RISORSE // GLOSSARIO
Termini chiave nell'intelligence open source, nella cybersecurity e nell'analisi dei siti web — definiti per entrambi i pubblici tecnici e aziendali.
Raccolta di informazioni che comporta un'interazione diretta con il sistema target — scansione delle porte, sondaggio delle vulnerabilità, test di autenticazione. A differenza della ricognizione passiva, la ricognizione attiva può essere rilevata dal target e può avere implicazioni legali senza autorizzazione.
Vedi anche: Ricognizione Passiva
Un identificatore univoco assegnato a un operatore di rete (ISP, provider di hosting, impresa) per l'instradamento del traffico internet. La ricerca ASN rivela quale organizzazione controlla un determinato indirizzo IP, la sua presenza geografica e le relazioni di peering — utile per comprendere le decisioni di hosting e la topologia dell'infrastruttura.
Un gruppo di minaccia sponsorizzato dallo Stato o affiliato a uno Stato che conduce operazioni informatiche prolungate e mirate contro settori o organizzazioni specifici. I gruppi APT sono attribuiti a nazioni da autorità governative di sicurezza informatica e agenzie di intelligence sulla base di tattiche, infrastrutture e modelli di targeting osservati. Le designazioni APT (ad es., APT28, APT41, Lazarus Group) sono monitorate da organizzazioni tra cui MITRE ATT&CK, BSI (Ufficio Federale Tedesco per la Sicurezza delle Informazioni) e le comunità internazionali CERT. Nelle valutazioni della superficie di attacco esterna, la mappatura del panorama delle minacce APT identifica quali gruppi sponsorizzati dallo Stato hanno attività documentata mirata al settore industriale dell'organizzazione, fornendo contesto per decisioni strategiche di rischio.
L'insieme totale dei punti in cui un utente non autorizzato potrebbe tentare di accedere o estrarre dati da un sistema. Nell'intelligence dei siti web, la superficie di attacco esterna comprende tutti gli endpoint pubblicamente visibili, i sottodomini, le porte aperte, le API esposte e i servizi configurati in modo errato. Ridurre la superficie di attacco è un obiettivo primario della gestione della postura di sicurezza.
Una rete di server distribuiti geograficamente che fornisce contenuti web agli utenti in base alla prossimità. I CDN più comuni includono Cloudflare, Akamai e AWS CloudFront. Il rilevamento dei CDN rivela il livello di investimento infrastrutturale e può indicare la distribuzione geografica del pubblico di un obiettivo.
Un sistema di registrazione pubblico che registra tutti i certificati SSL/TLS emessi dalle autorità di certificazione. I ricercatori di sicurezza utilizzano i log CT per scoprire sottodomini, nomi di progetti interni, ambienti di staging e schemi di infrastruttura — spesso rivelando informazioni che l'organizzazione non intendeva rendere pubbliche.
In una valutazione, i log CT da soli hanno rivelato più di 520 sottodomini di una importante piattaforma finanziaria, inclusi i codici nome dei progetti interni.
Software utilizzato per creare e gestire i contenuti di un sito web — WordPress, Shopify, Drupal, Webflow e altri. La rilevazione dei CMS è un segnale fondamentale nell'intelligence dei siti web, rivelando le scelte tecnologiche, le potenziali vulnerabilità (specifiche della versione) e il livello di maturità operativa.
Una normativa UE che stabilisce requisiti obbligatori di cybersicurezza per i prodotti con elementi digitali — hardware, software e dispositivi connessi venduti nel mercato europeo. Il CRA richiede ai produttori e ai distributori di implementare principi di security-by-design, fornire processi di gestione delle vulnerabilità e segnalare le vulnerabilità attivamente sfruttate entro 24 ore. La non conformità comporta sanzioni fino a €15 milioni o il 2,5 % del fatturato annuo globale. Scadenza chiave: settembre 2026 per l'applicazione completa.
Un identificatore standardizzato per le vulnerabilità di cybersicurezza note pubblicamente (ad es., CVE-2024-2473). Ogni CVE dispone di un punteggio di gravità (CVSS) e di una descrizione. L'intelligence dei siti web incrocia le versioni del software rilevate con i database CVE per identificare potenziali esposizioni.
Un sistema di punteggio numerico (0.0–10.0) che valuta la gravità delle vulnerabilità di sicurezza. I punteggi superiori a 7.0 sono considerati di alta gravità, superiori a 9.0 critici. I punteggi CVSS aiutano a dare priorità alla mitigazione basandosi sull'exploitabilità reale e sul potenziale impatto.
La traccia totale di dati che un'organizzazione o un individuo lascia su Internet — siti web, record DNS, profili dei social media, repository di codice, registrazioni di certificati e archivi web storici. La ricognizione passiva mappa questa impronta senza creare nuove tracce.
Il sistema che traduce i nomi di dominio leggibili dall’uomo (example.com) in indirizzi IP. I record DNS (A, MX, TXT, CNAME, NS) sono una ricca fonte di intelligence — rivelano i provider di posta, l’infrastruttura di hosting, le integrazioni di servizi di terze parti e i record di verifica del dominio per gli strumenti SaaS.
Un protocollo di autenticazione delle email che indica ai server di posta in arrivo come gestire i messaggi che non superano i controlli SPF o DKIM. Una politica DMARC di "reject" indica una sicurezza email avanzata; "none" significa che il dominio può essere facilmente falsificato per attacchi di phishing.
Una normativa UE applicabile alle entità finanziarie — banche, compagnie assicurative, società di investimento, fornitori di servizi di pagamento e ai loro fornitori terzi critici di ICT. Attiva dal gennaio 2025, DORA impone quadri completi di gestione del rischio ICT, segnalazione degli incidenti entro scadenze rigorose, test di resilienza operativa digitale e supervisione del rischio dei fornitori terzi. Diversamente da NIS2, DORA è una normativa (applicabile direttamente) piuttosto che una direttiva, e si concentra specificamente sulla resilienza operativa dell'infrastruttura digitale del settore finanziario.
Il processo di indagine sulla presenza digitale di un'azienda, sulla sua postura di sicurezza e sulla sua infrastruttura tecnica prima di una decisione commerciale — M&A, partnership, selezione del fornitore o investimento. L'intelligence dei siti web automatizza la componente tecnica della due diligence digitale estraendo oltre 150 segnali dai dati pubblici.
Il processo continuo di scoperta, inventario, classificazione e monitoraggio delle risorse esposte a Internet di un'organizzazione — incluse le risorse di cui l'organizzazione potrebbe non essere a conoscenza. EASM va oltre la tradizionale scansione delle vulnerabilità combinando la scoperta dei sottodomini, l'analisi della trasparenza dei certificati, il rilevamento dell'infrastruttura cloud, l'enumerazione delle API esposte e la mappatura dei servizi di terze parti in un quadro unificato di visibilità esterna. Un EASM efficace fornisce la base per la conformità normativa secondo CRA, NIS2 e DORA dimostrando un monitoraggio continuo della sicurezza.
Vedi anche: Superficie di Attacco, CRA
La parte della superficie di attacco di un'organizzazione che è visibile da Internet pubblico — server web, record DNS, servizi esposti, sottodomini e API pubbliche. La gestione della superficie di attacco esterna (EASM) prevede il monitoraggio continuo e la riduzione di questa esposizione.
Regolamento UE che disciplina la protezione dei dati personali. Nell'intelligence dei siti web, i segnali di conformità al GDPR includono i meccanismi di consenso ai cookie, la qualità dell'informativa sulla privacy, l'implementazione dei diritti degli interessati e la trasparenza del trattamento dei dati. L'assenza di conformità rappresenta sia un rischio legale sia un indicatore di opportunità di vendita.
Un'intestazione di sicurezza che istruisce i browser a connettersi esclusivamente tramite HTTPS, prevenendo gli attacchi di downgrade. HSTS con preload e includeSubDomains indica una forte consapevolezza della sicurezza. La sua assenza è un segnale di sicurezza negativo rilevabile tramite ricognizione passiva.
Malware progettato per raccogliere credenziali, cookie e token di sessione dai dispositivi infetti. I log di Infostealer vengono scambiati nei marketplace del dark web e contengono nomi utente, password e URLs — rappresentando una fonte primaria di intelligence sulle violazioni di credenziali.
Il processo strutturato per produrre intelligence azionabile: definizione dei requisiti → raccolta → elaborazione → analisi → reporting → feedback. Le operazioni professionali di OSINT seguono questo ciclo per garantire coerenza, accuratezza e rilevanza dei risultati.
Vedi: La nostra metodologia
Il processo di identificazione e documentazione dell'infrastruttura tecnica di un'organizzazione — server, intervalli IP, provider di hosting, topologia DNS, configurazione CDN e architettura dei servizi. La mappatura passiva dell'infrastruttura utilizza DNS, certificati e dati WHOIS senza toccare i sistemi target.
Una metodologia per classificare i potenziali clienti in base alla loro probabilità di conversione. Nell’intelligence dei siti web, il lead scoring utilizza segnali pubblici — profondità dello stack tecnologico, lacune di sicurezza, stato di conformità e indicatori di business — per assegnare voti da A a F che prevedono il potenziale di chiusura e raccomandano gli approcci di engagement.
La pratica di incrociare le informazioni provenienti da più fonti indipendenti prima di segnalare i risultati. Un segnale rilevato con un metodo è un'indicazione; confermato da tre fonti indipendenti, diventa intelligence. Questo principio riduce i falsi positivi e aumenta la fiducia nelle valutazioni.
EU ... etc ... ... ... ... etc... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ``` Thus we translate that.
Quadro normativo dell’UE (Regulation 2023/1114) che stabilisce regole complete per i fornitori di servizi di crypto‑asset (CASP). MiCA copre la gestione del rischio ICT (Art. 62), la resilienza operativa (Art. 67), la tutela dei crypto‑asset dei clienti (Art. 68), la custodia e l’amministrazione (Art. 75), i servizi di scambio (Art. 79) e la gestione dei reclami (Art. 83). Nell’ambito della valutazione delle superfici di attacco esterne, la mappatura della conformità a MiCA individua le lacune di sicurezza rilevanti per le organizzazioni operanti nel settore dei crypto‑asset — dai fornitori di exchange e wallet di custodia ai soggetti emittenti di token.
Vedi anche: DORA
La direttiva UE aggiornata sulla cybersicurezza, che sostituisce la Direttiva NIS originale. NIS2 è una direttiva — il che significa che gli Stati membri dell’UE devono recepirla nella legislazione nazionale — e non un regolamento direttamente applicabile come DORA o CRA. Amplia il campo di applicazione delle entità coperte in due categorie: “essenziali” (energia, trasporti, servizi bancari, sanità, acqua, infrastrutture digitali) e “importanti” (servizi postali, gestione dei rifiuti, manifattura, alimentare, fornitori digitali). NIS2 impone misure di gestione del rischio, segnalazione degli incidenti entro 24 ore per incidenti significativi, sicurezza della catena di fornitura e responsabilità dell’organo di gestione. Le sanzioni per le entità essenziali possono arrivare a 10 milioni di € o al 2 % del fatturato globale.
Una valutazione numerica (0-100) che indica il potenziale valore commerciale di interagire con un potenziale cliente, basata su lacune e necessità identificate. Punteggi di opportunità elevati indicano molteplici problematiche affrontabili — vulnerabilità di sicurezza, lacune di conformità o debito tecnico — combinati con segnali di budget e prontezza organizzativa.
Intelligence derivata da fonti pubblicamente disponibili — siti web, record DNS, social media, log dei certificati, repository di codice, database pubblici e archivi web. OSINT è legale per definizione perché utilizza solo informazioni accessibili senza autenticazione o autorizzazione. È utilizzata da ricercatori di sicurezza, forze dell'ordine, giornalisti e aziende di tutto il mondo.
Raccolta di informazioni mediante l'osservazione di dati pubblicamente accessibili senza alcuna interazione con il sistema target. Nessun tentativo di autenticazione, nessun invio di moduli, nessuna scansione attiva. La ricognizione passiva è invisibile al target e completamente legale — osserva gli stessi dati visibili a qualsiasi browser web o motore di ricerca.
Cryptographic algorithms designed … etc ... ... ... etc... ``` We need to translate the visible text: the heading heading etc. We must output only the translation. We need to...
Algoritmi crittografici progettati per resistere agli attacchi sia da computer classici che quantistici. NIST ha finalizzato tre standard PQC nell’agosto 2024: ML‑KEM (FIPS 203) per la crittazione chiave, ML‑DSA (FIPS 204) per le firme digitali e SLH‑DSA (FIPS 205) per le firme basate su hash. Le organizzazioni affrontano pressioni normative – intrap ‑ …
See ...
Una strategia avversaria in cui il traffico di rete crittografato viene intercettato e archiviato oggi con l'aspettativa di decrittarlo una volta che i computer quantistici saranno in grado di violare gli attuali algoritmi crittografici. Questa minaccia è particolarmente rilevante per i dati con requisiti di riservatezza a lungo termine: registri finanziari, dati medici, proprietà intellettuale, comunicazioni diplomatiche e segreti commerciali. La tempistica tra la raccolta e la capacità di decrittare è stimata tra tre e dieci anni, rendendo la migrazione immediata verso la crittografia post-quantistica una priorità di gestione del rischio piuttosto che una considerazione futura.
Il processo di sondare le porte di rete di un server per identificare i servizi in esecuzione (web server sulla porta 443, posta sulla 25, FTP sulla 21, ecc.). La scansione attiva delle porte è rilevabile; gli approcci passivi utilizzano database di scansioni storiche per identificare i servizi esposti senza interazione diretta.
La pratica di segnalare le vulnerabilità di sicurezza all'organizzazione interessata prima della loro pubblicazione, consentendo tempo per la mitigazione. I professionisti OSINT seguono protocolli di divulgazione responsabile quando la ricognizione passiva rivela problemi di sicurezza critici.
Intestazioni di risposta HTTP che istruiscono i browser su come gestire il contenuto in modo sicuro. Le intestazioni chiave includono Content-Security-Policy (previene XSS), X-Frame-Options (previene il clickjacking), HSTS (forza HTTPS) e Permissions-Policy (limita le funzionalità del browser). L'assenza di intestazioni di sicurezza è una delle scoperte più comuni nelle valutazioni di intelligence dei siti web.
Lo stato complessivo della sicurezza degli asset digitali di un'organizzazione, osservabile dall'esterno — configurazione SSL, intestazioni di sicurezza, vulnerabilità note, servizi esposti e indicatori di minaccia. La valutazione della postura di sicurezza tramite ricognizione passiva rivela ciò che un attaccante vedrebbe senza alcuna sfruttamento.
Valutazione automatizzata della sicurezza di programmi autoeseguibili distribuiti su reti blockchain (principalmente Ethereum e catene compatibili EVM). L'analisi statica esamina il codice sorgente del contratto alla ricerca di pattern di vulnerabilità noti senza esecuzione, mentre l'analisi simbolica simula i percorsi di esecuzione per scoprire stati sfruttabili. Le principali classi di vulnerabilità includono la reentrancy (quando una chiamata esterna rientra nel contratto prima che gli aggiornamenti di stato siano completati), debolezze nel controllo degli accessi, condizioni di overflow di interi e pattern di delegatecall non sicuri. L'analisi richiede codice sorgente verificato pubblicamente — i contratti senza sorgente verificata sugli explorer di blocchi non possono essere analizzati a livello sorgente.
Vedi anche: YARA Rules
Protocolli crittografici che proteggono le comunicazioni tra browser web e server (la “S” in HTTPS). L'analisi dei certificati SSL rivela l'autorità di emissione, le date di scadenza, la copertura del dominio (inclusi i sottodomini tramite voci SAN), e le voci dei log di trasparenza dei certificati — tutti segnali di intelligence di valore.
Un prefisso di dominio che crea un indirizzo separato all'interno di un dominio padre (ad es., mail.example.com, staging.example.com). L'enumerazione dei sottodomini tramite record DNS e trasparenza dei certificati rivela spesso sistemi interni, ambienti di staging e infrastrutture non destinati alla scoperta pubblica.
Informazioni sullo stack tecnologico utilizzato da un'azienda — CMS, framework, analytics, processori di pagamento, CDN, hosting e integrazioni di terze parti. I dati tecnografici rappresentano un segnale primario per l'intelligence di vendita perché rivelano budget, livello di sofisticazione e esigenze specifiche che possono essere soddisfatte.
Il processo di identificare
Una valutazione numerica composita (tipicamente 0‑100) che aggrega molteplici segnali di sicurezza in un unico indicatore di rischio. I punteggi di minaccia combinano i risultati delle regole di rilevamento malware, dei database di URL dannose, degli indicatori di vulnerabilità e dell'analisi della configurazione di sicurezza. Punteggi più alti indicano un rischio maggiore.
Un individuo, gruppo o organizzazione che conduce attività informatiche dannose. Gli attori della minaccia vanno da gruppi criminali motivati dal profitto e hacktivisti a gruppi APT sponsorizzati dallo Stato che svolgono spionaggio, sabotaggio o furto di proprietà intellettuale. Nell'intelligence delle minacce, gli attori sono classificati per attribuzione (paese di origine), motivazione (spionaggio, finanziaria, ideologica), settori bersaglio (finanza, sanità, difesa, energia) e tattiche documentate mappate a framework come MITRE ATT&CK. Comprendere quali attori della minaccia mirano a un determinato settore industriale informa le priorità difensive e la pianificazione della risposta agli incidenti.
L'insieme completo delle minacce rilevanti per una specifica organizzazione, settore o area geografica in un determinato momento. Una valutazione del panorama delle minacce identifica quali attori minacciosi stanno attivamente prendendo di mira il settore, quali tecniche di attacco impiegano e quali asset o dati cercano. Per le valutazioni della superficie di attacco esterna, la mappatura del panorama delle minacce specifico per settore mette in correlazione la classificazione industriale dell'organizzazione con i database di attori minacciosi attribuiti dal governo, al fine di evidenziare i gruppi sponsorizzati dallo Stato più pertinenti, le loro tattiche note e la loro storia documentata di targeting.
Template di rilevamento mantenuti dalla community che coprono oltre 10.000 vulnerabilità note, configurazioni errate e servizi esposti. La scansione basata su template consente un'identificazione rapida dei problemi di sicurezza su ampie infrastrutture, confrontando i pattern osservabili con una libreria continuamente aggiornata di debolezze conosciute. I template coprono intestazioni di sicurezza mancanti, pannelli di amministrazione esposti, software obsoleto, credenziali predefinite e CVE noti — contribuendo alla valutazione automatizzata delle minacce e alla mappatura della conformità.
Un sistema di sicurezza che monitora e filtra il traffico HTTP tra un'applicazione web e Internet. La rilevazione del WAF (o la sua assenza) è un indicatore significativo della postura di sicurezza — le organizzazioni senza protezione WAF espongono le proprie applicazioni direttamente al traffico di attacco.
La pratica di estrarre, correlare e valutare dati completi da qualsiasi URL per produrre report di intelligence strutturati e azionabili. L'intelligence del sito web combina il rilevamento delle tecnologie, la valutazione della sicurezza, la scoperta dei contatti, l'analisi SEO, la valutazione della conformità e l'estrazione di segnali di business in un unico processo automatizzato.
Un protocollo e sistema di database che memorizza le informazioni di registrazione del dominio — registrante, registrar, nameserver, date di creazione/scadenza. Anche con la protezione della privacy attivata, i dati WHOIS rivelano i modelli di registrazione, le scelte dei nameserver e l’età del dominio — tutti segnali di intelligence utili.
Regole di corrispondenza di pattern utilizzate per identificare e classificare malware, minacce web e contenuti sospetti. Le regole YARA analizzano HTML, JavaScript e altri contenuti web alla ricerca di pattern maligni noti — script di cryptominer, moduli di phishing, skimmer di carte di credito, webshell e reindirizzamenti dannosi.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.