In occasione dell’International Identity Management Day, il prossimo 14 aprile, emerge con sempre maggiore chiarezza come l’identità digitali rappresenti il nuovo perimetro della sicurezza informatica. I dati più recenti evidenziano un cambio di paradigma: gli attaccanti non “forzano” più l’ingresso nei sistemi, ma accedono utilizzando credenziali legittime.
Secondo l’ultimo Active Adversary Report presentato dall’azienda di cybersecurity Sophos, il 67,32% degli attacchi è causato da compromissioni di identità digitali.
In particolare, il 42,06% degli incidenti deriva da credenziali compromesse, mentre tecniche come brute force (15,58%) e sfruttamento di vulnerabilità (16,04%) restano rilevanti ma non più predominanti.
A essere maggiormente colpite sono le piccole e medie imprese, che rappresentano l’84% dei casi analizzati, con una concentrazione significativa nei settori manifatturiero (19,82%), finanziario (8,93%) e costruzioni (8,62%).
Attacchi sempre più rapidi e invisibili
Un elemento particolarmente critico è la velocità degli attacchi: i cybercriminali impiegano solo 3,4 ore per tentare l’accesso ad Active Directory, il 70% più rapidamente rispetto all’anno precedente.
Il tempo medio di permanenza (dwell time) si attesta a soli 3 giorni, rendendo ancora più difficile individuare e contenere le minacce.
Allo stesso tempo, queste intrusioni risultano sempre più difficili da rilevare, poiché sfruttano comportamenti apparentemente legittimi. L’uso di credenziali rubate e di tecniche di autenticazione abusiva consentono agli attaccanti di mimetizzarsi come utenti autorizzati.
MFA ancora insufficiente: un rischio evitabile
Nonostante la crescente consapevolezza, persistono lacune significative nelle misure di protezione: nel 59% degli incidenti l’autenticazione multifattore (MFA) non era attiva o non era configurata correttamente. Inoltre, il phishing continua a crescere come vettore iniziale di attacco, passando dal 2,13% al 5,86% in un anno.
Parallelamente, l’utilizzo diffuso di protocolli come RDP (presente nel 66% dei casi in ambito interno) e la presenza di sistemi obsoleti – con il 13% dei server Windows già fuori supporto – amplificano ulteriormente la superficie di rischio.
Il ruolo delle identità digitali nella cybersecurity moderna
“Il dato chiave è chiaro: oggi l’identità rappresenta il principale perimetro di sicurezza”, commenta Victor Garcia, Field CISO Associate di Sophos. “Gli autori degli attacchi non hanno più bisogno di exploit sofisticati: accedono direttamente ai sistemi utilizzando credenziali valide. Quando un’identità viene compromessa, la fiducia viene concessa automaticamente.”
Secondo Garcia, questa evoluzione richiede un cambio di approccio: “le organizzazioni devono andare oltre i controlli di accesso tradizionali e adottare modelli di verifica continua dell’identità, basati su contesto, comportamento e rischio. Questo significa monitorare le identità nel tempo, eliminare gli account inattivi, verificare eventuali compromissioni nel dark web e rafforzare la gestione degli accessi privilegiati.”
Un nuovo approccio: prevenzione e visibilità in tempo reale
La crescente velocità degli attacchi riduce drasticamente i tempi di risposta: gli aggressori possono ottenere privilegi elevati nel giro di poche ore. Per questo motivo, diventa essenziale adottare strategie proattive, come il principio del least privilege, la revoca rapida delle sessioni e una gestione rigorosa degli accessi.
“In definitiva, l’identità è il vero ‘control plane’ della cybersecurity”, conclude Garcia. “Le organizzazioni che investiranno in sistemi di identità resilienti e in visibilità in tempo reale saranno in grado di difendersi efficacemente. Le altre continueranno a subire attacchi sempre più silenziosi, rapidi e difficili da individuare.”
