato quindici anni a mettere a fuoco.

Prima i dati, poi gli algoritmi

La pipeline di riferimento ricalca il ciclo di intelligence: fonti (telemetria, deception, feed, vulnerability e malware intelligence, OSINT), ingestion in streaming e batch, normalizzazione e arricchimento con passive DNS, WHOIS e sandbox, storage su data lake e knowledge graph, quindi analisi e disseminazione, con un anello di feedback che riporta la valutazione dei prodotti sui requisiti. Fin qui, ingegneria nota. La peculiarità del dominio sta in una proprietà che nessun altro campo applicativo del Big Data possiede: una parte del dato è prodotta dall'avversario, che ha interesse a falsificarlo. La veridicità non è una statistica da misurare ma una superficie d'attacco, e l'ingresso della pipeline è un vettore di poisoning permanente.
Quanto ai feed di threat intelligence che le organizzazioni comprano o scaricano, la misura empirica più citata resta «Reading the Tea Leaves» (USENIX Security 2019): fonti che dichiarano di coprire la stessa categoria di minaccia mostrano sovrapposizioni sorprendentemente basse, segno che nessuna osserva più di una frazione del fenomeno, con problemi di latenza e accuratezza confermati da valutazioni indipendenti successive. La traduzione operativa è meno banale di quanto sembri: la qualità del dato va gestita come proprietà di primo livello della pipeline, con scoring, invecchiamento controllato degli indicatori e tracciamento della provenienza, perché nessun modello a valle compensa un ingresso scadente.

La detection e le sue illusioni

Nel 2010 Sommer e Paxson spiegarono perché l'anomaly detection basata su ML fosse così rara nelle reti operative a dispetto di una letteratura sterminata: trovare attacchi è un compito diverso da quelli in cui il machine learning eccelle, perché il paradigma riconosce ciò che somiglia al già visto, non la novità ostile. Il lavoro ha vinto il Test of Time Award di IEEE S&P dieci anni dopo, e nel frattempo la letteratura deep ha continuato a dichiarare detection rate sopra il 99% sui benchmark pubblici. Tre ragioni per diffidare.
I benchmark, per cominciare. CICIDS2017, il dataset più citato della sua generazione, è stato rivisto nel 2021 da Engelen, Rimmer e Joosen, che hanno documentato errori lungo l'intera filiera di produzione, dalla generazione del traffico all'etichettatura; la versione corretta cambia sensibilmente i risultati dei modelli. Poi il tempo: TESSERACT (USENIX Security 2019) ha mostrato che ignorare il concept drift, con partizioni sperimentali che di fatto vedono il futuro, gonfia sistematicamente le prestazioni dichiarate. Infine la matematica. Axelsson dimostrò già nel 2000 che il fattore limitante di un IDS è il tasso di falsi allarmi: quando gli attacchi sono una frazione infinitesima del traffico, il valore predittivo di un allarme è dominato dai falsi positivi, e per allarmi credibili serve un false positive rate nell'ordine di 10⁻⁵, fuori portata per gran parte dei modelli. È la base-rate fallacy, la stessa aritmetica dietro l'alert fatigue dei SOC. Arp et al. (USENIX Security 2022) hanno catalogato dieci insidie ricorrenti di questo tipo e ne hanno trovato traccia pervasiva in trenta pubblicazioni di venue di primo livello. La conseguenza pratica sta in una riga: il modello di detection alza il rapporto segnale-rumore del triage, non emette verdetti.
Il testo come miniera: NLP, dark web e LLM
La Pyramid of Pain ordina gli indicatori per il costo che la loro neutralizzazione impone all'avversario. In cima stanno le TTPs, le tattiche e tecniche che costringono chi attacca a riprogettare il proprio modus operandi, e le TTPs vivono nel linguaggio naturale: report, advisory, blog, forum. Estrarle automaticamente è il compito della colonna NLP della pipeline. iACE (ACM CCS 2016) ha processato 71.000 articoli di 45 blog di sicurezza estraendo circa 900.000 indicatori con il loro contesto; TTPDrill (ACSAC 2017) mappa il testo dei report sulle tecniche ATT&CK con precision e recall oltre l'82%; la generazione successiva ricostruisce interi knowledge graph. Il dark web aggiunge quello che nessun'altra fonte possiede, la voce diretta dell'avversario: mercati di exploit e di accessi, leak site delle operazioni ransomware, con una corsa agli armamenti che arriva fino ai CAPTCHA, aggirati con reti generative avversarie proprio per rendere praticabile la raccolta.
Gli LLM promettono di comprimere tutta questa colonna, con estrazione zero-shot, sintesi di report chilometrici e interrogazione in linguaggio naturale, ancorata via retrieval-augmented generation per contenere le hallucination. Le cautele però pesano più che altrove. Un indicatore inventato da un modello non è rumore, è disinformazione iniettata nella difesa; i report riservati mal si conciliano con API di terze parti; e la prompt injection indiretta, dimostrata da Greshake et al. nel 2023 sulle applicazioni LLM-integrated, è il modello di minaccia naturale per un sistema che legge contenuto ostile per mestiere. Il ruolo ragionevole, allo stato, è quello di copilota dell'analista, con output verificati.

Condividere conviene. Si condivide poco, e male

Gli standard sono maturi: STIX 2.1 per rappresentare la minaccia, TAXII per trasportarla, MISP e OpenCTI per gestirla, con ISAC, CERT/CSIRT e SOC a formare la geografia organizzativa e la direttiva NIS2 che ha trasformato parte dello scambio in obbligo, con pre-allarme a 24 ore, notifica a 72 e relazione finale a un mese. La misura empirica, però, raffredda. Lo studio CTI-Lense presentato a NDSS 2024 ha analizzato circa sei milioni di oggetti STIX condivisi da dieci fonti pubbliche in quasi un decennio: nell'ordine di duemila oggetti unici al giorno, con una ridondanza del 37,9% perfino all'interno dei singoli provider; oltre il 90% del materiale concentrato in firme di malware e URL; il 19% dei dati sui threat actor errato; appena lo 0,09% degli indicator dotato di regole di detection utilizzabili. In termini di Pyramid of Pain, circola soprattutto ciò che vale meno. Le barriere sono note e in gran parte non tecniche: fiducia, timori reputazionali e competitivi, vincoli di privacy gestiti nella pratica con il Traffic Light Protocol, free riding. Tra le direzioni di ricerca c'è la condivisione dei modelli anziché dei dati, via federated learning, che però eredita a sua volta i rischi di poisoning dei partecipanti.

Attribuzione e adversarial: i confini del metodo

Sull'attribuzione la lezione di Rid e Buchanan resta il punto fermo: è un processo con esiti espressi in gradi di confidenza, non un verdetto, articolato su tre livelli che vanno dalla macchina all'operatore fino allo sponsor. Le evidenze tecniche vanno pesate per contraffabilità, come propongono Skopik e Pahi, e casi come Olympic Destroyer, costruito per somigliare a più attori insieme, ricordano che l'artefatto digitale può mentire di proposito. Quanto all'adversarial machine learning, il dominio cyber impone un vincolo che la computer vision non conosce: la perturbazione deve rispettare il problem space, e un malware evaso deve restare un eseguibile funzionante. Gli attacchi realistici costano quindi più di quanto la letteratura lasci temere, e il correttivo di Apruzzese et al., riassunto nel titolo «Real Attackers Don't Compute Gradients», avverte che l'avversario vero preferisce le tattiche semplici, avvelenare l'ingresso della pipeline incluso. Difendere l'integrità del dato conta più che blindare il singolo modello.

Quattro tesi da portare a casa

Il lavoro converge su quattro affermazioni. Il valore dell'intelligence cresce con il livello di astrazione, e con esso il costo di produrla automaticamente. Il collo di bottiglia della difesa non è algoritmico, ma di dato e di organizzazione. Le illusioni di valutazione che affliggono la letteratura sono sistemiche, non incidenti di percorso. E lo strato di machine learning è esso stesso una superficie d'attacco. Il filo che le tiene insieme è un rovesciamento di prospettiva: l'automazione non sostituisce il giudizio dell'analista, ne alza il rapporto segnale-rumore. Perché l'output di una macchina diventi intelligence, cioè conoscenza su cui qualcuno possa decidere, servono spiegabilità, provenienza tracciata e confidenze dichiarate.
 

Vincenzo Calabro'Vincenzo Calabro' | Ingegnere informatico specializzato in sicurezza informatica e investigazione digitali. Autore di articoli e saggi. Lecturer, Speaker, Trainer.