RISORSE // GLOSSARIO
Termini chiave nell'intelligence open source, cybersecurity e analisi dei siti web — definiti per audience tecniche e aziendali.
Raccolta di intelligence che prevede un'interazione diretta con il sistema bersaglio — scansione delle porte, analisi delle vulnerabilità, test di autenticazione. A differenza del riconoscimento passivo, il riconoscimento attivo può essere rilevato dal bersaglio e può comportare implicazioni legali in assenza di autorizzazione.
Vedi anche: Riconoscimento passivo
Un identificatore unico assegnato a un operatore di rete (ISP, provider di hosting, azienda) per instradare il traffico internet. La ricerca ASN rivela quale organizzazione controlla un determinato indirizzo IP, il loro footprint geografico e le loro relazioni di peering — utile per comprendere le decisioni di hosting e la topologia dell'infrastruttura.
L'insieme totale di punti in cui un utente non autorizzato potrebbe tentare di accedere o estrarre dati da un sistema. Nell'intelligenza del sito web, la superficie di attacco esterna include tutti gli endpoint visibili pubblicamente, i sottodomini, le porte aperte, le API esposte e i servizi mal configurati. Ridurre la superficie di attacco è un obiettivo principale della gestione della postura di sicurezza.
Una rete di server distribuita geograficamente che fornisce contenuti web agli utenti in base alla prossimità. Le CDN più comuni includono Cloudflare, Akamai e AWS CloudFront. Il rilevamento della CDN rivela il livello di investimento nell'infrastruttura e può indicare la distribuzione geografica del pubblico bersaglio.
Un sistema di registrazione pubblico che registra tutti i certificati SSL/TLS emessi dalle autorità di certificazione. Gli ricercatori di sicurezza utilizzano i log CT per scoprire sottodomini, nomi di progetti interni, ambienti di staging e schemi di infrastruttura — spesso rivelando informazioni che l'organizzazione non intendeva rendere pubbliche.
In un'analisi, i log CT hanno rivelato da soli 520+ sottodomini di una piattaforma finanziaria importante, inclusi i nomi in codice dei progetti interni.
Software utilizzato per creare e gestire il contenuto del sito web — WordPress, Shopify, Drupal, Webflow e altri. La rilevazione del CMS è un segnale fondamentale nell'intelligenza del sito web, rivelando le scelte tecnologiche, le potenziali vulnerabilità (specifiche per versione) e la maturità operativa.
Un regolamento UE che stabilisce requisiti obbligatori di sicurezza informatica per i prodotti con elementi digitali — hardware, software e dispositivi connessi venduti sul mercato europeo. Il CRA richiede ai produttori e ai distributori di implementare principi di sicurezza per progettazione, di fornire processi di gestione delle vulnerabilità e di segnalare entro 24 ore le vulnerabilità sfruttate attivamente. La mancata conformità comporta sanzioni fino a 15 milioni di euro o lo 0,25% del fatturato annuo globale. Scadenza chiave: settembre 2026 per l'applicazione completa.
Un identificatore standardizzato per vulnerabilità informatiche note al pubblico (ad esempio, CVE-2024-2473). Ogni CVE ha un punteggio di gravità (CVSS) e una descrizione. L'intelligenza del sito web confronta le versioni del software rilevate con le banche dati CVE per identificare potenziali esposizioni.
Un sistema di valutazione numerica (0,0–10,0) che valuta la gravità delle vulnerabilità di sicurezza. I punteggi superiori a 7,0 sono considerati di alta gravità, superiori a 9,0 critici. I punteggi CVSS aiutano a priorizzare le misure correttive in base alla possibilità di sfruttamento nel mondo reale e al potenziale di impatto.
La traccia totale di dati che un'organizzazione o un individuo lascia su Internet — siti web, record DNS, profili sui social media, repository di codice, registrazioni di certificati e archivi storici del web. La ricognizione passiva mappa questa impronta senza creare nuove tracce.
Il sistema che traduce i nomi di dominio leggibili dagli esseri umani (esempio.com) in indirizzi IP. I record DNS (A, MX, TXT, CNAME, NS) sono una fonte ricca di informazioni — rivelando fornitori di posta, infrastruttura di hosting, integrazioni con servizi di terze parti e record di verifica del dominio per strumenti SaaS.
Un protocollo di autenticazione delle email che indica ai server di posta riceventi come gestire le email che non superano i controlli SPF o DKIM. Una politica DMARC di "reject" indica una sicurezza email matura; "none" significa che il dominio può essere facilmente contraffatto per attacchi di phishing.
Un regolamento UE applicabile alle entità finanziarie — banche, compagnie di assicurazione, società di investimento, fornitori di servizi di pagamento e i loro fornitori di servizi ICT terzi critici. Attivo dal gennaio 2025, DORA mantiene framework di gestione del rischio ICT comprensivi, rapporti sugli incidenti entro tempi strettissimi, test di resilienza operativa digitale e sorveglianza del rischio da fornitori terzi. A differenza di NIS2, DORA è un regolamento (direttamente applicabile) e non una direttiva, e si concentra specificamente sulla resilienza operativa dell'infrastruttura digitale del settore finanziario.
Il processo di indagine sulla presenza digitale, postura di sicurezza e infrastruttura tecnica di un'azienda prima di un'decisione aziendale — fusione/acquisizione, partnership, selezione di fornitori o investimento. L'intelligenza del sito web automatizza il componente tecnico della due diligence digitale estraendo 150+ segnali dai dati pubblici.
Il processo continuo di scoperta, catalogazione, classificazione e monitoraggio degli asset esposti su Internet di un'organizzazione — compresi gli asset di cui l'organizzazione potrebbe non essere a conoscenza. L'EASM va oltre lo scanning tradizionale delle vulnerabilità combinando scoperta dei sottodomini, analisi della trasparenza dei certificati, rilevamento dell'infrastruttura cloud, enumerazione delle API esposte e mappatura dei servizi di terze parti in un'unica visione esterna. Una gestione efficace della superficie di attacco esterno fornisce la base per il rispetto delle normative CRA, NIS2 e DORA dimostrando un monitoraggio continuo della sicurezza.
Vedi anche: Superficie di Attacco, CRA
La porzione della superficie di attacco di un'organizzazione visibile dall'Internet pubblica — server web, record DNS, servizi esposti, sottodomini e API pubbliche. La gestione della superficie di attacco esterna (EASM) prevede il monitoraggio continuo e la riduzione di questa esposizione.
Regolamento UE che regolamenta la protezione dei dati personali. Nell'intelligenza dei siti web, i segnali di conformità al GDPR includono i meccanismi di consenso per i cookie, la qualità dell'informativa sulla privacy, l'implementazione dei diritti del soggetto dei dati e la trasparenza del trattamento dei dati. La mancanza di conformità rappresenta sia un rischio legale che un indicatore di opportunità commerciale.
Un'intestazione di sicurezza che istruisce i browser a connettersi esclusivamente tramite HTTPS, prevenendo gli attacchi di degradazione. L'HSTS con preload e includeSubDomains indica una forte consapevolezza della sicurezza. La sua assenza è un segnale negativo di sicurezza rilevabile attraverso la ricognizione passiva.
Malware progettato per raccogliere credenziali, cookie e token di sessione da dispositivi infetti. I log degli Infostealer vengono scambiati su mercati del dark web e contengono nomi utente, password e URL, rendendoli una fonte primaria per l'intelligence sulle violazioni delle credenziali.
Il processo strutturato per produrre intelligence operativa: definizione dei requisiti → raccolta → elaborazione → analisi → rapportazione → feedback. Le operazioni professionali di OSINT seguono questo ciclo per garantire coerenza, accuratezza e rilevanza degli output.
Vedi: La nostra metodologia
Il processo di identificazione e documentazione dell'infrastruttura tecnica di un'organizzazione — server, fasci di indirizzi IP, fornitori di hosting, topologia DNS, configurazione CDN e architettura dei servizi. La mappatura passiva dell'infrastruttura utilizza dati DNS, certificati e WHOIS senza interagire con i sistemi target.
Una metodologia per classificare i potenziali clienti in base alla loro probabilità di conversione. Nell'intelligenza sui siti web, la valutazione dei contatti utilizza segnali pubblici — profondità dello stack tecnologico, lacune di sicurezza, stato di conformità e indicatori aziendali — per assegnare voti da A a F che prevedono il potenziale di affari e raccomandano approcci di engagement.
La pratica di incrociare informazioni da più fonti indipendenti prima di segnalare i risultati. Un segnale rilevato da un metodo è un indizio; confermato da tre fonti indipendenti, diventa intelligence. Questo principio riduce i falsi positivi e aumenta la fiducia nelle valutazioni.
Quadro normativo dell'UE (Regolamento 2023/1114) che stabilisce regole complete per i fornitori di servizi per cripto-attivi (CASPs). MiCA copre la gestione del rischio ICT (Art. 62), la resilienza operativa (Art. 67), la protezione degli asset cripto dei clienti (Art. 68), la custodia e l'amministrazione (Art. 75), i servizi di scambio (Art. 79) e la gestione delle lamentele (Art. 83). Nella valutazione della superficie di attacco esterna, la mappatura della conformità MiCA identifica le lacune di sicurezza rilevanti per le organizzazioni che operano nel settore dei cripto-attivi – dagli scambi ai fornitori di portafogli custodiali fino agli emittenti di token.
Vedi anche: DORA
La direttiva aggiornata dell'UE sulla cybersecurity, che sostituisce la Direttiva originale NIS. La NIS2 è una direttiva – il che significa che gli Stati membri dell'UE devono trasporlarla nella legislazione nazionale – e non una regolamentazione direttamente applicabile come DORA o CRA. Espande l'ambito delle entità coperte in due categorie: "essenziali" (energia, trasporti, banche, sanità, acqua, infrastrutture digitali) e "importanti" (servizi postali, gestione rifiuti, manifatturiero, alimentare, fornitori digitali). La NIS2 impone misure di gestione dei rischi, segnalazione degli incidenti entro 24 ore per gli incidenti significativi, sicurezza della catena di fornitura e responsabilità del management. Le sanzioni per le entità essenziali possono raggiungere i 10 milioni di euro o il 2% del fatturato globale.
Un punteggio numerico (0-100) che indica il potenziale valore commerciale di un contatto con un prospecto, basato su lacune e bisogni identificati. Alti punteggi di opportunità indicano più problemi risolvibili – debolezze di sicurezza, lacune in termini di conformità o debito tecnico – combinati con segnali di disponibilità del budget e prontezza organizzativa.
Intelligence ottenuta da fonti pubblicamente disponibili — siti web, record DNS, social media, log dei certificati, repository di codice, database pubblici e archivi web. L'OSINT è legale per definizione perché utilizza solo informazioni accessibili senza autenticazione o autorizzazione. Viene utilizzata da ricercatori in materia di sicurezza, forze dell'ordine, giornalisti e aziende in tutto il mondo.
Vedi anche: Passive Reconnaissance 101
Raccolta di informazioni attraverso l'osservazione di dati accessibili pubblicamente senza alcuna interazione con il sistema bersaglio. Nessun tentativo di autenticazione, nessun invio di moduli, nessun probing attivo. Il riconoscimento passivo è indetectabile per il bersaglio ed interamente legale — osserva gli stessi dati visibili a qualsiasi browser web o motore di ricerca.
Il processo di esplorazione delle porte di rete di un server per identificare i servizi in esecuzione (server web su 443, posta elettronica su 25, FTP su 21, ecc.). La scansione attiva delle porte è rilevabile; gli approcci passivi utilizzano database di scansione storici per identificare i servizi esposti senza interazione diretta.
La pratica di segnalare le vulnerabilità di sicurezza all'organizzazione interessata prima di pubblicarle, permettendo il tempo necessario per la risoluzione. I professionisti OSINT seguono protocolli di divulgazione responsabile quando la ricognizione passiva rivela problemi di sicurezza critici.
Intestazioni delle risposte HTTP che istruiscono i browser su come gestire il contenuto in modo sicuro. Le intestazioni chiave includono Content-Security-Policy (previene XSS), X-Frame-Options (previene clickjacking), HSTS (forza HTTPS) e Permissions-Policy (limita le funzionalità del browser). L'assenza di intestazioni di sicurezza è uno dei problemi più comuni nei test di valutazione dell'intelligenza dei siti web.
Lo stato complessivo della sicurezza degli asset digitali di un'organizzazione osservabile dall'esterno — configurazione SSL, intestazioni di sicurezza, vulnerabilità note, servizi esposti e indicatori di minaccia. L'assessment della postura della sicurezza attraverso la ricognizione passiva rivela ciò che un attaccante vedrebbe senza alcun sfruttamento.
Protocolli crittografici che proteggono le comunicazioni tra browser web e server (l'\"S\" nell'HTTPS). L'analisi del certificato SSL rivela l'autorità emittente, le date di scadenza, la copertura del dominio (compresi i sottodomini tramite voci SAN) e le voci del registro di trasparenza del certificato — tutti segnali utili per l'intelligence.
Un prefisso di dominio che crea un indirizzo separato all'interno di un dominio principale (es. mail.example.com, staging.example.com). L'enumerazione dei sottodomini attraverso i record DNS e la trasparenza dei certificati rivela spesso sistemi interni, ambienti di staging e infrastrutture non destinati alla scoperta pubblica.
Informazioni sullo stack tecnologico utilizzato da un'azienda — CMS, framework, analitica, gestori di pagamento, CDN, ospitamento e integrazioni di terze parti. I dati tecnografici rappresentano un segnale primario per l'intelligenza vendite poiché rivelano budget, sofisticazione e esigenze specifiche che possono essere indirizzate.
Il processo di identificazione del software, dei framework e dei servizi in esecuzione su un sito web analizzando modelli HTML, biblioteche JavaScript, intestazioni HTTP e altri indicatori osservabili. Le banche dati moderne di fingerprinting contengono oltre 3.000 firme tecnologiche.
Una valutazione numerica composta (tipicamente 0-100) che aggrega più segnali di sicurezza in un unico indicatore di rischio. I punteggi di minaccia combinano i risultati delle regole di rilevamento del malware, delle banche dati di URL dannose, degli indicatori di vulnerabilità e dell'analisi della configurazione della sicurezza. Punteggi più alti indicano un rischio maggiore.
Modelli di rilevamento mantenuti dalla community che coprono 10.000+ vulnerabilità, configurazioni errate e servizi esposti noti. La scansione basata su modelli consente l'identificazione rapida di problemi di sicurezza su grandi infrastrutture confrontando schemi osservabili con una libreria continuamente aggiornata di debolezze note. I modelli coprono intestazioni di sicurezza mancanti, pannelli di amministrazione esposti, software obsoleti, credenziali predefinite e CVE note — contribuendo al punteggio automatico delle minacce e alla mappatura della conformità.
Un sistema di sicurezza che monitora e filtra il traffico HTTP tra un'applicazione web e Internet. Il rilevamento del WAF (o la sua assenza) è un indicatore significativo della postura di sicurezza — le organizzazioni senza protezione WAF espongono direttamente le loro applicazioni al traffico di attacco.
La pratica di estrarre, correlare e valutare dati completi da qualsiasi URL per produrre rapporti di intelligence strutturati e azionabili. L'intelligenza del sito web combina il rilevamento della tecnologia, la valutazione della sicurezza, l'individuazione dei contatti, l'analisi SEO, la valutazione della conformità e l'estrazione dei segnali aziendali in un unico processo automatizzato.
Un protocollo e un sistema di database che memorizza le informazioni di registrazione del dominio — registrante, registrar, nameserver, date di creazione/scadenza. Anche con la protezione della privacy attivata, i dati WHOIS rivelano schemi di registrazione, scelte dei nameserver e l'età del dominio — tutti segnali utili per l'intelligence.
Regole di corrispondenza di modelli utilizzate per identificare e classificare malware, minacce web e contenuti sospetti. Le regole YARA scansionano HTML, JavaScript e altri contenuti web alla ricerca di schemi maliziosi noti — script di criptominer, moduli di phishing, skimmer di carte di credito, webshell e rediretti maliziosi.
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.