Le organizzazioni devono fronteggiare un panorama cyber sempre più complesso, in cui le barriere d’ingresso per i criminali informatici si sono drasticamente abbassate.
L’uso di strumenti basati sull’intelligenza artificiale consente ai cybercriminali di creare in pochi minuti infrastrutture malevole e di automatizzare attività che fino a poco tempo fa richiedevano competenze avanzate e lunghi tempi di sviluppo. Come evidenziato dall’ultimo report di Cisco Talos, anche lo sviluppo di codice per lo sfruttamento di nuove vulnerabilità può oggi richiedere solo poche ore: un’accelerazione che rende le minacce più dinamiche e imprevedibili aumentando allo stesso tempo la pressione sui team di sicurezza.
In questo contesto diventa fondamentale concentrarsi su ciò che è sotto il diretto controllo delle organizzazioni: maggiore visibilità sugli ambienti IT, capacità di rilevamento più efficaci e processi di risposta agli incidenti più rapidi. Le soluzioni di nuova generazione e gli strumenti avanzati di analisi consentono di identificare più velocemente attività sospette. Anche in uno scenario in continua evoluzione, infatti, un principio resta valido: i comportamenti malevoli continuano a distinguersi dalle normali attività di utenti e sistemi.
Identità: il nuovo campo di battaglia
Secondo il report annuale di Cisco Talos, i criminali informatici fanno sempre più affidamento su account legittimi e credenziali compromesse lungo l’intera catena di attacco. Tra i trend principali emergono l’aumento dei casi di compromissione dei dispositivi e l’utilizzo degli stessi per colpire la vittima.
Anche il ransomware continua a sfruttare credenziali valide e strumenti autorizzati per muoversi lateralmente nelle reti aziendali e ridurre la probabilità di rilevamento. Tuttavia, anche quando superano i controlli di accesso, i comportamenti degli attaccanti restano anomali: accessi incoerenti con il ruolo dell’utente, movimenti laterali, uso improprio di strumenti amministrativi o attività in orari insoliti sono segnali ricorrenti di una compromissione. Per questo, comprendere e monitorare il comportamento abituale degli utenti è oggi un elemento centrale delle strategie di difesa.
Cisco Talos individua alcune priorità chiave nell’ambito della gestione delle identità: trattare le infrastrutture di identità come asset critici, rafforzare la sicurezza dei processi di autenticazione a più fattori (MFA), rendere i sistemi di autenticazione più resilienti agli attacchi automatizzati e investire in capacità di rilevamento basate sull’analisi comportamentale.
Le vulnerabilità software
Il report mostra come gli attaccanti sfruttino nuove vulnerabilità a poche ore dalla loro divulgazione pubblica. Al tempo stesso, vulnerabilità storiche come Log4Shell continuano a essere ampiamente sfruttate, a dimostrazione di come molte organizzazioni non abbiano ancora completato la remediation dei sistemi legacy.
La sfida è duplice: gestire vulnerabilità emergenti che diventano rapidamente operative e ridurre l’esposizione a debolezze più datate ma ancora presenti. Le organizzazioni devono dare precedenza alle vulnerabilità esposte su Internet e a quelle che impattano i sistemi di accesso, ridurre i tempi di patching e rivalutare costantemente l’esposizione dei servizi accessibili dall’esterno.
Legacy e piattaforme critiche
Quasi il 40% delle vulnerabilità più sfruttate riguarda sistemi end‑of‑life, spesso profondamente integrati negli ambienti IT e difficili da aggiornare. Framework, librerie e componenti embedded rappresentano una superficie di attacco poco visibile ma altamente rilevante. I criminali informatici prediligono colpire piattaforme di gestione della rete e software condivisi, che conservano credenziali e consentono un controllo esteso sugli ambienti IT. Questi sistemi, spesso meno monitorati rispetto agli endpoint, possono amplificare l’impatto di un attacco se compromessi. È essenziale quindi migliorare la visibilità sulle dipendenze software, la protezione dei sistemi di gestione più critici, l’applicazione di controlli di accesso più rigorosi e il rafforzamento della segmentazione della rete.
Pattern e comportamenti nell’era dell’IA
L’automazione e l’IA rendono gli attacchi più rapidi ed estesi, ma non eliminano la presenza di schemi ricorrenti. Anche le campagne automatizzate tendono a riutilizzare infrastrutture, tecniche e sequenze operative riconoscibili attraverso l’analisi dei comportamenti. Per le organizzazioni, questo significa concentrarsi su eventi realmente anomali e usare l’automazione per supportare — non sostituire — i processi decisionali.
L’uso crescente di IA e automazione sta infatti accelerando lo sviluppo e la diffusione delle minacce informatiche: i criminali continuano a riutilizzare tecniche e vulnerabilità note, seguendo pattern in larga parte prevedibili. Anche in scenari altamente automatizzati, le attività malevole si distinguono dal comportamento normale. È proprio nella capacità di riconoscere queste anomalie che si gioca oggi una delle principali opportunità per rafforzare la difesa e trasformare la complessità del contesto cyber in un vantaggio operativo.
