Cos'è il Defensio Framework?

Defensio è un ecosistema integrato di cybersecurity sviluppato da Fidem. Comprende 5 componenti: Sensor (monitoraggio interno), XT (scansione esterna), SaaS (ASM cloud), SOC (monitoraggio h24) e Report (documentazione). Ogni componente può operare standalone o integrato.

Perché un framework integrato è meglio di soluzioni separate?

Un framework integrato elimina i silos tra strumenti diversi, correla automaticamente gli alert interni ed esterni, riduce i falsi positivi e offre una visione unificata della postura di sicurezza. Con Defensio, un singolo dashboard copre l'intera superficie di attacco.

Defensio è conforme agli standard ISO?

Sì. L'infrastruttura Fidem è certificata ISO 27001:2022 (sicurezza delle informazioni) e ISO 9001:2015 (qualità dei processi). I report Defensio sono strutturati per supportare audit di conformità e documentazione normativa.

Per quali aziende è pensato Defensio?

Defensio è progettato per PMI e enterprise italiane che necessitano di un approccio strutturato alla cybersecurity. È particolarmente indicato per aziende soggette a NIS2, GDPR o che gestiscono dati sensibili e infrastrutture critiche.

01 Defensio Framework

Esperienza, tecnologia e sicurezza per i tuoi dati per la tua infrastruttura per i tuoi clienti per il tuo business per il tuo futuro digitale

L'Ecosistema di Cybersecurity di Fidem

Un Ecosistema di Sicurezza Integrato

Defensio è il framework di cybersecurity proprietario sviluppato da Fidem per rispondere a una sfida concreta: offrire alle aziende italiane un sistema di difesa informatica che non sia la somma disordinata di prodotti separati, ma un ecosistema coerente e integrato progettato per funzionare come un’unica piattaforma di sicurezza.

A differenza dei tradizionali approcci alla cybersecurity — dove ogni funzione opera in isolamento — Defensio unifica detection, response, vulnerability management e compliance in un’architettura distribuita in cui ogni componente comunica nativamente con gli altri, condividendo dati, contesto e intelligence in tempo reale.

I 5 Componenti dell'Architettura Defensio

L’architettura Defensio è strutturata in 5 componenti distinti, ciascuno con un ruolo specifico nell’ecosistema:

1. Defensio Sensor — Il Sensore Remoto

Il sensore Defensio Sensor viene deployato direttamente all’interno della rete aziendale del cliente, come appliance fisica o virtuale. Funziona in modalità standalone — con tutte le capacità di rilevamento e assessment integrate — oppure connesso al SOC per gestione centralizzata della flotta. Capacità integrate:

4. Defensio SOC — Il Centro di Comando

Il SOC (Security Operations Center) è il cuore operativo dell’ecosistema. Accentra tutti gli eventi provenienti dalla rete di sensori remoti, gestendo l’intero ciclo di vita della rilevazione e della risposta agli incidenti:

Fleet Management: gestione centralizzata dell’intera flotta di sensori con monitoraggio dello stato di salute hardware e software
Cyber Threat Intelligence: dashboard di triage in tempo reale con classificazione per severità
Task Orchestration: pianificazione e gestione centralizzata delle scansioni su tutta la rete
MDR Passivo: analisi, correlazione ed escalation strategica verso il team IT del cliente con istruzioni di neutralizzazione precise

2. Defensio XT — On-Prem Security Platform

Defensio XT è la variante on-premises di Defensio SaaS. Installato sull’infrastruttura del cliente, integra lo stesso stack completo di engine offensivi e di assessment della piattaforma SaaS, con pieno controllo locale dei dati.

11 motori di scansione — stack multiengine proprietario per copertura completa del perimetro esterno
AI-Augmented Offensive Testing — addon modulare per Vulnerability Assessment e Penetration Testing autonomo
External Attack Surface Assessment: in modalità SOC-connected, i task di scansione esterna vengono delegati a motori di scansione esterni dedicati tramite SOC, garantendo IP pubblico dedicato e isolamento infrastrutturale
Digital Identity Protection — monitoraggio breach always-on eseguito localmente

3. Defensio SaaS — La Piattaforma Cloud

Defensio SaaS è la piattaforma cloud-native primaria di Attack Surface Management as-a-Service del framework Defensio.

Disponibile anche in modalità white-label per MSSP e partner tecnologici tramite defensio.technology.

5. Defensio Report — Il Motore NG-Reporting

Il sistema di reportistica Next Generation (NG) trasforma i dati grezzi in documenti professionali ad alta fedeltà. Report in formato compliance-ready con visualizzazioni tattiche, grafici di severità, mappe di esposizione e raccomandazioni operative.

Architettura del Framework Defensio

Diagramma dell’architettura distribuita — sensori, SOC, piattaforma SaaS, nodi AI e motore di reportistica.

Livello Cliente — Sensore On-Prem

DEFENSIO-SENSOR

Sensore Remoto · Full Assessment

Deployato on-premises presso l'infrastruttura del cliente. Integra lo stack completo di engine di sicurezza, operativi in entrambe le modalità di deployment.
Threat Detection (motore IDS proprietario) · Vulnerability Assessment (motore VA proprietario) · Web Application Security Testing (motore Web Security) · Network Discovery (motore di discovery proprietario) · Attack Surface Mapping (stack proprietario multi-engine) · Network Share Enumeration (motore SMB/NetBIOS proprietario) · Digital Identity Protection (database di breach globali multipli).

Modalità Standalone: esegue autonomamente Threat Detection, Vulnerability Assessment interno, Web App Security Testing, External Attack Surface Assessment e Digital Identity Protection senza dipendenze esterne.
Modalità SOC-connected: i task di External Attack Surface Assessment vengono delegati al DENG tramite SOC; tutti gli engine rimangono attivi localmente per il perimetro interno.

Internal + External + Web + DIP

VPN — Sincronizzazione eventi e scansioni

Livello Comando — SOC On-Prem

DEFENSIO-SOC

Centro di Comando e Triage

Accentra eventi da tutti i sensori e scanner. Fleet management, correlazione, reportistica.
6 vCores · 32 GB RAM · 2 TB Disk Space

TDE Real-time

TDE History (15 mesi)

CTI Correlation

Manage Customers

Engines Control

Reporting

Tasks Board

AI Infrastructure Monitor

Known Alerts

Manuale

Ibrido

DEFENSIO-REPORT

Motore di Reportistica

Framework Python con architettura Adapter-Renderer per la generazione di report di sicurezza professionali ad alta fedeltà.
Tipologie: Full · Executive · Technical · Weekly TDE · Custom

Integrato nativamente in SOC, Sensor, XT e SecaaS. Non previsto nel DENG, che delega la reportistica al SOC di riferimento.

NG v2.0+

Alert feed — Pipeline AI Triage a 4 Livelli

Livello AI — Architettura Distribuita a 4 Nodi (v10.0)

NODE A — Fast Triage

Dual-Model GPU + ML Classifier CPU

GPU: GPU 16 GB VRAM
CPU: 12-Core / 24-Thread (L3 Cache ottimizzata)
RAM: 32 GB DDR4
→ LLM 8B Security-Specialized — Triage
→ LLM MoE 9B — Cross-Val

VRAM Allocation — 16 GB

5 GB

6 GB

LLM 8B Security-Specialized

LLM MoE 9B

KV Cache

Tier 0 · Tier 1 · Tier 1.5

NODE B — Deep Reasoning

Chain-of-Thought Analysis

GPU: GPU 24 GB VRAM
CPU: 6-Core / 12-Thread
RAM: 32 GB DDR4
Modello: LLM:27b
quantizzato 4-bit, headroom per context cache

Tier 2 · Chain-of-Thought

NODE C — Database

Persistence Layer (SOC Esistente)

Hot Cache Engine — Hot Cache (24h)
Database Relazionale — Warm (30gg)
Cold Archive Engine — Cold Archive (1 anno)
Isolato dai nodi GPU

Hot → Warm → Cold · 3 Livelli Storage

NODE D — Utility

Automazione & Pre/Post-Processing

GPU: GPU 4 GB VRAM
Modelli: embedding engine + LLM:1.5B
13 automazioni in 3 gruppi:
→ Pre-processing (upstream Tier 0)
→ Report workflow (downstream Tier 2)
→ Routing & Orchestration

Fail-Safe · Non nel Critical Path

Pipeline di Triage — Flusso Decisionale a 4 Livelli

Tier 0 — ML Gatekeeper

Centinaia di migliaia di alert/giorno → filtraggio algoritmico del 95% via N feature proprietarie euristiche. Hard rules deterministiche pre-ML: severity critica e categorie exploit/trojan/c2 → sempre escalate. Il CPU 12-Core con L3 Cache ottimizzata cache processa l'intero volume senza colli di bottiglia.

Node A · CPU <1ms ~95% filtrato

Tier 1 — LLM 8B Security-Specialized

Alert sopravvissuti → classificazione MITRE ATT&CK, verdetto JSON strutturato via schema validator, ~2–5s per alert. 4 decisioni: escalate / suppress / monitor / enrich.

Node A · GPU ~2–5s ~70% risolti

Confidence 50-79% → Cross-Validazione

Tier 1.5 — LLM MoE 9B Cross-Validation

Attivato SOLO se confidence Tier 1 ∈ [0.50, 0.79]. MoE architettura MoE con parametri attivi ridotti. 3 verdetti: AGREE (usa Tier 1), DISAGREE (override decisione), ESCALATE (forza Tier 2). Fallback: se Tier 1.5 fallisce → usa Tier 1 originale.

Node A · GPU ~80ms Dual-Model Concorrente

Tier 2 — LLM:27b Deep Analysis

Analisi profonda chain-of-thought: ragionamento multi-step, mapping MITRE ATT&CK completo, correlazione CTI, narrativa tattica per l'analista. Context 32.768 token, timeout 120s. Blocco <think> estratto per forensic review. Degraded mode: 3 fallimenti → tier2_available = False.

Node B · GPU (la maggior parte della VRAM) ~5–30s Verdetto finale

Analista SOC — Decisione Strategica

L'analista riceve un briefing tattico pre-contestualizzato. L'investigazione è già completa al 90%. Focus esclusivo su escalation strategica e comunicazione con il team IT del cliente.

Defensio Control Room Human-in-the-Loop

SOC orchestra — External ASA delegato

Livello Scansione — External Attack Surface Assessment

DENG × 2

External Attack Surface Assessment Dedicato

VM dedicata orchestrata dal SOC per l'esecuzione dei task di External Attack Surface Assessment delegati da Sensor e XT in modalità SOC-connected. Ogni istanza opera su IP pubblico condiviso tra le VM DENG, fisicamente separato dall'IP di gestione SOC/VPN/RDP.
4 vCores · 16 GB RAM · 100 GB SSD

Minimo 2 istanze · IP Pubblico Scanning Dedicato

On-Prem Mirror — Standalone o SOC-Connected

Livello Cliente — XT On-Prem

XT

On-Prem Mirror di SecaaS · Full External Assessment

Variante on-prem di Defensio SecaaS con il medesimo set completo di capacità offensive e di assessment.
11 motori di scansione · AI-Augmented Offensive Testing · Defensio Proprietary Tools.

Modalità Standalone: esegue autonomamente External Attack Surface Assessment completo e Digital Identity Protection (database di breach globali multipli breach).
Modalità SOC-connected: i task di External Attack Surface Assessment vengono delegati al DENG tramite SOC; il modulo Digital Identity Protection rimane eseguito localmente sull'istanza XT.

4 vCores · 16 GB RAM · 100 GB SSD

On-Prem Mirror SecaaS · Standalone o SOC-Connected

Addon Offensivo — Integrato in SOC · XT · SecaaS

Modulo AI-Assisted VA/PT

Addon Integrato VA/PT Autonomo

Layer modulare AI-powered per Vulnerability Assessment e Penetration Testing autonomo.
Agenti: Orchestrator · Recon · Scan · Vuln Analysis · Exploit · Post-Exploitation
Connesso a Node B via API (runtime LLM locale)
container isolato · Attivazione on-demand

Addon VA/PT · Sensor · XT · SecaaS

Piattaforma SecaaS — Cloud (Server Dedicato Separato)

DEFENSIO SECAAS

Security-as-a-Service Cloud Platform

Piattaforma cloud-native di Security-as-a-Service. Di cui l'XT è la variante on-prem.
11 motori di scansione · AI Offensive Layer · Proprietary Tools
White-label · Multi-tenant · API & CI/CD ready
Dual NIC: piattaforma web + IP pubblico dedicato per scansioni esterne
ACN-certified Italian datacenter (ISO 27001/27017/27018)

OEM / White-Label / saas.defensio.technology

Legenda

Sensore On-Prem (Sensor)

Centro di Comando SOC

Nodi AI (4 Nodi Bare Metal)

Motori di Scansione (DENG)

XT On-Prem Mirror

Addon AI-Assisted VA/PT

SecaaS Cloud Platform

Infrastruttura Supporto

L'Architettura AI Distribuita a 4 Livelli

L’elemento distintivo del framework Defensio è il sistema di AI Distribuita che opera su 4 livelli (Tier) per il triage automatizzato degli eventi di sicurezza. A produzione piena, il sistema gestisce oltre 420.000 alert al giorno su oltre 20 clienti attivi.

Tier 0 — Gatekeeper Algoritmico (CPU)

Tutti i log grezzi provenienti dai sensori vengono processati istantaneamente da un modello di Machine Learning leggero che opera su CPU. Il gatekeeper utilizza modelli statistici e baseline comportamentali per categorizzare e filtrare automaticamente il 95% degli eventi benigni, elevando al Tier successivo solo le anomalie reali. Latenza: sub-millisecondo.

Tier 1 — Fast Triage (GPU-Accelerated)

I metadati sospetti vengono immessi in modelli linguistici specializzati in esecuzione su nodi GPU dedicati, appositamente selezionati per i flussi di lavoro SOC. Classificano rapidamente ogni alert e pre-analizzano i dati tecnici complessi — frammenti di payload, sessioni di rete anomale, sequenze di eventi sospetti — generando classificazioni strutturate. Latenza: ~2–5 secondi per alert.

Tier 1.5 — Cross-Validation (Dual-Model)

Gli alert borderline (confidence 50–79%) ricevono una seconda opinione indipendente da un secondo modello specializzato ad architettura MoE. Il sistema applica uno dei tre verdetti: AGREE (conferma il verdetto iniziale), DISAGREE (il secondo modello può autonomamente downgrade, suppress o monitor l’alert senza escalation), ESCALATE (forza l’analisi profonda al Tier 2). Gli alert con confidence inferiore al 50% saltano questo layer.

Tier 2 — Deep Analysis (GPU Reasoning)

Gli alert che superano i layer precedenti vengono sottoposti a un’analisi profonda tramite un LLM avanzato con capacità di ragionamento complesso (Chain-of-Thought). Il modello esegue:

Mappatura automatica sul framework MITRE ATT&CK (tecnica, tattica, procedura)
Correlazione multi-sorgente incrociando eventi da sensori diversi
Arricchimento tramite Cyber Threat Intelligence globale (feed di vulnerabilità attive, exploit circolanti, IP malevoli)
Generazione di briefing tattici pronti per l’analista umano

A questo livello l’investigazione è già completa al 90% quando raggiunge l’operatore umano. Latenza: ~30–120 secondi.

L'Analista Umano — Comando Strategico

L’alert giunge alla control room di Fidem già pre-analizzato, correlato, mappato su MITRE e classificato per severità. L’analista non perde tempo a decifrare log o ricostruire contesto — si concentra sulla valutazione tattica e sul contenimento dell’incidente.

Privacy by Design — AI Completamente On-Premise

L’architettura AI di Defensio è progettata per operare in modalità completamente air-gapped. I modelli LLM vengono eseguiti localmente su hardware proprietario — nessun dato di rete del cliente lascia mai il perimetro dell’infrastruttura Fidem. Nessuna chiamata a API esterne, nessun transito su cloud terzi. Conformità GDPR assoluta e sovranità dei dati garantita.

Tre Modalità Operative per Ogni Esigenza

Il framework Defensio supporta tre modalità operative che possono essere attivate in base alle risorse e alle esigenze del cliente:

Modalità 1 — Manuale (Entry Tier): gli analisti del SOC Fidem gestiscono il triage direttamente attraverso la dashboard di correlazione proprietaria, senza interferenza algoritmica. Ideale per organizzazioni con volumi di alert contenuti o requisiti stringenti di controllo umano.
Modalità 2 — Ibrida (AI + Supervisione Analista): la pipeline AI completa è attiva — gli alert ESCALATE vengono inoltrati alla coda di revisione dell’analista SOC, i CRITICAL generano notifica immediata. Riduzione drastica dell’alert fatigue con pieno controllo umano sulle decisioni.
Modalità 3 — Full AI (Elite Tier): l’intera pipeline Tier 0 + Tier 1 + Tier 1.5 + Tier 2 è attiva. Pipeline di analisi completamente automatizzata, falsi positivi minimizzati, briefing tattici generati automaticamente. L’analista umano riceve investigazioni complete al 90% e si concentra sul comando strategico.

Modello di Acquisto: Componenti Indipendenti

Il framework Defensio segue un modello modulare: ogni componente può essere acquistato e utilizzato in modo indipendente dagli altri.

Defensio Sensor — acquistabile singolarmente come sensore on-premises per il monitoraggio interno della rete aziendale: Threat Detection, Vulnerability Assessment, Web App Security Testing e Digital Identity Protection, installabile come appliance fisica o virtuale
Defensio XT — acquistabile singolarmente per chi vuole solo scansione esterna continua del perimetro Internet-facing, installabile sulla propria infrastruttura
Defensio SaaS — acquistabile singolarmente come servizio cloud, senza necessità di infrastruttura propria, via https://saas.defensio.technology

Defensio SOC: Il Pacchetto Completo

Le organizzazioni che scelgono Defensio SOC ottengono l’intero ecosistema in un’unica soluzione gestita: Sensor, XT, SaaS (anche con il proprio branding white-label), intelligenza artificiale distribuita, reportistica NG e monitoraggio 24/7 da parte degli analisti Fidem. È la soluzione completa per chi vuole esternalizzare completamente la sicurezza informatica affidandosi a un partner certificato.

Attiva il Framework Defensio per la Tua Azienda

Che tu sia una PMI che necessita di protezione gestita o un’enterprise che vuole dotare il proprio team IT di strumenti avanzati, il framework Defensio si adatta alle tue esigenze con un modello di deployment flessibile e scalabile.

Contattaci per una consulenza del framework Defensio o per valutare come il framework Defensio può proteggere la tua organizzazione.

Esplora i singoli componenti: Defensio Sensor · Defensio SOC · Defensio XT · Defensio SaaS