L’idea dell’hacker solitario chiuso in una stanza buia è ormai un esercizio di nostalgia digitale. Il nuovo Annual Threat Report di SentinelOne racconta una realtà molto diversa: la cybercriminalità è diventata un’industria scalabile, automatizzata e sorprendentemente efficiente. Se suona inquietante, è perché lo è. Il report, elaborato dai team SentinelLABS e Wayfinder, fotografa un cambio di paradigma netto. Gli attaccanti non cercano più solo di entrare nei sistemi. Puntano a restarci, mimetizzarsi e sfruttare le stesse infrastrutture che le aziende utilizzano per funzionare.
La novità più rilevante riguarda l’approccio degli aggressori che non si limitano a sfruttare vulnerabilità tecniche, ma colpiscono il cuore operativo delle organizzazioni: identità digitali, pipeline di sviluppo, infrastrutture cloud e sistemi automatizzati.
In altre parole, attaccano dove le aziende si fidano di più.
Questo spostamento rende le difese tradizionali sempre meno efficaci. Avere più dati non basta. Il problema, sottolinea il report, è il contesto. I team di sicurezza sono sommersi da informazioni, ma spesso incapaci di distinguere un’anomalia innocua da una minaccia reale. Una situazione che, con un pizzico di ironia, ricorda chi ha mille notifiche sul telefono e non riesce a capire quale sia davvero importante.
Uno dei punti più critici riguarda le identità digitali. Oggi un singolo account può accedere a decine di sistemi tra cloud, SaaS e infrastrutture aziendali. Le organizzazioni raccolgono più dati che mai su utenti e accessi, eppure gli attacchi basati su credenziali restano tra i più difficili da individuare.
Il motivo è semplice e preoccupante: gli attaccanti non entrano forzando la porta, ma usando le chiavi: token rubati, phishing e account compromessi permettono loro di operare indisturbati, spesso senza attivare allarmi.
La difesa, suggerisce il report, deve cambiare prospettiva. Non basta verificare chi entra, bisogna osservare cosa fa una volta dentro.
Un’altra evoluzione significativa riguarda le pipeline di sviluppo. Gli aggressori colpiscono sempre più spesso i processi CI/CD, compromettendo il software prima ancora che venga distribuito. Un attacco di questo tipo è particolarmente insidioso perché si inserisce in un flusso fidato. Il codice malevolo arriva in produzione con il timbro implicito della legittimità.
È una forma di sabotaggio elegante, quasi invisibile. E decisamente difficile da intercettare senza una visione completa del ciclo di sviluppo.
Il concetto di perimetro aziendale è ormai sfumato. Dispositivi edge, accessi remoti e infrastrutture distribuite ampliano enormemente la superficie di attacco. Secondo il report, quasi la metà degli exploit zero-day recenti prende di mira proprio questi punti.
Il problema è che spesso si tratta di aree poco monitorate, veri e propri “punti ciechi” della sicurezza. Gli attaccanti lo sanno e li utilizzano come porte d’ingresso per compromissioni più ampie.
La risposta, in questo caso, è meno glamour ma efficace: aggiornamenti costanti, segmentazione di rete, autenticazione multifattore. In sintesi, tornare alle basi. Che nella cybersecurity, sorprendentemente, funzionano ancora.
Se c’è un elemento che definisce questa nuova fase è l’automazione. Gli attaccanti utilizzano workflow automatizzati per eseguire scansioni, raccogliere credenziali e muoversi lateralmente nei sistemi in pochi millisecondi. L’intelligenza artificiale amplifica questa capacità, ma il vero salto di qualità sta nella velocità operativa.
La difesa non può più permettersi di essere lenta. Generare alert non basta. Serve automatizzare anche la risposta, privilegiando azioni immediate su minacce ad alta probabilità. In altre parole, meno notifiche e più decisioni. Possibilmente in tempo reale.
Quello che il report mette in evidenza è un punto spesso sottovalutato: il disallineamento tra sicurezza e operatività. Gli attaccanti sfruttano proprio queste frizioni interne, queste zone grigie dove le responsabilità si sovrappongono o si disperdono. Non serve una vulnerabilità sofisticata quando basta una cattiva comunicazione tra team.
Come osserva Steve Stone di SentinelOne, il problema non è inseguire ogni nuova tecnica, ma verificare se i controlli esistenti siano davvero in grado di reggere la pressione degli attacchi moderni.
Il messaggio finale del Threat Report è chiaro: la cybersecurity deve diventare contestuale. Non basta sapere che qualcosa è successo, bisogna capire perché, come e con quali implicazioni.
Il “Defender’s Playbook” proposto da SentinelOne va in questa direzione, collegando intelligence globale e comportamenti reali osservati sul campo. L’obiettivo è passare da una difesa reattiva a una postura proattiva e resiliente. Un cambiamento culturale prima ancora che tecnologico.
La trasformazione descritta dal report non riguarda solo le grandi aziende o le infrastrutture critiche. Riguarda chiunque utilizzi sistemi digitali complessi, cioè praticamente tutti. La cybercriminalità si è industrializzata e le difese, in molti casi, stanno ancora cercando di adattarsi.
E mentre gli attaccanti ottimizzano processi e automatizzano operazioni, le organizzazioni devono fare lo stesso. Con una differenza sostanziale: loro non possono permettersi errori. Perché nel mondo della sicurezza informatica, a differenza di altri settori, l’innovazione non è un vantaggio competitivo. È una condizione minima per sopravvivere.
★ Clicca qui per consultare l’edizione integrale del Report.