gli attacchi più pericolosi oggi non usano malware

A differenza di quanto credono molti esperti di cybersecurity, per entrare in una rete aziendale non serve necessariamente un malware. Sempre più spesso gli attaccanti utilizzano strumenti già presenti nei sistemi che prendono di mira. E le falle possono essere molteplici, dalle utility di amministrazione agli script, passando per ambienti di automazione e software impiegati ogni giorno dai team IT. Il risultato è un’attività che, almeno all’apparenza, assomiglia a quella di un normale amministratore di sistema.

È uno dei motivi per cui molte difese tradizionali stanno mostrando i propri limiti. Se un attacco viene condotto attraverso strumenti legittimi, riconoscere la minaccia diventa molto più difficile. Secondo Irina Artioli, Security Solutions Consultant di Acronis, la capacità di osservare il comportamento di utenti, processi e sistemi sta assumendo un’importanza crescente rispetto alla semplice ricerca di software malevoli.

La cybersecurity non deve solo curarsi del malware: quando gli attaccanti usano gli strumenti dell’azienda

Questo approccio è noto come Living off the Land. Invece di introdurre codice facilmente identificabile, l’attaccante sfrutta ciò che trova già disponibile all’interno dell’infrastruttura. Dal punto di vista tecnico è una scelta efficace: meno elementi estranei vengono introdotti nel sistema, minori sono le probabilità di essere individuati.

Una volta ottenuti privilegi amministrativi, l’intruso può analizzare la rete, identificare dati di valore e trasferirli all’esterno, spesso senza lasciare prove di violazioni. L’intera operazione può svolgersi utilizzando strumenti considerati affidabili e autorizzati.

Per questo motivo molte soluzioni basate su firme o indicatori statici faticano a rilevare queste attività. Il problema non è il software utilizzato, ma il modo in cui viene utilizzato. Un comando legittimo eseguito nel contesto sbagliato può rappresentare un segnale molto più importante della presenza di un file sospetto.

In questo contesto acquistano valore le tecnologie di Endpoint Detection and Response (EDR), progettate per registrare eventi, correlare attività e ricostruire le azioni eseguite all’interno di un sistema. L’attenzione si concentra sulle sequenze operative: quali comandi sono stati lanciati, da chi, in quale ordine e con quali effetti.

La rapidità è un altro elemento determinante. Secondo quanto evidenziato da Acronis, alcuni report mostrano che un attaccante può individuare vulnerabilità sfruttabili pochi secondi dopo aver ottenuto accesso a un sistema. In queste condizioni, ogni ritardo aumenta la probabilità di arrivare troppo tardi, quando i dati sono già stati sottratti o l’operatività è stata compromessa.

Per ridurre i tempi di reazione, molte aziende si affidano anche a servizi di Managed Detection and Response (MDR), che affiancano strumenti tecnologici e competenze specialistiche nell’analisi degli incidenti.

Anche l’intelligenza artificiale è spesso utilizzata con questo obiettivo. Nei Security Operation Center può analizzare grandi quantità di dati, individuare correlazioni e fornire agli analisti indicazioni preliminari sugli eventi che meritano attenzione. Non sostituisce il lavoro umano, ma consente di accelerare attività che richiederebbero molto più tempo.

Credenziali rubate, Shadow AI e rischi nella supply chain

Le credenziali continuano a rappresentare uno dei punti di accesso più efficaci. Possono essere sottratte, acquistate oppure recuperate da account che avrebbero dovuto essere disattivati. Nelle organizzazioni più grandi non è raro che utenti non più attivi conservino permessi validi per mesi o addirittura anni.

Per limitare questo rischio, sempre più aziende adottano modelli Zero Trust, nei quali ogni accesso viene verificato e monitorato indipendentemente dalla sua provenienza. L’approccio introduce procedure aggiuntive di autenticazione e controllo, ma riduce l’impatto di eventuali credenziali compromesse.

La superficie di esposizione continua però ad ampliarsi. Servizi cloud, piattaforme collaborative e infrastrutture condivise possono essere utilizzati come veicoli di attacco proprio perché godono di un elevato livello di fiducia. Un file proveniente da una fonte considerata affidabile non è normalmente bloccato a priori.

A questo si aggiunge il fenomeno dello Shadow AI, ossia l’impiego di strumenti di intelligenza artificiale non autorizzati dall’organizzazione. La condivisione inconsapevole di dati sensibili con servizi esterni può creare nuovi punti di vulnerabilità, soprattutto in assenza di policy e controlli adeguati.

Nel frattempo, anche il contesto geopolitico contribuisce ad aumentare la pressione sulle aziende. Gli attacchi non colpiscono soltanto i bersagli principali, ma sempre più spesso fornitori, partner e soggetti inseriti nella stessa supply chain. Tecniche note e ampiamente documentate possono diventare particolarmente efficaci se eseguite con velocità, coordinazione e continuità.

Amazon Fire TV Stick HD (ultimo modello), TV gratuita e in diretta, telecomando vocale Alexa, alimentazione tramite TV, configurazione semplice, trova serie TV più velocemente con Alexa+

• Potenzia la tua TV in un batter d’occhio: Fire TV Stick HD è il nostro dispositivo per lo streaming in HD più veloce di sempre, con una navigazione semplificata che ti porta direttamente ai tuoi film, serie TV e TV in diretta. Porta il tuo intrattenimento sempre con te grazie al nuovo design ultra-portatile. E guarda i contenuti prendere vita con immagini nitide in Full HD e supporto Wi-Fi 6.
• La nuova esperienza Fire TV (versione 2026): il nostro più grande aggiornamento di Fire TV introduce un design nuovo e moderno che ti porta rapidamente ai tuoi contenuti di intrattenimento. Sfoglia categorie di contenuti dedicate, aggiungi più app ai preferiti e ricevi consigli personalizzati da Alexa+. Meno tempo a scorrere, più tempo a guardare.
• Tutte le tue app in un unico posto: Prime Video, Netflix, YouTube, Disney+, Raiplay, Mediaset Infinity, Timvision, Apple TV, HBO Max e migliaia di altre. È facile trovare cosa guardare tra centinaia di migliaia di film ed episodi TV, inclusi oltre migliaia di episodi di contenuti gratuiti con pubblicità. Potrebbero essere applicati costi di abbonamento.
• Il nostro lettore multimediale più portatile: sottile e leggero, senza ingombri extra. Si collega direttamente alla porta HDMI della TV senza bloccare le altre porte.
• Più facile che mai da configurare: grazie all’alimentazione diretta, il dispositivo è alimentato dalla tua TV con il cavo USB-C incluso, senza bisogno di un adattatore da parete.