AI, superfici di attacco estese e identità sono la causa principale della maggior parte delle violazioni, secondo il Global Incident Response Report 2026 di Unit 42, threat intelligence team di Palo Alto Networks.
L’analisi ha preso in esame oltre 750 incidenti di alto profilo, rivelando come gli avversari stiano sfruttando l’AI durante l’intero ciclo di vita dell’attacco, accelerandone la velocità di 4 volte nell’ultimo anno. Anche la complessità aziendale sta giocando a loro favore: le debolezze legate alle identità sono state sfruttate nell’89% dei casi analizzati, mentre l’87% degli attacchi ha coinvolto più superfici di attacco.
“La complessità aziendale è diventata il più grande vantaggio degli avversari. Si tratta di un rischio aggravato dal fatto che gli attaccanti prendono sempre più di mira le credenziali, utilizzando agenti AI autonomi per collegare identità umane e macchina per lanciare azioni indipendenti. Al fine di mitigare queste minacce, le organizzazioni devono ridurre la complessità e adottare un approccio basato su piattaforma unificata, che elimini senza compromessi la fiducia implicita,” ha sottolineato Sam Rubin, SVP di Unit 42 Consulting & Threat Intelligence, Palo Alto Networks,
I risultati principali del Global Incident Response Report 2026 evidenziano che:
- L’AI rende gli attacchi più veloci: poiché gli attori delle minacce sfruttano sempre più intelligenza artificiale e automazione avanzata, il tempo che intercorre tra accesso iniziale ed esfiltrazione dei dati si è drasticamente ridotto a soli 72 minuti negli attacchi più rapidi — un incremento di velocità di 4 volte nell’ultimo anno.
- Cresce la complessità degli attacchi: l’87% degli eventi si estende su due o più superfici di attacco, combinando attività tra endpoint, cloud, piattaforme SaaS e sistemi di identità. Unit 42 ha tracciato attività contemporanee su ben 10 fronti diversi.
- L’identità guida l’accesso iniziale: il 65% degli accessi iniziali deriva da tecniche basate su identità, quali ingegneria sociale e abuso di credenziali, mentre le vulnerabilità rappresentano l’accesso iniziale nel 22% di tutti gli attacchi.
- Il browser è il principale campo di battaglia: il 48% degli attacchi coinvolge il browser, riflettendo come sessioni web di routine vengano trasformate in strumenti per raccogliere credenziali e aggirare i controlli locali.
- Aumentano gli attacchi alla supply chain SaaS: gli attacchi che coinvolgono applicazioni SaaS di terze parti sono aumentati di 3,8 volte dal 2022, rappresentando il 23% di tutti gli attacchi, con gli attori delle minacce che abusano di token OAuth e chiavi API per il movimento laterale.
Colmare le lacune critiche nella difesa
Unit 42 collega il 90% delle violazioni dei dati a configurazioni errate o lacune di sicurezza, con complessità, scarsa visibilità e fiducia eccessiva che agiscono come fattori abilitanti sistemici degli attacchi.
Per far fronte alla rapida accelerazione del ciclo di vita degli attacchi e delle violazioni, il report raccomanda ai difensori di superare la sicurezza perimetrale tradizionale e adottare un approccio basato su una piattaforma unificata che possa:
- Operare a velocità macchina: fornire ai SOC (Security Operations Center) la possibilità, tramite AI e automazione, di rilevare e contenere attacchi ad alta velocità in minuti, anziché ore.
- Proteggere la pipeline build: incorporare la sicurezza direttamente nel ciclo di vita dello sviluppo di software e AI, per bloccare le vulnerabilità prima che raggiungano il cloud.
- Modernizzare la difesa delle identità: centralizzare la gestione delle identità umane, macchina e agentiche, per colmare le lacune di governance e fermare gli exploit basati su credenziali.
- Proteggere l’interfaccia umana: utilizzare tecnologia del browser sicuro e gestione attiva dell’esposizione per difendere lo spazio di lavoro moderno e i dispositivi non gestiti.
- Eliminare la fiducia implicita: adottare un approccio Zero Trust per verificare continuamente ogni interazione, neutralizzando la capacità di un attaccante di muoversi lateralmente.
