Negli ultimi anni, il panorama delle minacce informatiche si è evoluto a una velocità impressionante. Gli hacker affinano costantemente le loro tecniche, mentre le aziende cercano di stare al passo con difese sempre più sofisticate. Il Sophos Active Adversary Report 2025 lancia, da questo punto di vista, un segnale d’allarme chiaro: la semplice prevenzione non è più sufficiente.

L’analisi di oltre 400 casi di Managed Detection and Response (MDR) e Incident Response (IR) nel 2024 rivela dati inquietanti: la percentuale di aziende vittime di attacchi senza autenticazione multifattore (MFA) è passata dal 22% del 2022 al 63% nel 2024. Un dato che si collega strettamente a un’altra tendenza allarmante: il 41% degli attacchi ha avuto origine da credenziali compromesse. In altre parole, i cybercriminali non stanno più cercando di forzare le difese dall’esterno, ma si stanno semplicemente “infiltrando” con chiavi già in loro possesso.

Il ruolo critico delle credenziali compromesse

Le credenziali rubate rappresentano il tallone d’Achille della sicurezza aziendale. Secondo Sophos, nel 71% dei casi analizzati gli hacker hanno ottenuto accesso ai sistemi sfruttando servizi remoti esterni come firewall e VPN e, nel 79% di questi episodi, lo hanno fatto utilizzando credenziali già violate. Questo significa che, senza MFA e un monitoraggio attivo, un hacker può avere libero accesso a una rete aziendale con una semplicità disarmante.

Ma quanto velocemente riescono a muoversi i criminali informatici una volta all’interno? I dati di Sophos tracciano una tempistica inquietante: dalla prima infiltrazione fino alla sottrazione dei dati, mediamente passano solo 72,98 ore, poco più di tre giorni. Inoltre, in meno di 11 ore, gli attaccanti riescono a violare Active Directory, il cuore pulsante di qualsiasi infrastruttura IT basata su Windows, garantendosi il controllo su interi sistemi aziendali.

La risposta deve essere attiva, non passiva

Questi numeri sottolineano una realtà scomoda: il modello di sicurezza tradizionale, basato su firewall e antivirus, non è più sufficiente. “La sicurezza passiva non è più sufficiente. Anche se la prevenzione è essenziale, una risposta rapida è fondamentale”, afferma John Shier, Field CISO di Sophos. Questo significa che le aziende devono adottare strategie di monitoraggio proattivo, combinando strumenti avanzati di rilevamento con il supporto di esperti che possano intervenire in tempo reale.

Le organizzazioni che hanno investito in Managed Detection and Response (MDR) dimostrano tempi di rilevamento drasticamente inferiori rispetto a chi si affida a metodi tradizionali: per i ransomware, il tempo medio di permanenza degli attaccanti è sceso a 3 giorni con MDR, contro i 4 giorni dei metodi convenzionali, mentre per altri tipi di attacchi, il tempo di rilevamento è stato ridotto addirittura a un solo giorno.

Un futuro di minacce sempre più rapide e sofisticate

L’analisi di Sophos evidenzia come i gruppi di ransomware stiano adattando le loro strategie per massimizzare l’efficacia degli attacchi. Nel 2024, l’84% dei codici ransomware è stato distribuito al di fuori dell’orario lavorativo delle vittime, dimostrando una crescente consapevolezza sulle routine aziendali. Inoltre, sempre secondo in dati emersi dal Sophos Active Adversary Report 2025, il Remote Desktop Protocol (RDP), uno degli strumenti Microsoft più utilizzati, è stato sfruttato nell’84% dei casi analizzati.

Di fronte a questa escalation, diventa chiaro che le aziende devono evolvere il loro approccio alla sicurezza informatica. Non basta più installare un firewall e sperare che nessuno lo oltrepassi. Serve un modello di difesa dinamico, capace di rilevare le anomalie in tempo reale e rispondere in modo tempestivo.

Se il 2025 ci insegnerà qualcosa, è che nella sicurezza informatica il tempo è il fattore più critico: chi si muove più velocemente, vince. La domanda a questo punto è: le aziende sapranno adattarsi prima che sia troppo tardi?