Una nuova ricerca condotta dai team SentinelLABS e Wayfinder illustra come gli attaccanti sfruttino il disallineamento tra sicurezza e operatività
SentinelOne, leader a livello globale nella cybersecurity basata sull’intelligenza artificiale, ha pubblicato il suo Annual Threat Report, evidenziando un cambiamento critico nel contesto delle minacce informatiche: gli attori malevoli non si limitano più a ottenere un accesso iniziale, ma puntano a sfruttare i sistemi di identità, le infrastrutture e i meccanismi di automazione che alimentano le imprese.
In un’epoca caratterizzata da attacchi “industrializzati”, i team di sicurezza sono sommersi da enormi quantità di dati telemetrici, e spesso non dispongono del contesto necessario per distinguere una reale intrusione da una semplice anomalia. Sebbene oggi le organizzazioni abbiano accesso a una quantità senza precedenti di informazioni sulle minacce, la vera sfida consiste nel tradurre queste conoscenze in azioni concrete e contestualizzate per la gestione dei propri ambienti locali.
Pensato per aiutare le aziende a garantire la continuità operativa di fronte ad attacchi su larga scala, il report propone un vero e proprio “Defender’s Playbook”, che collega l’intelligence globale sulle minacce a evidenze pratiche basate sui comportamenti osservati. Analizzando le otto fasi strategiche delle violazioni moderne, il documento consente ai team di sicurezza di passare da un approccio reattivo a una postura proattiva e resiliente, basata sul contesto.
I principali risultati dell’Annual Threat Report dei SentinelLABS:
- Disinnescare il paradosso delle identità
Le identità oggi si estendono tra SaaS, infrastrutture cloud e agenti autonomi. Un singolo account può accedere a decine di sistemi. Le organizzazioni raccolgono sulle identità più dati che mai, ma le intrusioni basate sulle identità restano tra le più difficili da individuare. Gli attaccanti sfruttano token rubati, phishing e account compromessi per operare con credenziali valide. I difensori devono, quindi, spostare l’attenzione dalla sola autenticazione al monitoraggio continuo del comportamento dopo il login. - Attacchi lungo la pipeline di sviluppo
Gli aggressori prendono sempre più di mira pipeline CI/CD e flussi di sviluppo anziché ambienti di produzione. Compromettendo i sistemi di build, possono introdurre codice malevolo ed estrarre segreti prima che il software venga distribuito, operando così all’interno di processi fidati e aggirando le difese runtime. Il rilevamento richiede visibilità sull’intero ciclo di vita dello sviluppo software e la capacità di correlare eventi nel tempo. - Proteggere un perimetro sempre più sfumato
I dispositivi edge sono diventati superfici di attacco primarie: quasi il 46% degli exploit zero-day recenti li prende di mira. Spesso rappresentano punti ciechi non gestiti e costituiscono il primo passo per compromissioni più ampie. È necessario tornare alle basi: dismettere hardware obsoleto, centralizzare i log in un SIEM, implementare segmentazione di rete per livelli critici e adottare l’autenticazione multifattore su tutti i punti di accesso remoto, trattando l’edge come un’area ad alto rischio. - Contrastare il moltiplicatore dell’automazione
Il vero “moltiplicatore” non è solo l’AI agentica, ma anche l’automazione avanzata, che rappresenta la spina dorsale operativa per trasformare le analisi in azioni difensive. Dopo anni di tentativi, queste tecnologie stanno superando le tecniche degli attaccanti, che utilizzano workflow automatizzati per accelerare attività come scansioni di vulnerabilità, raccolta di credenziali e movimenti laterali, spesso in pochi millisecondi. La difesa richiede policy di risposta automatizzata che privilegino il blocco delle minacce ad alta confidenza, piuttosto che la semplice generazione di alert.
“Il contesto delle minacce è in continua evoluzione, ma gli elementi fondamentali restano”, ha dichiarato Steve Stone, Chief Customer Officer. “Gli attaccanti fanno sempre meno affidamento su singoli exploit o gruppi di malware e sempre più sulle lacune tra sicurezza e operatività, sui punti ciechi dei sistemi fidati e sulla lentezza dei difensori nell’adottare gli stessi moltiplicatori tecnologici. Colmare il divario non significa inseguire ogni nuova tecnica, ma verificare costantemente se i controlli siano in grado di resistere alle pressioni degli attacchi moderni.”
