Defensio Framework

Defensio Framework: L’Ecosistema di Cybersecurity di Fidem

Un Ecosistema di Sicurezza Integrato

Defensio è il framework di cybersecurity proprietario sviluppato da Fidem per rispondere a una sfida concreta: offrire alle aziende italiane un sistema di difesa informatica che non sia la somma disordinata di prodotti separati, ma un ecosistema coerente e integrato progettato per funzionare come un’unica piattaforma di sicurezza.

A differenza dei tradizionali approcci alla cybersecurity — dove ogni funzione opera in isolamento — Defensio unifica detection, response, vulnerability management e compliance in un’architettura distribuita in cui ogni componente comunica nativamente con gli altri, condividendo dati, contesto e intelligence in tempo reale.

I 5 Componenti dell’Architettura Defensio

L’architettura Defensio è strutturata in 5 componenti distinti, ciascuno con un ruolo specifico nell’ecosistema:

1. Defensio Sensor — Il Sensore Remoto

Il sensore Defensio Sensor viene deployato direttamente all’interno della rete aziendale del cliente, come appliance fisica o virtuale. Opera come sistema di rilevamento multifunzione:

  • Network Discovery e Vulnerability Assessment: scansione continua dell’infrastruttura interna per servizi esposti, configurazioni errate e vulnerabilità note (CVE)
  • Intrusion Detection: analisi in tempo reale del traffico di rete con motori di ispezione deep-packet per identificare pattern di attacco, comunicazioni C2 e lateral movement
  • Web Application Security Testing: verifica della conformità delle applicazioni web aziendali agli standard di sicurezza applicativa
  • Digital Identity Protection: monitoraggio continuo dei database di breach e data leak per credenziali aziendali compromesse
  • NetFlow Traffic Visualization: profilazione Layer-7 delle applicazioni, riconoscimento automatico dei dispositivi e mappatura delle connessioni DNS, TLS e HTTP

2. Defensio XT — Il Motore di Scansione Esterna

Defensio XT è il componente infrastrutturale dedicato alle scansioni degli asset esposti su Internet (Internet-Facing). Opera dall’infrastruttura centrale utilizzando un indirizzo IP pubblico dedicato, distinto da quello di navigazione. Esegue vulnerability scanning avanzato, subdomain discovery, SSL/TLS audit, DNS security analysis e header security assessment contro il perimetro esterno dei clienti.

XT è il motore di scansione — il cervello tecnico che esegue le analisi offensive. Ogni deployment richiede almeno 2 istanze per distribuzione del carico e ridondanza operativa.

3. Defensio SaaS — La Piattaforma SaaS

Defensio SaaS è la variante cloud-native del framework, progettata per offrire Attack Surface Management as-a-Service. A differenza di XT (che è un componente infrastrutturale gestito da Fidem), Defensio SaaS è una piattaforma accessibile direttamente dal cliente attraverso un portale web dedicato. Zero installazione, zero hardware — il cliente fornisce i target (domini, IP, URL) e la piattaforma avvia il monitoraggio continuo.

Disponibile anche in modalità white-label per MSSP e partner tecnologici che desiderano offrire servizi di security monitoring sotto il proprio brand tramite defensio.technology.

4. Defensio SOC — Il Centro di Comando

Il SOC (Security Operations Center) è il cuore operativo dell’ecosistema. Accentra tutti gli eventi provenienti dalla rete di sensori Client e dai motori di scansione XT, gestendo l’intero ciclo di vita della detection e della risposta:

  • Fleet Management: gestione centralizzata dell’intera flotta di sensori con monitoraggio dello stato di salute hardware e software
  • Cyber Threat Intelligence: dashboard di triage in tempo reale con classificazione per severità, red flag, indicatori di tendenza e analisi del blast radius
  • Task Orchestration: pianificazione e gestione centralizzata delle scansioni su tutta la rete
  • MDR Passivo: il SOC opera come sistema di warning e sentinella — analisi, correlazione ed escalation strategica verso il team IT del cliente con istruzioni di neutralizzazione precise

5. Defensio Report — Il Motore NG-Reporting

Il quinto ramo è il sistema di reportistica Next Generation (NG), che trasforma i dati grezzi in documenti professionali ad alta fedeltà. Report in formato compliance-ready con visualizzazioni tattiche, grafici di severità, mappe di esposizione e raccomandazioni operative, progettati secondo lo standard estetico “Sovereign Technical” per massima leggibilità in contesti operativi.

Architettura del Framework Defensio

Diagramma interattivo dell’architettura distribuita — sensori, SOC, piattaforma SaaS, nodi AI e motore di reportistica.

DEFENSIO FRAMEWORK

Architettura Ecosistema di Sicurezza

Defensio

Livello Cliente — Sensori Remoti

DEFENSIO-SENSOR

Sensore Remoto
Deployato presso ogni cliente. Esegue scansioni attive, monitoraggio IDS e
Digital Identity Protection sulla rete locale del cliente. I risultati vengono sincronizzati con
il SOC centrale.

VPN — Sincronizzazione eventi e scansioni

Livello Scansione — Infrastruttura Centrale

DENG × 2

Scansioni Internet-Facing Assets
IP Pubblico dedicato
Scansioni Internet-Facing Assets
4 vCores · 16 GB RAM · 100 GB Disk Space
Minimo 2 istanze

XT

Scansioni Internet-Facing Assets + DIP
Scansioni Internet-Facing Assets
+ Digital Identity Protection
4 vCores · 16 GB RAM · 100 GB Disk Space
Email Breach Monitoring

Aggregazione dati e alert

Livello Comando — Centro Operativo

DEFENSIO-SOC

Centro di Comando e Triage
Accentra eventi da tutti i sensori. Fleet management, correlazione, reportistica.
6 vCores · 32 GB RAM · 2 TB Disk Space
TDE Real-time
TDE History (15 mesi)
CTI Correlation
Manage Customers
Engines Control
Reporting
Tasks Board
Resources Monitor
Known Alerts

Manuale
AI
Ibrido

DEFENSIO-REPORT

Motore di Reportistica
Framework Python con architettura Adapter-Renderer per report professionali ad alta fedeltà.
Full · Executive · Technical · Weekly TDE · Custom
NG v2.0+

Alert feed — Triage AI Pipeline

Livello AI — Architettura Distribuita a 3 Nodi
(v6.0.3)

NODE A — Fast Triage

Dual-Model GPU Inference
GPU: RX 7800 XT (16 GB VRAM)
CPU: Ryzen 9 5900X (12C/24T)
Modelli concorrenti in VRAM:
 → Foundation-sec-8B (~8GB)
 → Qwen3.5-9B cross-val (~5GB)

Tier 0 · Tier 1 · Tier 1.5

NODE B — Deep Reasoning

Chain-of-Thought Analysis
GPU: RX 7900 XTX (24 GB VRAM)
CPU: Ryzen 5 5600G (6C/12T)
Modello: DeepSeek-R1-32B
Q4_K_M (~20GB VRAM)

Tier 2 · GBNF Fix

NODE C — Database

Persistence Layer (SOC Esistente)
Redis — Hot Cache (24h)
MariaDB — Warm (30gg)
RocksDB — Cold Archive (1 anno)
Isolato dai nodi GPU

420K alert/giorno

Addon Offensivo — Integrato in XT · Client ·
Online

Modulo AI-Assisted VA/PT

Multi-Agent Pentest Addon
Framework multi-agente AI open-source (in valutazione)
Agenti: Recon · Scan · Vuln Analysis · Exploit · Post-Exploitation
Connesso a Node B via API (Ollama/vLLM)
Docker container · Attivazione On-demand

Addon VA/PT · XT · Client · Online

Infrastruttura di Supporto

VPN

Connettivita Sicura
Tunnel verso sensori remoti
1–2 vCores · 2 GB RAM · 40 GB Disk
Space

RDP

Jump Host
Gestione remota infrastruttura
1–2 vCores · 2 GB RAM · 40 GB Disk
Space

Piattaforma SaaS — Server Dedicato Separato

DEFENSIO SECAAS

White-Label SaaS
Variante cloud-native per Managed Security Service Provider.
Branding personalizzabile, server dedicato separato.
4–6 vCores · 16–32 GB RAM · 500 GB – 1 TB Disk Space

OEM / White-Label Ready

Legenda

Sensori Remoti (presso il
cliente)

Motori di
Scansione (infrastruttura centrale)

Centro di Comando SOC

Nodo AI — 3 Nodi Bare Metal

Modulo AI-Assisted VA/PT — Addon Offensivo

SaaS White-Label (server separato)

Infrastruttura di Supporto

Defensio Framework v9.98+ · Piano AI v9.0 · Marzo 2026 · Powered by Fidem S.r.l.

L’Architettura AI Distribuita a 3 Livelli

L’elemento distintivo del framework Defensio è il sistema di AI Distribuita che opera su 3 livelli (Tier) per il triage automatizzato degli eventi di sicurezza. A produzione piena, il sistema gestisce oltre 420.000 alert al giorno su 22+ clienti.

Tier 0 — Gatekeeper Algoritmico (CPU)

Tutti i log grezzi provenienti dai sensori vengono processati istantaneamente da un modello di Machine Learning leggero che opera su CPU. Il gatekeeper utilizza modelli statistici e baseline comportamentali per categorizzare e filtrare automaticamente il 95% degli eventi benigni (il “rumore di normalità aziendale”), elevando al Tier successivo solo le anomalie reali. Latenza: sub-millisecondo.

Tier 1/1.5 — Fast Triage (GPU-Accelerated)

I metadati sospetti vengono immessi in modelli linguistici specializzati (Foundation-sec-8B e Qwen3.5-9B) in esecuzione su nodi GPU dedicati. Questi modelli, appositamente selezionati per i flussi di lavoro SOC, classificano rapidamente ogni alert e traducono i dati tecnici complessi — frammenti di payload, sessioni di rete anomale, sequenze di eventi sospetti — in spiegazioni comprensibili. Latenza: ~100ms. Capacità: fino a 5 alert/secondo per singolo nodo GPU.

Tier 2 — Deep Analysis (GPU Reasoning)

Gli alert che superano il Tier 1 vengono sottoposti a un’analisi profonda tramite LLM avanzati (DeepSeek-R1-32B) con capacità di ragionamento complesso. Questi modelli eseguono:

  • Mappatura automatica sul framework MITRE ATT&CK (tecnica, tattica, procedura)
  • Correlazione multi-sorgente incrociando eventi da sensori diversi
  • Arricchimento tramite Cyber Threat Intelligence globale (feed di vulnerabilità attive, exploit circolanti, IP malevoli)
  • Generazione di briefing tattici pronti per l’analista umano

Latenza: 2-5 secondi. A questo livello l’investigazione è già completa al 90% quando raggiunge l’operatore umano.

L’Analista Umano — Comando Strategico

L’alert giunge alla control room di Fidem già tradotto, correlato, mappato su MITRE e classificato per severità. L’analista non perde tempo a decifrare log o ricostruire contesto — si concentra sulla valutazione tattica e sul contenimento dell’incidente.

Privacy by Design — AI Completamente On-Premise

L’architettura AI di Defensio è progettata per operare in modalità completamente air-gapped. I modelli LLM vengono eseguiti localmente su hardware proprietario — nessun dato di rete del cliente lascia mai il perimetro dell’infrastruttura Fidem. Nessuna chiamata a API esterne, nessun transito su cloud terzi. Conformità GDPR assoluta e sovranità dei dati garantita anche per i settori più regolamentati (finance, healthcare, PA).

Tre Modalità Operative per Ogni Esigenza

Il framework Defensio supporta tre modalità operative che possono essere attivate in base alle risorse e alle esigenze del cliente:

  • Modalità 1 — Manuale (Entry Tier): gli analisti del SOC Fidem gestiscono il triage direttamente attraverso la dashboard di correlazione proprietaria, senza interferenza algoritmica. Ideale per organizzazioni con volumi di alert contenuti o requisiti stringenti di controllo umano.
  • Modalità 2 — Ibrida Augmented (Balanced Tier): il Tier 0 (gatekeeper algoritmico) filtra il rumore, mentre la traduzione e la correlazione finale restano a responsabilità degli analisti umani. Riduzione drastica dell’alert fatigue con pieno controllo umano sulle decisioni.
  • Modalità 3 — Full AI (Elite Tier): l’intera pipeline Tier 0 + Tier 1/1.5 + Tier 2 è attiva. Tempi di risposta in millisecondi, falsi positivi minimizzati, briefing tattici generati automaticamente. L’analista umano riceve investigazioni complete al 90% e si concentra sul comando strategico.

Modello di Acquisto: Componenti Indipendenti

Il framework Defensio segue un modello modulare: ogni componente può essere acquistato e utilizzato in modo indipendente dagli altri.

  • Defensio Sensor — acquistabile singolarmente per chi necessita solo di monitoraggio interno della propria rete (IDS, vulnerability assessment, NetFlow)
  • Defensio XT — acquistabile singolarmente per chi vuole solo scansione esterna continua del perimetro Internet-facing, installabile sulla propria infrastruttura
  • Defensio SaaS — acquistabile singolarmente come servizio cloud, senza necessità di infrastruttura propria, via defensio.technology

Defensio SOC: Il Pacchetto Completo

Le organizzazioni che scelgono Defensio SOC ottengono l’intero ecosistema in un’unica soluzione gestita: Sensor, XT, SaaS (anche con il proprio branding white-label), intelligenza artificiale distribuita, reportistica NG e monitoraggio 24/7 da parte degli analisti Fidem. È la soluzione completa per chi vuole esternalizzare completamente la sicurezza informatica affidandosi a un partner certificato.

Attiva il Framework Defensio per la Tua Azienda

Che tu sia una PMI che necessita di protezione gestita o un’enterprise che vuole dotare il proprio team IT di strumenti avanzati, il framework Defensio si adatta alle tue esigenze con un modello di deployment flessibile e scalabile.

Contattaci per una demo live del framework Defensio o per una valutazione gratuita della postura di sicurezza della tua organizzazione.

Esplora i singoli componenti: Defensio SOC · Defensio Sensor · Defensio XT

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by