Report sulla risposta agli incidenti - 2026

4.1. Fattori comuni: perché gli attacchi hanno successo

Il successo di un autore degli attacchi è raramente legato a exploit zero-day. Tra gli incidenti a cui abbiamo risposto nel 2025, abbiamo riscontrato che in oltre il 90% degli incidenti, lacune evitabili nella copertura e controlli applicati in modo incoerente hanno contribuito direttamente all'intrusione.

Queste lacune determinano la facilità con cui un autore degli attacchi ottiene l'accesso iniziale, la rapidità con cui si muove lateralmente e la capacità dei difensori di rilevare e rispondere in tempo. Nelle indagini di quest'anno, tre condizioni sistemiche sono apparse ripetutamente.

1. Lacune di visibilità: il contesto mancante ritarda il rilevamento

Molte organizzazioni non riescono a sfruttare la telemetria necessaria per osservare il comportamento degli autori degli attacchi nelle fasi iniziali. Gli indicatori critici dell'accesso iniziale e delle prime attività degli autori degli attacchi spesso passano inosservati perché il SOC non ha reso operativi i segnali provenienti da endpoint, rete, cloud e SaaS. Il risultato è una mancanza di contesto: i difensori possono vedere singoli eventi, ma non hanno la correlazione per riconoscere un'intrusione attiva.

Questa frammentazione costringe gli addetti alla risposta a ricostruire manualmente gli attacchi da strumenti diversi, creando ritardi che gli autori degli attacchi sfruttano. Nell'87% degli incidenti, gli investigatori di Unit 42 hanno esaminato le prove provenienti da due o più origini distinte per stabilire cosa sia successo, e nei casi più complessi ne hanno esaminate addirittura dieci. La mancanza di visibilità unificata rallentava costantemente il rilevamento, consentendo agli antagonisti di iniziare a muoversi lateralmente prima che i difensori potessero vedere il quadro completo.

2. Complessità ambientale: l'incoerenza crea il percorso di minima resistenza

Raramente le linee di base della sicurezza vengono applicate in modo universale. Nel corso del tempo, la deriva ambientale, determinata da sistemi legacy, dall'adozione di tecnologie o da attività di fusione e acquisizione, rende difficile l'applicazione di uno standard coerente in tutta l'azienda.

In diverse indagini, controlli critici come la protezione degli endpoint erano completamente distribuiti in una business unit, ma mancanti o scadenti in un'altra. Questa incoerenza crea un percorso di minima resistenza. Oltre il 90% delle violazioni dei dati è stato causato da configurazioni errate o da lacune nella copertura della sicurezza, piuttosto che da nuovi exploit.

3. Identità: l'eccessiva fiducia porta al movimento laterale

In tutte le nostre indagini, i punti deboli dell'identità hanno ripetutamente trasformato un punto d'appoggio iniziale in un accesso più ampio. Il problema principale era spesso costituito da fiducia eccessiva, privilegi e percorsi di accesso troppo permissivi o che rimanevano attivi per molto tempo quando non più necessari.

Gli autori degli attacchi hanno aumentato i privilegi utilizzando in modo improprio ruoli legacy ancora attivi e account di servizio con autorizzazioni eccessive. Anziché introdursi con una violazione, sono entrati utilizzando un accesso valido dove l'organizzazione aveva lasciato troppa fiducia.

Questi errori riflettono la deriva dell'identità. Man mano che le autorizzazioni si accumulano e le eccezioni persistono, gli intrusi incontrano sempre meno ostacoli. Quasi il 90% degli incidenti riconduce a un elemento correlato all'identità come origine critica dell'indagine o vettore di attacco primario.

4.2. Raccomandazioni per i difensori

Le raccomandazioni che seguono si concentrano su misure pratiche per affrontare le condizioni sistemiche sopra descritte.

1. Rafforzare le operazioni di sicurezza per un rilevamento e una risposta più rapidi

Con gli attacchi più veloci che ora esfiltrano i dati in circa un'ora, le operazioni di sicurezza devono muoversi alla velocità delle macchine. A tale scopo, occorre rafforzare il SOC con una visibilità completa su tutta l'azienda, AI per identificare gli avvisi importanti tra i falsi positivi e automazione per guidare la risposta immediata e la risoluzione. L'adozione di queste sei capacità metterà il tuo SOC nella posizione migliore per avere successo:

• Inserire tutti i dati di sicurezza pertinenti. Gli autori degli attacchi non operano in silo separati, ma i difensori spesso li utilizzano per il monitoraggio. Nel 2025, le lacune in termini di visibilità, in particolare tra i livelli SaaS, identità cloud e automazione, sono state uno dei principali fattori di successo degli autori degli attacchi. La telemetria critica spesso esisteva ma rimaneva intrappolata in sistemi diversi, impedendo ai difensori di correlare i cambiamenti di identità con output dell'automazione o artefatti memorizzati nel browser come i token di sessione.

  Per rilevare le moderne intrusioni, le organizzazioni devono inserire e normalizzare i segnali provenienti da fornitori di identità, piattaforme cloud e applicazioni SaaS in una vista unificata. Questo consolidamento chiude i punti deboli sfruttati dagli autori degli attacchi, consentendo ai difensori di identificare precocemente i percorsi di escalation. Sia che si utilizzi il rilevamento basato su regole o l'AI, la qualità degli insight dipende interamente dalla completezza dei dati alla base.

• Prevenire, rilevare e prioritizzare le minacce con funzionalità basate su AI. Gli elevati volumi di allarme e gli strumenti frammentati consentono agli autori degli attacchi di nascondersi diffondendo l'attività sui vari sistemi. Senza correlazione, queste azioni appaiono non correlate, ritardando l'escalation. Le funzionalità basate su AI sono essenziali per riunire questi segnali disparati in una vista operativa unificata.

  Le analisi comportamentali aiutano a far emergere anomalie sottili, come l'uso insolito di token o il movimento laterale attraverso l'automazione del cloud, che spesso il rilevamento basato su regole non riesce a cogliere.

  L'AI rafforza la difesa correlando gli eventi tra i livelli di identità, endpoint, cloud e rete, dando priorità a incidenti ad alta fedeltà rispetto ad avvisi superflui. Ciò consente ai team addetti alla sicurezza di distinguere istantaneamente gli attacchi coordinati dalle attività di routine, assicurando che gli analisti concentrino i loro sforzi sulle minacce che rappresentano il rischio maggiore, anziché inseguire falsi positivi.

• Consentire la risposta alle minacce in tempo reale con l'automazione. I ritardi nel contenimento spesso derivano da una proprietà poco chiara e da fasi di convalida manuale che non riescono a tenere il passo con l'automazione degli autori degli attacchi. Una risposta efficace richiede l'assegnazione di un'autorità esplicita per le azioni di contenimento automatizzate, come la revoca dei token o l'isolamento dei carichi di lavoro, in modo che l'esecuzione possa procedere senza esitazioni.

  Sostituendo il giudizio ad hoc con playbook standardizzati e convalidati, le organizzazioni garantiscono che la risposta segua una sequenza verificabile. Tuttavia, per far fronte al ritmo delle minacce moderne, l'AI agentica deve essere distribuita come l'acceleratore definitivo della difesa. Questi sistemi autonomi analizzano dinamicamente gli avvisi complessi, correlando i dati tra i vari domini alla velocità della macchina per ottenere un quadro completo.

  Una volta convalidati, gli agenti sono autorizzati a eseguire azioni di contenimento dinamiche e chirurgiche, dall'isolamento dei sistemi interessati tramite microsegmentazione alla revoca automatica delle credenziali compromesse. Questo approccio disciplinato e intelligente riduce drasticamente la deriva operativa, limita il tempo di permanenza degli autori degli attacchi e impedisce che compromissioni isolate si trasformino in incidenti più ampi.

• Passare da una sicurezza reattiva a una proattiva. Per allontanarsi da una difesa reattiva, le organizzazioni devono andare oltre il tradizionale pen-testing verso test avversariali continui. Gli audit in un determinato momento raramente catturano l'interazione tra la deriva delle identità e le configurazioni errate del cloud che gli autori degli attacchi sfruttano nelle intrusioni del mondo reale. I difensori devono convalidare le prestazioni dei controlli in condizioni realistiche, assicurandosi che le pipeline di telemetria e i flussi di lavoro di risposta funzionino come previsto.

  La proattività si estende al recupero. Le organizzazioni resilienti verificano che i sistemi siano privi di accessi residui, come credenziali compromesse o configurazioni alterate, prima di ripristinare i servizi. Assicurarsi che la risoluzione risolva le cause primarie, anziché limitarsi a ripristinare snapshot obsolete, contribuisca a prevenire una rapida reinfezione e supporti la resilienza a lungo termine.

• Migliorare il SOC per ottenere risultati ad alte prestazioni. Durante gli incidenti attivi, un contenimento incoerente o una proprietà non chiara creano aperture che consentono agli autori degli attacchi di ristabilire l'accesso. I SOC ad alte prestazioni eliminano questa variabilità garantendo l'applicazione uniforme delle azioni di risposta, indipendentemente dall'analista o dall'ora del giorno.

  La coerenza sotto pressione è fondamentale; impedisce che compromissioni isolate si trasformino in crisi più ampie.

  Per raggiungere questo obiettivo è necessario collegare i diversi silo operativi di sicurezza, IT e DevOps. I playbook devono riflettere il modo in cui i sistemi funzionano oggi, piuttosto che il modo in cui sono stati originariamente progettati, per far sì che le azioni automatizzate siano allineate alla logica aziendale reale. Conferire agli analisti responsabilità più ampie, come la risposta a incidenti end-to-end anziché il solo triage degli avvisi, migliora la fidelizzazione, aumenta la versatilità e porta a risultati aziendali misurabili.

• Rafforzare il team con un retainer IR. Il giusto retainer estende le capacità al di là della risposta alle emergenze. Per essere all'avanguardia, le organizzazioni devono testare e convalidare i controlli rispetto ai comportamenti specifici che gli attori di minacce utilizzano nel mondo reale. Valutazioni ricorrenti di sicurezza offensiva, sicurezza AI, processi SOC e sicurezza del cloud aiutano a confermare che le pipeline di telemetria e i flussi di lavoro di risposta funzionano come previsto in condizioni di attacco realistiche.

  Il partner per retainer IR dovrebbe fornire un accesso rapido agli specialisti per controlli di prontezza proattivi, ingegneria del rilevamento e convalida, assicurando che i miglioramenti difensivi resistano nel tempo. Associando test continui alle competenze acquisite, le organizzazioni migliorano la resilienza.

Allineando il tuo SOC a questi principi fondamentali, trasformerai la tua difesa in un motore di risposta ad alta velocità in grado di superare gli antagonisti e fermare le minacce prima che si intensifichino.

2. Adottare l'approccio Zero Trust per limitare l'area di impatto

L'approccio Zero Trust è una necessità strategica in un ambiente in cui l'identità è diventata la principale superficie di attacco. L'obiettivo è eliminare le relazioni di fiducia implicita tra utenti, dispositivi e applicazioni e convalidare continuamente ogni fase di un'interazione digitale.

In realtà, implementare l'approccio Zero Trust è complesso. Tuttavia, anche piccoli guadagni ridurranno la superficie di attacco, limiteranno il movimento laterale e ridurranno al minimo l'impatto di qualsiasi accesso iniziale al tuo ambiente. Eliminando il presupposto di sicurezza all'interno del perimetro, i difensori costringono gli autori degli attacchi a lavorare di più per ogni centimetro di accesso, rallentando la loro velocità e creando maggiori opportunità di rilevamento.

• Verificare continuamente utenti, dispositivi e applicazioni. Gli autori degli attacchi sfruttano spesso la fiducia statica che persiste dopo un primo accesso. Una volta entrati, utilizzano token di sessione rubati o credenziali valide per mascherarsi da utenti legittimi, spesso aggirando completamente i controlli perimetrali. I punti di controllo statici all'ingresso non sono più sufficienti.

  La verifica continua considera la fiducia come un elemento dinamico, con decisioni riviste al variare delle condizioni durante una sessione. La convalida del contesto dell'identità, dello stato del dispositivo e del comportamento dell'applicazione in tempo reale consente alle organizzazioni di rilevare quando una sessione legittima viene dirottata o quando il comportamento dell'utente si discosta dalla norma. Di conseguenza, gli account o i dispositivi compromessi possono essere utilizzati dagli autori degli attacchi solo per un periodo limitato, riducendo le opportunità di ampliare l'accesso o di preparare i dati.

• Applicare il privilegio minimo per limitare il movimento degli autori degli attacchi.Le autorizzazioni eccessive fungono da moltiplicatore di forze per gli autori degli attacchi. In molti incidenti del 2025, gli intrusi hanno aggirato i controlli interni sfruttando la deriva delle identità, utilizzando privilegi accumulati e ruoli ancora attivi che le organizzazioni non hanno rimosso. Anziché affidarsi a exploit complessi, si sono mossi lateralmente attraverso percorsi di accesso validi ma eccessivamente permissivi.

  L'applicazione del privilegio minimo riduce questa superficie di attacco limitando gli utenti, i servizi e le applicazioni solo all'accesso necessario per le loro funzioni. Questo deve andare oltre gli utenti umani per includere le identità macchina e gli account di servizio, che spesso mantengono autorizzazioni ampie e scarsamente monitorate. L'eliminazione dei diritti non necessari elimina i percorsi di accesso diretti utilizzati dagli autori degli attacchi, costringendoli a ricorrere a tecniche più visibili e difficili, più facili da rilevare per i difensori.

• pplicare un'ispezione coerente al traffico attendibile e non attendibile. Applicare un'ispezione coerente al traffico attendibile e non attendibile. Gli autori degli attacchi sanno che mentre il perimetro è sorvegliato, il traffico interno "est-ovest" tra i carichi di lavoro spesso passa senza essere ispezionato. Sfruttano questa fiducia utilizzando connessioni interne crittografate per muoversi lateralmente e preparare i dati senza far scattare gli allarmi.

  Per ottenere un'analisi coerente e pervasiva delle minacce, le organizzazioni devono consolidare tutta la sicurezza della rete, del cloud e SASE (Secure Access Service Edge) su un'unica piattaforma unificata. Questa struttura unificata offre un'ispezione di Livello 7 coerente ovunque, applicando automaticamente policy tramite un unico piano di gestione.

  Tale consolidamento consente il passaggio strategico a servizi di sicurezza basati su cloud avanzati. Questo passaggio consente l'analisi in linea e in tempo reale di tutto il traffico, compresa la decrittografia e l'ispezione cruciale del traffico in movimento tra i carichi di lavoro interni. Tale capacità elimina i punti in cui si nascondono gli autori degli attacchi, bloccando in modo proattivo phishing sconosciuto, malware zero-day e attività C2 evasive.

• Controllare l'accesso e il movimento dei dati per ridurre l'impatto. I risultati più dannosi in molti incidenti non si verificano al momento della compromissione iniziale, ma durante il successivo accesso ai dati, lo staging e l'esfiltrazione. Gli autori degli attacchi spesso cercano repository con controlli deboli o flussi scarsamente monitorati per aggregare silenziosamente informazioni sensibili prima del rilevamento.

  Una governance più solida sulle modalità di accesso, condivisione e trasferimento dei dati riduce queste opportunità, limitando i luoghi in cui le informazioni sensibili possono circolare e a quali condizioni. Quando i percorsi dei dati sono strettamente controllati e costantemente monitorati, gli autori degli attacchi hanno meno opzioni per preparare o estrarre risorse preziose, riducendo l'entità e la gravità delle perdite potenziali anche quando si verifica una compromissione.

Eliminando sistematicamente la fiducia implicita, si privano gli autori degli attacchi della mobilità su cui fanno affidamento, garantendo che un singolo punto di compromissione porti a un incidente circoscritto piuttosto che a una crisi a livello aziendale.

3. Bloccare gli attacchi all'identità con una gestione più solida di identità e accesso

L'identità è ormai il perimetro della sicurezza, eppure troppo spesso rimane scarsamente protetta. I punti deboli dell'identità sono stati un fattore determinante in oltre la metà delle intrusioni esaminate nel 2025, principalmente perché i database di identità si sono espansi più rapidamente dei controlli destinati a governarli.

Gli autori degli attacchi si sono costantemente mossi attraverso le lacune create da questa deriva della governance, sfruttando autorizzazioni legacy e account di servizio non monitorati per aggirare le difese perimetrali. Per evitare questo, le organizzazioni devono gestire l'identità non come un elenco statico di credenziali, ma come una risorsa operativa dinamica lungo l'intero ciclo di vita.

• Centralizzare la gestione delle identità di uomini e macchine. Non si può governare ciò che non si vede. Quando i dati sull'identità sono frammentati tra directory legacy, fornitori di cloud e ambienti SaaS, gli autori degli attacchi sfruttano i punti deboli che ne derivano.

  La centralizzazione delle identità di utenti e macchine in directory attendibili semplifica l'autenticazione ed elimina i percorsi di accesso nascosti, difficili da monitorare in modo coerente. Questo consolidamento dovrebbe includere anche integrazioni di terze parti e connettori API, in modo che ogni entità che richiede l'accesso, sia essa una persona, un account di servizio o un agente AI, sia visibile ai team addetti alla sicurezza. Con un piano di controllo unificato, l'AI difensiva può correlare le anomalie di login con attività sospette, trasformando l'identità in un segnale operativo attivo anziché in un elenco statico di credenziali.

• Combattere la deriva di governance con la gestione continua del ciclo di vita. La deriva di governance, in cui i cambiamenti operativi si muovono più velocemente dei controlli progettati per guidarli, è rimasta un fattore significativo di vantaggio per gli autori degli attacchi.

  Le transizioni di ruolo, i cicli di distribuzione rapidi e le scorciatoie quotidiane hanno ampliato il divario tra la policy scritta e l'accesso effettivo. Le autorizzazioni detenute da strumenti dei flussi di lavoro e connettori di servizi spesso superavano quanto previsto dalla policy. Ciò ha creato percorsi di escalation che gli autori degli attacchi hanno sfruttato attraverso autorizzazioni legacy e account di servizio non monitorati. Trattare l'identità come un ciclo di vita, limitando l'automazione alle esigenze attuali e revocando gli accessi in eccesso nel tempo, aiuta a colmare queste lacune e a limitare il movimento degli autori degli attacchi dopo l'accesso iniziale.

• Rilevare e rispondere a minacce basate sull'identità. L'AI difensiva è più efficace in ambienti in cui le identità sono gestite come risorse operative piuttosto che come credenziali statiche. Nelle nostre indagini, le organizzazioni con solide basi di identità hanno mostrato un collegamento più precoce tra anomalie di login, attività di automazione ed eventi di identità periferici, che hanno contribuito a un contenimento più rapido.

  Laddove la governance era forte, le pipeline di rilevamento hanno prodotto indicatori più chiari e affidabili che hanno aiutato i team a identificare prima i comportamenti di escalation. Al contrario, una governance debole ha creato un numero elevato di falsi positivi che ha oscurato questi segnali. Le revisioni regolari mantengono le autorizzazioni allineate ai requisiti reali, migliorando l'accuratezza dei segnali di rilevamento e garantendo che i controlli assistiti da AI funzionino in modo efficace.

• Proteggere l'integrità dell'AI e dell'automazione. Man mano che le organizzazioni inseriscono agenti AI e flussi di lavoro automatizzati nei processi principali, questi sistemi diventano obiettivi interessanti per la manipolazione. Nel corso delle nostre indagini, abbiamo osservato account di assistenti distribuiti con un ampio accesso predefinito e strumenti di automazione in esecuzione senza convalida dell'integrità.

  Per evitare che questi strumenti si trasformino in vettori di attacco, i team addetti alla sicurezza devono applicare ai sistemi AI la stessa governance applicata agli utenti. Ciò include la convalida esplicita dei passaggi di automazione prima che entrino in produzione, l'applicazione di controlli di integrità ai flussi di lavoro abilitati dall'AI e la garanzia che gli account degli assistenti siano protetti contro gli abusi.

Trattando l'identità come un sistema operativo dinamico anziché come una directory statica, si eliminano i percorsi nascosti utilizzati dagli autori degli attacchi e si consente ai team addetti alla sicurezza di rilevare l'uso improprio nel momento in cui si verifica.

4. Proteggere il ciclo di vita dell'applicazione dal codice al cloud

Per proteggere l'azienda moderna non è sufficiente proteggere l'infrastruttura. È necessario mettere in sicurezza la fabbrica che la costruisce.

Nel 2025, gli autori degli attacchi hanno preso sempre più di mira la catena di fornitura del software e le API del cloud per aggirare i perimetri tradizionali, inserendo vulnerabilità nel codice o sfruttando integrazioni deboli prima che raggiungessero la produzione. Per contrastare questo fenomeno, le organizzazioni devono estendere le protezioni di sicurezza dalle prime fasi di sviluppo fino al runtime, trattando i modelli di AI, le pipeline di compilazione e il codice di terze parti con lo stesso rigore dei sistemi interni.

• Impedire che i problemi di sicurezza raggiungano la produzione. La sicurezza deve operare alla velocità dello sviluppo. L'integrazione di protezioni nelle pipeline DevOps e di integrazione e distribuzione continua (CI/CD) consente di identificare e correggere le vulnerabilità nel codice personalizzato, nei componenti open-source e nelle configurazioni AI prima della distribuzione.

  Lo stesso approccio si applica ai sistemi AI, dove la valutazione precoce della sicurezza e della configurazione del modello riduce il rischio a valle. Il rafforzamento degli strumenti di sviluppo e la gestione delle dipendenze open-source aiutano a eliminare i punti deboli che gli autori degli attacchi sfruttano per ereditare fiducia all'interno dei flussi di lavoro aziendali.

• Proteggere la catena di fornitura del software e dell'AI. Sebbene non sia il vettore di attacco più comune, le compromissioni della catena di fornitura hanno l'impatto maggiore, soprattutto per organizzazioni per altri aspetti mature. Le falle nei sistemi di compilazione, nei servizi di integrazione e nei repository correlati all'AI consentono agli autori degli attacchi di raggiungere gli ambienti a valle senza mai interagire con un firewall.

  Per ridurre questa esposizione è necessario un controllo rigoroso della provenienza. Gli ambienti di compilazione e le pipeline di distribuzione devono avere chiari controlli di identità e protezioni dell'integrità. Le librerie software esterne, i connettori API e i componenti AI devono essere valutati in base a schemi di accesso e pratiche di aggiornamento prima dell'adozione. Una governance efficace della catena di fornitura fornisce ai processi di rilevamento una base affidabile, rendendo più facile identificare quando una dipendenza attendibile inizia a comportarsi in modo inaspettato.

• Identificare e bloccare gli attacchi runtime. Una volta che le applicazioni sono attive, l'attenzione si sposta sul contenimento. Gli autori degli attacchi tentano spesso di persistere ed espandere l'accesso utilizzando in modo improprio identità cloud, API o autorizzazioni per il carico di lavoro legittime.

  Il rilevamento in tempo reale, unito a controlli runtime coerenti come monitoraggio dei comportamenti, confini di rete chiari e limiti alle interazioni API impreviste, aiuta a ostacolare queste tattiche. Le stesse protezioni dovrebbero essere estese agli ambienti di hosting AI, dove il monitoraggio della deriva del modello e dell'accesso non autorizzato ai dati limita i movimenti degli autori degli attacchi anche dopo la compromissione iniziale.

• Automatizzare rilevamento e risposta cloud. Nel cloud, la velocità è l'unico parametro che conta. I ritardi nell'isolare i carichi di lavoro interessati o nel revocare le identità utilizzate in modo improprio offrono agli autori degli attacchi lo spazio necessario per un'escalation.

  L'automazione consente ai team SecOps di rilevare e rispondere continuamente alle minacce basate su cloud, utilizzando i controlli nativi del cloud per contenere rapidamente gli incidenti. Azioni come l'isolamento di container compromessi o la revoca di token di sessione sospetti aiutano a evitare che problemi localizzati si trasformino in interruzioni più ampie o in perdite di dati.

• Costruire una cultura orientata alla sicurezza dell'AI e dello sviluppo. L'AI è ora una risorsa operativa, non solo uno strumento. Gli assistenti e i prompt automatici, man mano che vengono incorporati nei flussi di lavoro quotidiani, introducono rischi comportamentali che i controlli tecnici da soli non possono risolvere.

  Una solida cultura della sicurezza tratta i sistemi AI con la stessa attenzione rivolta alle infrastrutture critiche. Ciò include la revisione delle modalità di utilizzo degli assistenti, evitando l'esposizione di dati sensibili nei prompt e convalidando il codice generato dall'AI. Quando i team capiscono che il giudizio umano rimane fondamentale per un uso efficace dell'AI, i controlli di governance vengono rafforzati anziché aggirati, garantendo che la corsa all'automazione non superi la capacità di supervisionarla.

Integrando la sicurezza nella struttura degli ambienti di sviluppo e di runtime, è possibile garantire che la velocità di innovazione AI e del cloud favorisca la crescita aziendale anziché il rischio sistemico.

5. Proteggere la superficie di attacco e l'interfaccia umana

Per proteggere l'organizzazione è necessario guardare oltre il laptop aziendale. La superficie di attacco moderna si è ampliata fino a includere i dispositivi non gestiti dei collaboratori, le risorse cloud pubbliche e lo stesso browser Web, che è diventato lo spazio di lavoro principale dell'azienda.

Come difensori, dobbiamo affrontare una duplice sfida. Dobbiamo gestire rigorosamente le esposizioni esterne che gli autori degli attacchi cercano costantemente, proteggendo al contempo l'interfaccia umana in cui gli utenti interagiscono con i dati, l'AI e il Web aperto. Per proteggere questo ambiente così vasto, la sicurezza deve estendersi dal bordo esterno fino alla sessione del browser.

• Ridurre la superficie di attacco con una gestione attiva dell'esposizione. Unit 42 ha rilevato che le vulnerabilità del software hanno rappresentato il 22% dell'accesso iniziale per gli incidenti di quest'anno, sottolineando l'urgente necessità di andare oltre la semplice individuazione e arrivare a una prioritizzazione attiva dei rischi. Una gestione efficace dell'esposizione colma questo divario creando un inventario completo e continuo dell'impronta digitale, compresa l'infrastruttura ombra e gli strumenti di AI non autorizzati che le scansioni tradizionali non riescono a individuare.

  In particolare, questa strategia deve filtrare i falsi positivi, utilizzando intelligence sulle minacce per dare priorità solo alle risorse che vengono attivamente prese di mira (come KEV CISA) e che non dispongono di controlli compensativi. Concentrando le risorse limitate sui rischi sfruttabili e critici per l'azienda, i team possono chiudere la finestra di opportunità prima che un autore di attacchi trovi una porta aperta.

• Proteggere l'interfaccia umana. Il browser è il nuovo endpoint e il nuovo desktop aziendale. È qui che i dipendenti accedono ai dati, dove i collaboratori svolgono il loro lavoro e, purtroppo, dove gli attacchi di social engineering come il phishing sono più efficaci.

  Per proteggere questa interfaccia è necessario un browser sicuro di classe enterprise, che crei uno spazio di lavoro aziendale completamente isolato e protetto per i dispositivi gestiti e non gestiti. Questo potente livello applica controlli sui dati in tempo reale, indipendentemente dall'hardware sottostante. Può disabilitare operazioni di copia e incolla su pagine sensibili, impedire download di file da origini sconosciute e identificare siti di phishing avanzati che eludono i filtri e-mail standard. Grazie al rafforzamento del browser, le aziende ottengono una visibilità granulare sull'utilizzo di AI ombra e impediscono direttamente che i dati sensibili dell'azienda finiscano in strumenti GenAI non autorizzati.

• Proteggere l'accesso di terze parti e non gestito. Il modello rigido che prevede l'invio di laptop aziendali a collaboratore o azienda oggetto di acquisizione non è più sostenibile o sicuro. Le organizzazioni hanno bisogno di un modo per imporre l'accesso zero trust sui dispositivi non gestiti senza i costi e la complessità delle soluzioni di infrastruttura desktop virtuale (VDI) legacy.

  Proteggendo lo spazio di lavoro attraverso il browser, le aziende possono garantire a collaboratori e utenti BYOD un accesso sicuro alle applicazioni aziendali, mantenendo al contempo i dati aziendali rigorosamente isolati dagli ambienti personali. Questo approccio accelera l'integrazione di fusioni e acquisizioni e l'onboarding dei collaboratori, garantendo allo stesso tempo che un dispositivo personale compromesso non possa essere utilizzato come trampolino di lancio nella rete aziendale.

• Raccogliere telemetria unificata e automatizzare la risposta. Per gli endpoint gestiti, i dati sono il carburante per la difesa. Il rilevamento di attacchi sofisticati dipende dalla raccolta di una telemetria ad alta fedeltà di processi, connessioni di rete e comportamento di identità, per poi unificare questi dati in una piattaforma centrale.

  Quando questi dati vengono analizzati da motori basati su AI, le anomalie che sarebbero invisibili in ambienti separati diventano chiari indicatori di compromissione. Tuttavia, il rilevamento è solo metà della battaglia.

  Per ridurre al minimo i danni, i meccanismi di risposta devono essere automatizzati. I team addetti alla sicurezza devono essere in grado di isolare gli endpoint compromessi, avviare scansioni forensi e rimediare alle minacce alla velocità delle macchine, garantendo che un'infezione localizzata non diventi una violazione sistemica.

Proteggendo il browser come spazio di lavoro primario e gestendo rigorosamente la superficie di attacco esterna, è possibile proteggere utenti e risorse che i controlli tradizionali sugli endpoint non possono più raggiungere.