Per anni le organizzazioni hanno investito principalmente nella sicurezza perimetrale, convinte che la capacità di fermare gli attaccanti all’esterno fosse il principale indicatore di maturità cyber. Oggi sappiamo che questa visione non è più sufficiente.
La maggior parte degli attacchi moderni non inizia con una violazione spettacolare delle difese aziendali. Gli attaccanti, nella maggior parte dei casi, non “sfondano la porta”: entrano utilizzando credenziali rubate, token di autenticazione compromessi o sessioni utente già aperte. In altre parole, non si infiltrano nei sistemi, ma effettuano il login.
Questa realtà impone un cambiamento radicale di prospettiva. La domanda non è più come impedire ogni possibile attacco, ma come garantire la continuità operativa quando l’attacco avviene.
L’identità è il nuovo perimetro
Da oltre vent’anni Active Directory rappresenta il pilastro della gestione delle identità nella maggior parte delle organizzazioni. Nonostante l’evoluzione tecnologica e l’adozione massiccia del cloud, continua a essere il cuore dei processi di autenticazione e autorizzazione. Proprio per questo motivo rimane uno degli obiettivi preferiti dei cybercriminali.
La sua complessità rende difficile eliminare completamente ogni vulnerabilità e, grazie alla disponibilità di strumenti facilmente reperibili, anche attori con competenze limitate possono riuscire a ottenere privilegi elevati e compromettere interi domini.
Il rischio è ulteriormente amplificato dalla diffusione degli ambienti ibridi. Oggi quasi tutte le aziende sincronizzano Active Directory con piattaforme cloud come Microsoft Entra ID, creando una continuità operativa indispensabile ma anche un nuovo vettore di rischio.
Un attacco che inizia con una semplice campagna di phishing o con un endpoint compromesso può rapidamente propagarsi verso il cloud. Gruppi criminali avanzati stanno già sfruttando sistematicamente questo approccio: compromettere l’ambiente legacy, ottenere privilegi elevati e consolidare la propria presenza nelle infrastrutture cloud.
L’identità è diventata il nuovo perimetro e quando viene compromessa, il confine tra on-premises e cloud scompare completamente.
L’industrializzazione del cybercrime
Parallelamente, il cybercrime sta attraversando un processo di industrializzazione senza precedenti.Il modello Ransomware-as-a-Service (RaaS) ha abbassato drasticamente la soglia di accesso per i criminali informatici. Oggi non è più necessario possedere competenze tecniche avanzate per lanciare una campagna ransomware. Esiste un vero e proprio ecosistema criminale in cui diversi attori collaborano: alcuni sviluppano il malware, altri vendono accessi iniziali alle reti compromesse e altri ancora gestiscono la fase di estorsione.
Questa specializzazione ha reso gli attacchi più frequenti, più sofisticati e soprattutto più accessibili.
L’attacco che ha colpito Colonial Pipeline rimane uno degli esempi più emblematici. In quel caso, credenziali sottratte a un fornitore esterno furono sufficienti per provocare l’interruzione delle operazioni di una delle infrastrutture energetiche più importanti degli Stati Uniti.
L’insegnamento è chiaro: la sicurezza delle identità non è un tema esclusivamente tecnico, ma una questione strategica che coinvolge l’intera organizzazione.
Dalla prevenzione alla resilienza
Per molto tempo il successo della cybersecurity è stato misurato esclusivamente sulla capacità di prevenire gli incidenti. Oggi questo approccio mostra tutti i suoi limiti.
La crescente sofisticazione delle minacce e la complessità degli ecosistemi digitali rendono inevitabile l’ipotesi di una compromissione. Di conseguenza, la resilienza deve affiancare la prevenzione come elemento centrale della strategia di sicurezza.
Un concetto particolarmente utile in questo contesto è quello di Minimum Viable Company (MVC): l’identificazione preventiva dei processi, delle applicazioni e delle infrastrutture indispensabili per mantenere operativa l’organizzazione durante una crisi.
Ogni azienda dovrebbe sapere con precisione quali attività devono essere ripristinate per prime e quali sistemi rappresentano il nucleo minimo per continuare a operare.
In una situazione di emergenza non si può fare affidamento sull’improvvisazione. Ruoli, responsabilità, procedure di comunicazione e priorità di recupero devono essere definiti e testati molto prima che si verifichi un incidente.
Un piano di recovery non testato è solo un documento
Molte organizzazioni dispongono di piani di disaster recovery e business continuity. Il problema è che troppo spesso questi documenti restano confinati in un cassetto. La resilienza non si costruisce scrivendo procedure, ma verificandole.
Le tabletop exercise, simulazioni realistiche di scenari di crisi senza impatto sui sistemi produttivi, rappresentano uno strumento fondamentale per individuare criticità che difficilmente emergerebbero sulla carta: dipendenze applicative non documentate, informazioni di contatto obsolete o processi decisionali poco chiari.
Ogni esercitazione consente di migliorare la capacità dell’organizzazione di reagire a un evento reale e ridurre il tempo necessario per il ripristino delle operazioni.
L’intelligenza artificiale: alleata e minaccia
L’intelligenza artificiale sta ridefinendo il panorama della sicurezza informatica da entrambe le prospettive: quella della difesa e quella dell’attacco. Per i team di sicurezza, l’AI rappresenta uno strumento prezioso per analizzare enormi quantità di dati, identificare comportamenti anomali e accelerare le attività di rilevamento e risposta agli incidenti. Ma gli stessi vantaggi sono sfruttati anche dai cybercriminali.
Le campagne di phishing sono oggi più convincenti grazie alla generazione automatica di contenuti multilingua, mentre deepfake e tecnologie di clonazione vocale in tempo reale stanno rendendo sempre più sofisticati gli attacchi di social engineering. Nel sottobosco criminale sono già disponibili modelli di AI modificati per generare codice malevolo senza le limitazioni presenti nelle piattaforme commerciali.
Gli attaccanti non sono vincolati da requisiti normativi, etici o di compliance. Per questo motivo le organizzazioni devono imparare a utilizzare l’intelligenza artificiale come strumento di difesa, senza sottovalutarne il potenziale offensivo.
La cyber resilience deve diventare un KPI aziendale
La resilienza informatica non può più essere considerata una responsabilità esclusiva del reparto IT.Gli impatti di una crisi cyber riguardano operazioni, reputazione, conformità normativa e continuità del business. Per questo motivo la cyber resilience deve entrare stabilmente nell’agenda del top management e dei consigli di amministrazione.
Costruire resilienza significa definire processi chiari, proteggere backup e chiavi critiche, predisporre canali di comunicazione alternativi e garantire la capacità di operare anche in condizioni degradate.
In questo scenario, i professionisti della sicurezza stanno assumendo un ruolo sempre più vicino a quello dei change manager. Non devono soltanto implementare tecnologie, ma contribuire a trasformare la cultura aziendale, superando l’illusione della protezione totale e promuovendo una visione più realistica basata sulla capacità di risposta.
La prevenzione rimane fondamentale, ma da sola non basta più. La vera misura della maturità di un’organizzazione non è la sua capacità di evitare ogni attacco, bensì la velocità e l’efficacia con cui riesce a riprendersi quando l’attacco si verifica.
di Guido Grillenmeier, Principal Technologist EMEA, Semperis
