Cibercriminali quattro volte più rapidi nell'esfiltramento dati

Il 2026 Unit 42 Global Incident Response Report di Palo Alto Networks rappresenta un allarme concreto per le aziende: gli attori delle minacce agiscono ora quattro volte più velocemente rispetto al 2025 nel raggiungere l'esfiltramento dei dati. Questo drastico aumento della velocità è reso possibile dall'attacco simultaneo a tre o più superfici, sfruttando i punti ciechi creati da una eccessiva dipendenza dai dati degli endpoint.

Superficie di attacco in espansione

Se l'endpoint rimane una linea di difesa cruciale, la rapida proliferazione di servizi cloud, microservizi e utenti remoti ha ampliato la superficie di attacco oltre le capacità di monitoraggio di qualsiasi singolo strumento. Nel 75% degli incidenti analizzati da Unit 42, prove critiche dell'intrusione iniziale erano presenti nei log. Tuttavia, a causa di sistemi complessi e frammentati, queste informazioni non erano facilmente accessibili o utilizzabili, permettendo agli attaccanti di sfruttare le lacune senza essere rilevati. Per stare al passo, i SOC devono evolversi per raccogliere e correlare telemetrie provenienti da tutto il panorama organizzativo.

Le zone invisibili dell'attacco

Gli ambienti IT sono generalmente composti da zone distinte: gestione dell'identità e accesso (IAM), asset cloud, tecnologia operativa (OT), Internet of Things (IoT) e workload di intelligenza artificiale, ciascuna con le proprie necessità di logging e sicurezza. Sebbene esistano strumenti specifici per proteggere gli asset in ogni zona, i SOC devono essere in grado di analizzare in modo olistico i log e gli allarmi provenienti da queste zone e utilizzare gli strumenti di sicurezza corrispondenti per contrastare le minacce.

I limiti dell'approccio basato su endpoint

Unit 42 ha identificato tre scenari specifici in cui un approccio basato esclusivamente sugli endpoint fallisce nel fornire una visione completa:

  • Il pivot cloud-to-endpoint: Quando gli attaccanti ottengono l'accesso tramite una chiave di accesso al servizio cloud mal configurata, possono pivotare verso gli endpoint nascondendo le loro tracce dagli agenti EDR. Dalla console cloud, possono pivotare verso un server ospitato nel cloud per iniziare la scoperta. Per un SOC che monitora solo gli endpoint, l'ingresso iniziale e la manipolazione della console sono invisibili, e l'attività dell'attaccante può apparire come un login legittimo, aumentando la probabilità di un falso negativo durante la triage di questo evento.
  • C2 covert e furto di identità: Immaginate un attaccante che utilizza il tunneling DNS verso una posizione di archiviazione cloud per controllare un dispositivo compromesso. Per utilizzare applicazioni legittime per mascherare la loro attività, devono rubare credenziali e possono scatenare allarmi di viaggio impossibile in più applicazioni software-as-a-service (SaaS). Se il SOC cerca solo malware sul dispositivo, mancherà il compromesso a livello di identità che avviene nella rete e nei fornitori cloud.
  • La minaccia degli asset rogue: Shadow IT e dispositivi non gestiti sono intrinsecamente opachi. Poiché questi dispositivi spesso mancano di agenti di sicurezza, sono frequentemente invisibili agli strumenti tradizionali di rilevamento e risposta degli endpoint e di gestione delle informazioni e degli eventi di sicurezza. Gli attaccanti spesso introducono i propri dispositivi rogue per mantenere la persistenza. Senza un monitoraggio continuo della rete e una gestione esterna della superficie di attacco, questi asset rimangono porte aperte per il movimento coperto.

Una strategia di difesa multi-superficie

Per contrastare queste minacce, Unit 42 raccomanda una strategia di "single-pane-of-glass" alimentata da una piattaforma SOC basata su intelligenza artificiale come Cortex XSIAM. Questo approccio si basa su due principi fondamentali: tutti i log di sicurezza devono risiedere in un unico repository e tutti gli allarmi devono essere elaborati in un workbench centralizzato.

Integrando dati provenienti da tutte le 10 zone IT - inclusi codice, comunicazioni e AI - il SOC può sfruttare il machine learning per:

  • Stitching degli allarmi: Connettere automaticamente eventi provenienti da diverse zone in una timeline coerente
  • Scoring degli incidenti basato su ML: Prioritizzare le minacce in base all'impatto aziendale e al rischio utente
  • Analisi del comportamento degli utenti e delle entità: Rilevare comportamenti anomali che segnalano credenziali compromesse prima che causino un impatto materiale

Questa integrazione migliora la vita degli analisti riducendo la fatica degli allarmi e fornendo alla direzione una chiara visibilità sui carichi di lavoro e sulle metriche di performance.

Verso un SOC moderno

La transizione a una difesa multi-superficie abilitata dall'IA è l'unico modo per contrastare gli attaccanti che prosperano nelle lacune tra strumenti isolati. Per garantire che il vostro SOC sia ottimamente attrezzato per questa sfida, considerate di valutare la vostra visibilità attuale attraverso una valutazione formale.

Unit 42 Frontier AI Defense è un servizio di élite che utilizza l'accesso a modelli di frontiera per identificare i probabili percorsi di attacco della vostra organizzazione prima che gli attaccanti possano strumentarli.

L'evoluzione delle minacce e l'importanza di una difesa proattiva

Il rapporto Unit 42 del 2026 evidenzia un cambiamento significativo nel panorama delle minacce informatiche. Gli attaccanti stanno sfruttando sempre più strumenti assistiti dall'intelligenza artificiale per accelerare le fasi di un attacco, riducendo il tempo necessario per raggiungere l'obiettivo finale dell'esfiltrazione dei dati. Questa evoluzione richiede un approccio difensivo che vada oltre la semplice reazione agli incidenti, puntando invece sulla prevenzione e sulla capacità di anticipare le mosse degli aggressori.

L'importanza della collaborazione tra team di sicurezza

Una delle principali sfide per i moderni SOC è la gestione della complessità delle infrastrutture IT. Con l'aumento esponenziale di dispositivi, servizi cloud e applicazioni software-as-a-service (SaaS), la superficie di attacco si è estesa ben oltre i tradizionali endpoint. Per affrontare questa complessità, è fondamentale promuovere una stretta collaborazione tra diversi team di sicurezza, tra cui:

  • I team di gestione delle identità e degli accessi (IAM)
  • Gli esperti di sicurezza cloud
  • Gli specialisti di reti e comunicazioni
  • Gli analisti di dati e machine learning

Questa collaborazione interdisciplinare consente di condividere conoscenze e competenze, migliorando la capacità di rilevare e rispondere alle minacce in modo più efficace.

L'integrazione con altre fonti di dati

Per ottenere una visione completa del panorama delle minacce, è essenziale integrare i dati di sicurezza provenienti da diverse fonti. Oltre ai tradizionali sistemi di rilevamento e risposta degli endpoint (EDR), i SOC moderni dovrebbero considerare l'inclusione di:

  • Dati di autenticazione e autorizzazione
  • Log delle applicazioni SaaS
  • Informazioni sulla configurazione della rete
  • Dati di monitoraggio della superficie di attacco esterna

Questa integrazione permette di costruire un contesto più ampio per ogni allarme, facilitando l'identificazione di pattern sospetti e riducendo il numero di falsi positivi.

L'adozione di framework di sicurezza avanzati

Per strutturare al meglio le attività di difesa, i SOC possono adottare framework di sicurezza avanzati come MITRE ATT&CK. Questo framework fornisce una tassonomia completa delle tecniche e delle tattiche utilizzate dagli attaccanti, consentendo agli analisti di:

  • Mappare gli eventi di sicurezza rilevati alle tecniche note
  • Identificare le possibili fasi di un attacco in corso
  • Valutare l'efficacia delle contromisure implementate
  • Migliorare continuamente le capacità difensive

L'uso di MITRE ATT&CK, combinato con l'analisi dei dati di sicurezza, permette di costruire una difesa più robusta e adattiva.

La formazione continua e la gestione del rischio

In un panorama delle minacce in continua evoluzione, la formazione continua del personale di sicurezza è fondamentale. I SOC dovrebbero investire in programmi di formazione che coprano:

  • Le ultime tecniche di attacco
  • Le innovazioni tecnologiche nel campo della sicurezza
  • Le migliori pratiche per la gestione degli incidenti
  • Le competenze tecniche necessarie per operare con strumenti avanzati

Oltre alla formazione, è cruciale adottare un approccio basato sulla gestione del rischio. Questo implica:

  • L'identificazione e la valutazione dei rischi specifici dell'organizzazione
  • La prioritizzazione delle risorse di sicurezza in base al livello di rischio
  • La misurazione e il monitoraggio dell'efficacia delle contromisure
  • L'aggiornamento continuo del piano di sicurezza in base ai cambiamenti del contesto

Conclusioni e raccomandazioni

Il rapporto Unit 42 del 2026 sottolinea l'importanza di una difesa multi-superficie abilitata dall'IA per contrastare efficacemente le minacce moderne. Per le organizzazioni che desiderano migliorare le proprie capacità di sicurezza, si consiglia di:

  • Effettuare una valutazione formale della visibilità attuale del SOC
  • Investire in una piattaforma di sicurezza integrata che supporti l'analisi multi-superficie
  • Promuovere la collaborazione tra team di sicurezza e altre funzioni aziendali
  • Adottare framework di sicurezza avanzati come MITRE ATT&CK
  • Implementare programmi di formazione continua per il personale di sicurezza

In un panorama delle minacce in rapida evoluzione, l'adozione di una strategia di difesa proattiva e basata sull'IA è l'unico modo per mantenere un vantaggio competitivo e proteggere efficacemente le risorse critiche dell'organizzazione.

Risorse aggiuntive

Per approfondire ulteriormente i temi trattati in questo rapporto, si consiglia di consultare:

  • Il rapporto Unit 42 Global Incident Response Report 2026
  • La guida alla migrazione verso un moderno SIEM basato su Cortex XSIAM
  • Le risorse educative su MITRE ATT&CK disponibili sul sito ufficiale
  • I white paper e gli articoli tecnici pubblicati da Palo Alto Networks

Nota Editoriale e Disclaimer

Le guide e i contenuti pubblicati su GoYou sono frutto di attività di ricerca e analisi indipendente, a scopo informativo, educativo e di approfondimento.

GoYou non costituisce una testata giornalistica né un prodotto editoriale ai sensi della Legge n. 62/2001 e non svolge attività di informazione in tempo reale.

Il progetto GoYou non fornisce consulenza professionale, tecnica, legale o finanziaria e declina ogni responsabilità per l’uso improprio delle informazioni pubblicate.

Nel settore Crypto, ogni investimento comporta rischi: si invita il lettore a informarsi sempre in modo autonomo prima di assumere qualsiasi decisione.