Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

  • Cookie
    _GRECAPTCHA
  • Durata
    180 giorni
  • descrizione
    Questo cookie è utilizzato dal servizio Google reCAPTCHA per proteggere il sito da spam e abusi, distinguendo tra utenti reali e bot. Esegue un'analisi del rischio raccogliendo informazioni sul comportamento di navigazione e sul dispositivo, come movimenti del mouse, sequenze di tasti e dettagli tecnici.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Approfondimento Tecnologico

Google Threat Intelligence: cos’è e come funziona?

Scopri cos'è Google Threat Intelligence, come funziona e perché è uno strumento strategico per proteggere le aziende dalle minacce informatiche.

Sicurezza informatica

30 Maggio 2025

Indice dei contenuti

  • Cos’è Google Threat Intelligence
  • Caratteristiche principali di Google Threat Intelligence
  • Come funziona Google Threat Intelligence
  • I vantaggi per le aziende
  • Un’intelligence attivabile, non solo informativa

La capacità di anticipare e reagire rapidamente alle minacce è diventata essenziale. Le aziende non possono più limitarsi a difendersi: devono conoscere il nemico, le sue tattiche, le vulnerabilità che può sfruttare e i segnali d’allarme nascosti nei flussi di dati.

È proprio da questa esigenza che nasce Google Threat Intelligence (GTI), un sistema integrato basato sulla forza congiunta di Google Cloud Security, Mandiant e VirusTotal.

In questo articolo vedremo cos’è Google Threat Intelligence, come funziona, quali caratteristiche lo distinguono, e in che modo può essere utilizzato concretamente per proteggere infrastrutture, dati e persone.

Cos’è Google Threat Intelligence

Nel panorama sempre più complesso e frammentato della sicurezza informatica, sapere dove guardare – e farlo prima degli attaccanti – è la chiave per difendersi in modo efficace.

È proprio da questa esigenza che nasce Google Threat Intelligence (GTI), la piattaforma lanciata da Google nel 2024 per centralizzare, analizzare e trasformare in azione concreta il flusso di dati sulle minacce informatiche.

Ma GTI non è un semplice bollettino di vulnerabilità, né un feed passivo di informazioni tecniche. È un vero e proprio ecosistema operativo, in grado di fornire una visione integrata delle minacce, costruita su tre pilastri fondamentali:

  • L’enorme capacità di raccolta e analisi dati di Google, che monitora miliardi di utenti e sistemi attraverso servizi come Gmail, Chrome, Android, Google Cloud e Workspace.
  • Il know-how di Mandiant, uno dei nomi più autorevoli nel mondo della threat intelligence, con decenni di esperienza nella gestione di incidenti, nell’attribuzione delle minacce e nella formazione dei team SOC in tutto il mondo.
  • Il contributo della community e dell’intelligenza collaborativa di VirusTotal, piattaforma leader nell’analisi di file e URL sospetti, che ogni giorno riceve milioni di invii da ricercatori, aziende e utenti.

L’unione di queste tre fonti rende GTI qualcosa di unico: una piattaforma “viva”, aggiornata in tempo reale, capace non solo di descrivere una minaccia, ma di dirti chi c’è dietro, cosa sta cercando, come agisce e cosa puoi fare per difenderti.

GTI è stato progettato per essere attuabile. Questo significa che ogni informazione fornita è accompagnata da contesto, esempi, indicatori concreti e – cosa più importante – strumenti per reagire subito: regole di rilevamento pronte all’uso, suggerimenti operativi, mappature MITRE ATT&CK, visualizzazioni interattive e integrazioni con i principali strumenti di sicurezza aziendale.

La piattaforma si adatta sia a chi ha bisogno di un supporto immediato per bloccare un attacco, sia a chi vuole costruire una strategia proattiva di threat intelligence, capace di prevedere, identificare e neutralizzare le minacce prima che possano causare danni.

In breve, Google Threat Intelligence non si limita a raccontarti cosa sta succedendo nel cyberspazio. Ti dà gli strumenti per intervenire.

Caratteristiche principali di Google Threat Intelligence

Uno degli aspetti più impressionanti di Google Threat Intelligence è la sua capacità di osservazione su scala planetaria.

Grazie alla posizione unica di Google nell’ecosistema digitale globale, GTI è in grado di raccogliere, analizzare e mettere a disposizione informazioni provenienti da una quantità di dati senza pari: miliardi di utenti, milioni di eventi quotidiani, centinaia di migliaia di ore dedicate a investigazioni forensi, e una rete estesa di dispositivi, servizi e applicazioni.

Visibilità su chi ti sta prendendo di mira

A differenza di molti strumenti di threat intelligence che forniscono elenchi impersonali di IP o hash malevoli, GTI offre una comprensione profonda dell’avversario. Questo significa sapere chi ti sta attaccando, come agisce e perché.

Esempio
Se il tuo settore è quello dell’energia e stai subendo un attacco di phishing mirato, GTI potrebbe identificare che dietro c’è un gruppo APT noto per prendere di mira infrastrutture critiche in Europa orientale, utilizzando tecniche di spear phishing via documenti Excel malevoli.

La piattaforma ti mostrerà:

  • Il nome del gruppo (es. APT28)
  • Le sue TTP secondo il framework MITRE ATT&CK
  • Le vulnerabilità che tende a sfruttare (es. CVE-2023-23397 di Outlook)
  • Gli IOC correlati da integrare nei tuoi strumenti

Questa visibilità contestuale consente di passare dalla reazione all’azione proattiva.

Dashboard dinamiche e in tempo reale

GTI fornisce interfacce grafiche moderne e intuitive che permettono di visualizzare in tempo reale lo stato del panorama delle minacce. Le dashboard includono:

  • Le campagne attive che colpiscono il tuo settore o la tua area geografica
  • I malware in circolazione, con le rispettive varianti, famiglie e vettori di distribuzione
  • Le vulnerabilità critiche sfruttate attivamente e il relativo livello di rischio per i tuoi asset

Esempio
Se una nuova vulnerabilità in Apache è oggetto di uno zero-day, GTI ti segnalerà non solo la CVE, ma anche se è in fase di sfruttamento attivo, da parte di chi, in che contesto e con quale payload.

Dall’insight all’azione, senza passaggi intermedi

Uno dei punti di forza più pratici di GTI è la sua capacità di collegare direttamente l’intelligence alla risposta operativa. Non serve copiare e incollare dati da un report PDF a un firewall. GTI ti permette di:

  • Integrare feed IOC nei tuoi sistemi SIEM, EDR, SOAR o XDR in modo automatico
  • Applicare regole YARA o Snort predefinite per rilevare minacce simili
  • Impostare politiche di blocco su proxy e gateway, sulla base dei domini e IP malevoli scoperti
  • Ricevere suggerimenti su come correggere la configurazione o la policy per bloccare un attacco

Il valore umano: esperti a tua disposizione

Non meno importante è l’aspetto umano: la piattaforma è guidata dagli analisti Mandiant, considerati tra i migliori al mondo.

Non si tratta solo di threat feed generati da algoritmi, ma di intelligence validata da professionisti reali, con una lunga esperienza nel contrasto ad attori statali, ransomware-as-a-service e minacce zero-day.

La presenza di questi esperti nella piattaforma si traduce in:

  • Sessioni live di assistenza, in cui puoi ricevere supporto in tempo reale
  • Consulenze strategiche per migliorare la postura di sicurezza della tua azienda
  • Percorsi formativi per sviluppare competenze di cyber threat intelligence all’interno del tuo team

In definitiva, GTI non è solo un aggregatore di dati, ma un ambiente operativo completo in cui dati, strumenti, visibilità e persone convergono per potenziare ogni fase del ciclo di difesa: dall’individuazione precoce alla risposta efficace.

Dati su scala globale

Come funziona Google Threat Intelligence

Alla base di Google Threat Intelligence (GTI) c’è un’infrastruttura che combina la potenza della raccolta dati su scala globale con le capacità analitiche dell’intelligenza artificiale e il giudizio di esperti umani.

L’obiettivo? Trasformare una mole enorme di segnali, eventi e indicatori in azioni concrete e tempestive per i team di sicurezza.

La raccolta dei dati: un flusso continuo e multicanale

Il primo passo è l’acquisizione dei dati, che provengono da una rete di fonti unica nel suo genere:

  • Google Cloud e servizi consumer come Gmail, Chrome e Android, che proteggono quotidianamente miliardi di utenti. Ciò permette di osservare tendenze emergenti, campagne di phishing e sfruttamento di vulnerabilità in tempo reale.
  • VirusTotal, il motore collaborativo di analisi file e URL, che ogni giorno elabora oltre 3 milioni di elementi sospetti inviati da utenti, ricercatori e aziende.
  • Le indagini e le ricerche avanzate di Mandiant, i cui analisti forniscono intelligence di alto livello su attori APT, ransomware-as-a-service, e campagne attive.
  • Le community di sicurezza e fonti open source, che completano il quadro con informazioni pubbliche, feed collaborativi, blog tecnici e segnalazioni di minacce emergenti.

Questo ecosistema consente a GTI di avere una copertura profonda e trasversale, utile sia per individuare exploit zero-day che per mappare le strategie a lungo termine di gruppi ostili.

L’analisi: il cuore pulsante della piattaforma

Dopo la raccolta, entra in gioco l’analisi intelligente, che avviene attraverso due elementi chiave:

Modelli avanzati di machine learning che:

  • Identificano correlazioni tra eventi apparentemente scollegati
  • Assegnano livelli di priorità basati sul rischio reale per l’organizzazione
  • Riconoscono pattern ricorrenti tipici di attacchi già osservati

Gemini, il motore di intelligenza artificiale generativa integrato in GTI, che si comporta come un analista virtuale, sempre attivo, capace di:

  • Filtrare il rumore (eliminando gli alert irrilevanti o duplicati)
  • Semplificare la complessità, producendo sintesi in linguaggio naturale
  • Adattare le informazioni alle esigenze dell’utente, imparando dai suoi comportamenti

    Esempio pratico: Gemini in azione

    Supponiamo che un analista SOC stia indagando su un’ondata di traffico anomalo da indirizzi IP localizzati in Est Europa. Inserendo pochi dettagli nella console GTI, Gemini può generare un riepilogo come questo:

    “Il traffico in entrata corrisponde a una campagna nota associata al gruppo APT28, che utilizza exploit su Outlook (CVE-2023-23397). Il vettore iniziale è un allegato Excel malevolo. Le regole YARA correlate sono già pronte per l’integrazione in SIEM.”

    In pochi secondi, l’analista ha ottenuto una sintesi operativa completa, che unisce intelligence tecnica, contesto strategico e strumenti per reagire subito.

    Un caso d’uso reale: arricchimento automatico degli alert

    GTI può essere integrato in un sistema SIEM per arricchire in automatico ogni segnalazione con dati contestuali. Ad esempio, un alert grezzo su un indirizzo IP sospetto può essere arricchito da GTI con:

    • Nome del gruppo APT noto
    • Attività recenti rilevate
    • Tecniche MITRE ATT&CK correlate
    • File hash e URL associati
    • Raccomandazioni operative

    Simulazione in codice (richiesta API fittizia)

    import requests
import json

headers = {
    "Authorization": "Bearer YOUR_API_KEY",
    "Content-Type": "application/json"
}

query = {
    "indicator": "185.172.132.45",
    "type": "ip"
}

response = requests.post("https://api.gti.google.com/v1/enrich", headers=headers, data=json.dumps(query))

if response.status_code == 200:
    data = response.json()
    print("Threat Level:", data.get("threat_level"))
    print("Actor:", data.get("actor_name"))
    print("TTPs:", data.get("attack_patterns"))
    print("Recommendations:", data.get("mitigation_steps"))
else:
    print("Errore nella richiesta:", response.status_code)

    Questo tipo di funzionalità permette ai team SOC di automatizzare la valutazione del rischio, riducendo i tempi di analisi e migliorando la reattività.

    In sintesi, Google Threat Intelligence funziona come un radar intelligente: acquisisce dati da ogni angolo del cyberspazio, li elabora con il supporto di esperti e intelligenze artificiali avanzate, e li restituisce come informazioni comprensibili, attuabili e su misura per chi difende. Un vero salto di qualità nella protezione delle infrastrutture digitali.

    I vantaggi per le aziende

    Adottare Google Threat Intelligence significa compiere un cambio di paradigma fondamentale: passare da una difesa reattiva — che interviene dopo l’attacco — a un approccio proattivo, basato sulla prevenzione, il contesto e l’azione tempestiva.

    Non si tratta solo di raccogliere dati, ma di gestire il rischio con intelligenza e consapevolezza. Vediamo nel dettaglio alcuni dei benefici più tangibili per le imprese.

    Arricchimento degli IOC e prioritizzazione degli avvisi

    Uno dei principali problemi dei team SOC è il sovraccarico di segnali: centinaia, se non migliaia, di alert ogni giorno. GTI affronta questa criticità grazie a un sistema di punteggio intelligente, che non si limita a segnalare un IOC, ma lo valuta nel contesto globale.

    Esempio
    Un indirizzo IP segnalato nel tuo SIEM potrebbe essere semplicemente un proxy anonimo… oppure una risorsa attivamente utilizzata da un gruppo ransomware. GTI collega quell’IP a una campagna specifica, TTP noti, indicatori temporali e target preferiti. In questo modo, l’allerta viene classificata con priorità alta solo se rappresenta una minaccia reale per il tuo ambiente.

    Risposta agli incidenti più veloce ed efficace

    In caso di violazione, ogni secondo è prezioso. GTI integra strumenti come visualizzatori di relazioni, analisi grafiche, regole YARA e Snort, e dati forensi validati da Mandiant.

    Esempio

    Durante un’indagine su un malware sconosciuto, GTI ti fornisce:

    • Le famiglie a cui appartiene
    • I file correlati (es. hash e dropper)
    • Le tecniche di evasione usate
    • Le regole di rilevamento già pronte

    Questo consente agli analisti di ridurre drasticamente il tempo di identificazione e contenimento, passando da ore a minuti.

    Ricerca delle minacce basata su profili di rischio

    GTI permette di personalizzare il monitoraggio e le ricerche in base al settore, alla posizione geografica e alla superficie d’attacco dell’organizzazione. Si tratta di intelligence su misura, che evita perdite di tempo e risorse.

    Esempio
    Un’azienda manifatturiera può creare un profilo di rischio associato ai gruppi APT cinesi noti per lo spionaggio industriale. GTI fornirà report, aggiornamenti e regole focalizzate solo su quegli attori e su quei comportamenti sospetti, evitando distrazioni inutili.

    Prevenzione delle minacce esterne

    GTI non si limita a difendere ciò che è dentro la rete. La sua funzione di external threat monitoring permette di sorvegliare:

    • Siti di phishing che imitano il tuo brand
    • Credenziali aziendali rubate in forum underground
    • Asset esposti online (es. bucket S3 non protetti)
    • Malware che sfruttano l’infrastruttura cloud per diffondersi

    Esempio
    Un’azienda riceve un avviso da GTI: il suo dominio è stato clonato in una campagna di phishing attiva. All’interno della console è già disponibile il dominio malevolo, l’IP del server, e uno script per bloccare automaticamente i DNS nella rete aziendale.

    Gestione delle vulnerabilità intelligente e mirata

    GTI fornisce un approccio dinamico alla vulnerability management, andando oltre le CVE statiche. Le vulnerabilità sono classificate in base alla loro reale probabilità di sfruttamento e alla presenza di campagne attive che le utilizzano.

    Esempio
    Due CVE possono avere lo stesso punteggio CVSS, ma solo una viene attivamente sfruttata da LockBit in campagne ransomware. GTI ti permette di dare priorità a quella più pericolosa, ottimizzando l’uso delle risorse IT e riducendo drasticamente il rischio operativo.

    Tutto in una sola console

    Tutti questi vantaggi sono racchiusi in un’unica interfaccia: il workbench di threat intelligence di GTI, uno spazio interattivo e collaborativo dove è possibile:

    • Analizzare dati grezzi e metadati arricchiti
    • Creare e condividere grafici delle minacce tra analisti
    • Scrivere e salvare regole YARA, query, filtri e ricerche
    • Integrare visivamente i dati con strumenti come MITRE ATT&CK Navigator

    Un’intelligence attivabile, non solo informativa

    A differenza di molti strumenti che si limitano a segnalare problemi, GTI è pensato per agire. La threat intelligence viene collegata direttamente alla risposta operativa, con la possibilità di:

    • Automatizzare l’arricchimento degli alert
    • Ottenere supporto diretto da analisti Mandiant in tempo reale
    • Integrare feed e API in strumenti aziendali
    • Sfruttare l’AI per sintesi, automazione e adattamento continuo alle esigenze del team

    Questo approccio consente alle aziende di intervenire in pochi minuti, invece che in settimane.

    Conclusioni

    Con Google Threat Intelligence, la difesa dalle minacce informatiche diventa un processo intelligente, collaborativo e potenziato dall’intelligenza artificiale. Non si tratta solo di dati, ma di informazioni contestualizzate, strumenti operativi e supporto strategico che aiutano a prendere decisioni più rapide e mirate.

    In un’epoca di attacchi sempre più mirati, GTI è lo strumento giusto per anticipare, identificare e reagire, prima che le minacce abbiano impatto.

    Domande e risposte

    1. Cos’è Google Threat Intelligence?
      È una piattaforma che fornisce intelligence sulle minacce cyber a partire dai dati di Google, Mandiant e VirusTotal.
    2. Cosa offre di diverso rispetto ad altri strumenti?
      Visibilità globale, AI integrata (Gemini) e supporto operativo diretto da Mandiant.
    3. GTI può essere integrato con altri strumenti di sicurezza?
      Sì, tramite API, feed JSON e supporto STIX/TAXII.
    4. Come supporta la risposta agli incidenti?
      Offre contesto, IOC, analisi visuali e accesso a esperti Mandiant.
    5. Fornisce notifiche in tempo reale?
      Sì, puoi ricevere alert giornalieri o settimanali sul panorama delle minacce.
    6. È adatto anche a piccole aziende?
      Sì, esistono piani scalabili pensati anche per team di sicurezza ridotti.
    7. Cosa fa Gemini in GTI?
      Analizza e sintetizza i dati con AI generativa, riducendo il rumore e aumentando la rilevanza.
    8. Posso cercare attori specifici o campagne APT?
      Sì, la piattaforma offre profili completi e ricerca avanzata.
    9. Quanto costa?
      I prezzi sono su abbonamento annuale, su richiesta al team vendite.
    10. È possibile testare la piattaforma prima dell’acquisto?
      Sì, è disponibile una demo gratuita per valutare il prodotto.
    3
    To top