Un conto è capire cosa fanno gli attaccanti: sfruttano vulnerabilità, rubano credenziali, si muovono lateralmente nei sistemi. Un altro, ben più complesso, è imparare a riconoscere in anticipo i segnali di un attacco e costruire difese efficaci. È qui che si gioca oggi la vera partita della cybersecurity: non tanto sull’attacco in sé, ma sulla capacità di individuarne i modelli ricorrenti e reagire con tempestività. Stiamo parlando dei cosiddetti attacchi invisibili.
Il modello invisibile dei nuovi e sofisticati attacchi
Uno dei paradigmi più rilevanti degli ultimi anni è quello del cosiddetto ‘Living off the Land’. In pratica, gli attaccanti non hanno più bisogno di introdurre software malevolo facilmente rilevabile: utilizzano strumenti già presenti nei sistemi aziendali, perfettamente legittimi. Possono essere tool di amministrazione, script, ambienti di automazione o utility di monitoraggio. Questo approccio rende gli attacchi molto più silenziosi e difficili da individuare, perché il comportamento appare, almeno in superficie, normale.
Il primo passo di solito è ottenere privilegi elevati. Una volta raggiunto l’accesso amministrativo, l’attaccante può muoversi indisturbato: esplora l’infrastruttura, individua dati sensibili, li raccoglie e li esfiltra. Tutto questo senza generare segnali evidenti. Ed è proprio questa “invisibilità operativa” che rende inefficaci molte difese tradizionali basate su firme o indicatori statici.
Dalla prevenzione al controllo del comportamento
Per questo oggi la difesa deve spostarsi su un altro piano: quello del comportamento. Non basta sapere cosa entra in un sistema, bisogna capire cosa succede al suo interno. Monitorare comandi eseguiti, sequenze di azioni, anomalie rispetto alle abitudini degli utenti o dei processi diventa fondamentale. Tecnologie come gli strumenti di Endpoint Detection and Response (EDR) sono diventate imprescindibili proprio perché consentono di ricostruire la catena degli eventi e individuare attività sospette in tempo reale.
La velocità è un fattore critico. Più rapidamente si intercetta un attacco, più è possibile contenerlo. Ritardare la risposta significa spesso trovarsi a gestire danni già avvenuti: perdita di dati, blocco operativo, richieste di riscatto. In questo scenario, molte aziende si affidano a servizi gestiti, come i Managed Detection and Response (MDR), che permettono di avere team specializzati in grado di analizzare gli incidenti, distinguere i falsi positivi dalle minacce reali e intervenire in modo mirato.
Il ruolo dell’intelligenza artificiale nella difesa
Un altro cambiamento importante riguarda il ruolo dell’intelligenza artificiale. Non solo gli attaccanti la utilizzano per automatizzare e velocizzare le operazioni, ma anche i difensori la stanno integrando nei propri sistemi. Nei Security Operation Center (SOC), l’AI può analizzare grandi quantità di dati, individuare pattern sospetti e fornire agli analisti indicazioni preliminari su possibili incidenti. Non sostituisce l’uomo, ma ne amplifica le capacità, riducendo i tempi di indagine.
Questo è essenziale perché il tempo, oggi, è il vero campo di battaglia. Alcuni report recenti mostrano come un attaccante, una volta ottenuto accesso a un sistema, possa identificare vulnerabilità sfruttabili in pochi secondi. Di fronte a questa velocità, le difese devono essere altrettanto reattive, se non di più.
In questo contesto si inserisce anche il modello ‘Zero Trust’, sempre più adottato dalle aziende. L’idea è semplice ma radicale: non fidarsi mai, verificare sempre. Ogni accesso deve essere autenticato, autorizzato e monitorato, indipendentemente dalla provenienza. Questo comporta inevitabili frizioni operative — autenticazioni multiple, accessi limitati nel tempo — ma riduce drasticamente il rischio legato a credenziali compromesse, che restano uno dei vettori di attacco più utilizzati.
Un ecosistema complesso tra tecnologia e geopolitica
Le credenziali, infatti, sono spesso il punto di ingresso più semplice. Possono essere rubate, acquistate o recuperate da account non disattivati. In molte organizzazioni, soprattutto quelle più grandi, capita che utenti non più attivi mantengano accessi validi per mesi o anni. È una vulnerabilità banale, ma ancora estremamente efficace.
Un’altra tendenza crescente è l’uso di infrastrutture legittime di terze parti per condurre attacchi. Cloud pubblici, servizi condivisi, piattaforme collaborative: tutto può diventare un veicolo. Un file proveniente da una fonte affidabile difficilmente viene bloccato a priori. Questo rende ancora più importante analizzare il comportamento, non solo l’origine.
Il problema, però, non è solo tecnologico. È anche culturale e organizzativo. Le aziende stanno integrando sempre più strumenti di intelligenza artificiale nei propri processi, spesso senza una piena consapevolezza dei rischi. L’uso di soluzioni non autorizzate, il cosiddetto ‘Shadow AI’, può portare alla condivisione involontaria di dati sensibili con sistemi esterni. Anche qui, servono controlli, visibilità e policy chiare.
Infine, non si può ignorare il contesto geopolitico. Gli attacchi informatici sono sempre più utilizzati come strumenti di pressione indiretta tra Stati. Non necessariamente introducono tecniche nuove: spesso combinano in modo efficace tattiche già note, ma lo fanno con una velocità e una coordinazione tali da mettere in difficoltà anche difese mature. In molti casi, i bersagli non sono diretti, ma fanno parte della supply chain: fornitori, partner, operatori di servizi.
Conclusioni
In sintesi, difendersi dagli attacchi cyber oggi significa cambiare completamente prospettiva. Nonbisogna cercare di individuare i “malware”, ma osservare il sistema nel suo complesso. Capire cosa è normale e cosa non lo è. Ridurre i tempi di risposta. Automatizzare dove possibile, ma mantenere sempre il controllo umano nelle decisioni critiche.
Non esiste una soluzione unica, né una tecnologia miracolosa. Esiste però un approccio: basato su visibilità completa, velocità e consapevolezza. Ed è su questo terreno che si giocheranno le sfide della cybersecurity nei prossimi anni. Acronis suggerisce alle imprese di implementare difese sempre più integrate, uso dell’AI, monitoraggio continuo e gestione centralizzata per individuare anomalie e rispondere agli attacchi in modo rapido ed efficace.
