Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Gli attacchi alle reti aziendali stanno diventando sempre più rapidi.
- I criminali informatici utilizzano l’intelligenza artificiale, ma gli esseri umani rappresentano ancora l’anello più debole.
- La difesa dagli attacchi richiede modifiche strutturali alla rete.
Ecco il paradosso della moderna guerra informatica: gli aggressori utilizzano sempre più macchine che possono lavorare molto più velocemente degli esseri umani che le controllano. In risposta, gli obiettivi si rivolgono sempre più a sistemi automatizzati per rilevare e respingere tali intrusi.
Ma in questo combattimento macchina contro macchina, gli esseri umani sono ancora al centro di ogni battaglia, e quei semplici mortali continuano a essere il punto debole. Questa è la conclusione di quest’anno sondaggio sul panorama della sicurezza aziendale di Mandiant, un’azienda statunitense di sicurezza informatica, ora parte di Google Cloud, specializzata nell’investigazione delle principali violazioni della sicurezza globale e nella consulenza alle organizzazioni su come proteggersi dalle minacce informatiche.
Inoltre: 1 chief della sicurezza su 2 afferma di non essere pronto per gli attacchi IA: 4 azioni da intraprendere ora
Le moderne reti aziendali sono ampiamente distribuite e possono affidare le attività ai accomplice tramite software-as-a-service. I malintenzionati stanno facendo la stessa cosa, riferisce Mandiant, utilizzando un modello di “divisione del lavoro”, in cui un gruppo utilizza tecniche a basso impatto come pubblicità dannose o falsi aggiornamenti del browser per ottenere l’accesso a una rete, per poi consegnare l’obiettivo compromesso a un gruppo secondario per l’accesso diretto.
E tutto questo avviene a un ritmo sorprendente. Nel 2022, riferisce Mandiant, questo “tempo di trasferimento” è stato di oltre 8 ore. Nel 2025, grazie all’automazione, questi trasferimenti avvenivano dopo una media di soli 22 secondi. Allo stesso modo, anche la finestra temporale per compromettere i sistemi con exploit zero-day si sta riducendo, con il tempo medio per sfruttare le vulnerabilità che scende a sette giorni prima che i fornitori abbiano il tempo di rilasciare una patch.
Identificazione degli aggressori
Secondo Mandiant, la maggior parte dei gruppi secondari che conducono “operazioni pratiche sulla tastiera” in reti aziendali compromesse possono essere divisi in due gruppi con tattiche e ritmi nettamente diversi. I criminali informatici cercano guadagni finanziari, utilizzando strumenti come il ransomware, mentre i gruppi di spionaggio stanno ottimizzando l’accesso furtivo a lungo termine.
Da un lato, i gruppi criminali informatici ottimizzati per un impatto immediato e un rifiuto deliberato del recupero. Dall’altro, sofisticati gruppi di spionaggio informatico e minacce interne ottimizzati per la persistenza estrema, che utilizzano dispositivi periferici non monitorati e funzionalità di rete native per eludere il rilevamento.
Questi “tempi di permanenza” – ovvero il tempo che intercorre tra l’intrusione e il rilevamento – sono in media di 14 giorni, ma gli incidenti di spionaggio informatico possono durare molto più a lungo, con un tempo di permanenza medio di 122 giorni.
Inoltre: come creare agenti IA migliori per la tua azienda, senza creare problemi di fiducia
Mandiant ha identificato più di 16 settori verticali presi di mira, con il settore high-tech (17%) e il settore finanziario (14,6%) in cima alla lista.
Da dove provengono le intrusioni
Nessuna sorpresa: quasi un terzo delle intrusioni rilevate proviene da exploit. Il secondo vettore più comunemente osservato è “l’ingegneria sociale altamente interattiva e basata sulla voce”, con gruppi che prendono di mira gli assist desk IT “per bypassare l’autenticazione a più fattori (MFA) e ottenere l’accesso iniziale agli ambienti Software program-as-a-Service (SaaS).”
Non sorprende inoltre la crescente adozione di strumenti di intelligenza artificiale per la ricognizione, l’ingegneria sociale e lo sviluppo di malware. Dopo aver ottenuto l’accesso a una rete, riferiscono, “gli aggressori stanno trasformando l’intelligenza artificiale in un’arma… il ladro di credenziali QUIETVAULT è stato osservato mentre controllava le macchine prese di mira per l’intelligenza artificiale [command-line] strumenti per eseguire immediate predefiniti per cercare file di configurazione e raccogliere token GitHub e NPM.”
Inoltre: queste 4 vulnerabilità critiche dell’IA vengono sfruttate più velocemente di quanto i difensori possano rispondere
L’intelligenza artificiale, tuttavia, gioca ancora un ruolo secondario. “Nonostante questi rapidi progressi tecnologici”, osserva il rapporto, “non consideriamo il 2025 l’anno in cui le violazioni saranno il risultato diretto dell’intelligenza artificiale. Dal nostro punto di vista in prima linea, la stragrande maggioranza delle intrusioni riuscite deriva ancora da fondamentali fallimenti umani e sistemici”.
I cattivi si muovono più velocemente e rompono le cose
L’intero settore tecnologico ha imparato dal famigerato imperativo di Mark Zuckerberg per gli ingegneri di Fb: “Muoviti velocemente e rompi le cose”. Questo vale anche per i criminali informatici, che hanno scoperto che gli attacchi ransomware sono ancora più efficaci quando prendono di mira anche l’infrastruttura virtuale che supporta gli strumenti di backup:
I gruppi ransomware non si limitano più a crittografare i dati; stanno attivamente distruggendo la capacità di recuperare. … eliminando attivamente gli oggetti di backup dall’archivio cloud. … Prendendo di mira direttamente il livello di storage di virtualizzazione o crittografando gli archivi dati dell’hypervisor, possono rendere inutilizzabili simultaneamente tutte le macchine virtuali affiliate.
Inoltre: la mia guidelines di sicurezza in 5 passaggi per ogni nuovo PC Home windows
La buona notizia è che anche gli obiettivi stanno diventando più intelligenti. “Le organizzazioni stanno migliorando la propria visibilità interna. In tutte le indagini del 2025, il 52% delle volte le organizzazioni hanno rilevato per la prima volta show di attività dannose internamente, un aumento rispetto al 43% del 2024.” Prima scoprirai le show di un’intrusione, prima potrai iniziare il processo di ripristino.
Come reagire
Man mano che gli aggressori diventano più sofisticati e persistenti, anche i lavoratori IT devono intensificare il loro gioco. La consulenza di Mandiant embrace una formazione avanzata per i dipendenti e il personale dell’assist desk su come riconoscere i moderni vettori di attacco: riconoscere gli attacchi di ingegneria sociale utilizzando strumenti vocali e app di messaggistica, nonché richieste di ripristino MFA non autorizzate.
Inoltre: gli attacchi cloud stanno diventando sempre più rapidi e letali: ecco il tuo miglior piano di difesa
Altre strategie difensive implicano cambiamenti nell’infrastruttura di rete:
- Tratta le piattaforme di virtualizzazione e gestione come risorse di livello 0 con i vincoli di accesso più severi.
- Per contrastare la distruzione delle capacità di ripristino, separare gli ambienti di backup dal dominio Lively Listing aziendale e utilizzare storage immutabile.
- Distribuisci il rilevamento avanzato delle minacce nell’intero ecosistema ed estendi le coverage di conservazione dei log ben oltre le finestre commonplace di 90 giorni.
- Controlla regolarmente le integrazioni SaaS e instrada tutte le applicazioni SaaS attraverso un supplier di identità centrale (IdP).
- Implementa modelli di rilevamento basati sul comportamento che segnalano attività anomale e deviazioni rispetto ai valori di riferimento stabiliti.
Nella conclusione, i ricercatori di Mandiant notano che “l’identità è il nuovo perimetro”. La semplice rotazione delle password e l’applicazione dell’AMF non sono più sufficienti. È fondamentale concentrarsi sul rafforzamento dei controlli dell’identità e sul passaggio alla verifica continua dell’identità, in particolare con fornitori di terze parti.
